VilhelmSj?berg:智能合约经常被曝漏洞,主要是两点原因:一个原因是代码出bug这个事儿是不可避免的,在互联网时代可以通过快速迭代来修复,但智能合约在部署后是无法更新的,上线的代码就需要是完美的。另一个是攻击智能合约漏洞获得的价值回报高,所以会有很多人盯着你的代码找错误。Odaily星球日报:相比于智能合约,对区块链底层基础设施进行验证的难度有多大?VilhelmSj?berg:区块链的底层基础设施要比智能合约本身复杂,其复杂程度主要体现在两方面:计算的复杂度、运行环境的复杂度。在证明程序正确性的时候,如果一旦这两方面复杂,那么要证明的问题就会变得复杂。而CertiK是目前唯一可以对复杂的计算、运行环境进行证明的公司,这是我们的价值点所在。此前对于复杂代码的多线程验证,在业界是被认为不可能实现的,前几年被我们成功进行了验证。Odaily星球日报:为什么形式化验证这项技术,在互联网行业或者说区块链技术变热之前,并没有多少商业前景?VilhelmSj?berg:互联网时代,虽然程序很复杂,但是对于形式化验证技术来说,并没有多少市场。如果程序有bug,比如微信有bug,这对用户而言并没有多少损失,而且中心化服务器端也可以将数据回滚来挽回损失。形式化验证这项技术适合代码价值很高、不是特别复杂的程序,区块链就是用有限的代码数量来控制价值很大的东西。还可以再举个例子来明这一点,比如对安全性要求最高的或许是无人驾驶车,但是从黑客的角度来看的话,与其攻击无人驾驶车,不如攻击智能合约、钱包,得到的价值更大。Odaily星球日报:目前,行业里有其它安全公司在使用形式化验证技术,CertiK在这个方向的技术壁垒是什么?VilhelmSj?berg:验证复杂度是一个很难的事情,以前一直被业界认为是不可能的。邵中教授至少花了3年时间,才第一个真正解决了在多线程的环境下,如何证明一个复杂系统的正确性,所以说,CertiK本身具有先发优势。我们通过深度规范技术,来验证了自己研发的CertiKOS防黑客操作系统,后来美国国防部请谷歌团队对CertiKOS防黑客操作系统进行攻击,但是攻击了一个月都没有成功。此外,我们最近开发了第一代高性能智能合约自动检测引擎CertiKAutoScanEngine,用户上传智能合约后,该引擎可以自动进行扫描并定位出漏洞。整个过程实现了最大化机器验证,对人力的依赖非常少。Odaily星球日报:CertiK于2015年提出了分层结构理论,如何理解分层结构?VilhelmSj?berg:举个例子,比如我们使用一个数字,计算机的内存是有限的,不可能表示出任何数,计算机每次碰到一个数字的时候,都需要考虑到这个数字的这样几点:数字的精度、数字的范围,有没有溢出。如果你每次用数字时,需要重新来验证,是个没有多少意义的事情。所以,不如把整个数字的证明做成一个layer。比如整数本身在代码里是如何表征的,我们把它证明正确,直接做成一层。以后每次用整数的地方,就直接调用这一层。具体到每一层究竟是如何的,我简单举例来说明:第一层,可能是证明整数是否在range内的。第二层,可能是来证明加减乘除的准确性。第三层,可能就是证明乘方/开方。当然,后面还会有很多层。通过建这种模型,就可以节省大量的计算。所以说这个技术在经验方面很重要,我们团队之前已经研发出很多层,其他人如果也想做形式化验证,需要从头开始研发,而我们已经可以基于此前的研究,来构建更多商业逻辑上的东西。Odaily星球日报:CertiK的商业化模式中,除了提供中心化验证服务,还有一个是去中心化的安全验证系统,这两部分如何协调?而且去中心化的安全验证系统具体指的是什么?VilhelmSj?berg:中心化验证服务主要是由我们自己先把一个复杂的系统进行分层,然后再把每一层的计算分给社区来执行,也就是交给去中心化的安全验证系统。去中心化的安全验证系统的目标主要两个:一个是借助更多的计算资源,相比于POW这种没有意义的计算,我们的目标是把计算变得有意义。用户提供算力,计算出了一个证明方法,然后这个知识大家可以共享。而且整个验证过程是透明的,用户可以接入区块链,来看到整个验证过程。另一个是希望借助整个社区的证明能力,构建一个去中心化的关于形式化证明程序方法的知识库。比如说你知道对某个程序的证明方法,但我可能是不知道的,通过借助通证经济,可以让这个证明方法被共享出来。如果是我直接花钱买了你的证明方法,这个知识实际上并没有被共享。对于社区用户来说,我们目前在开发一整套的工具以降低用户门槛。社区用户可以有多个角色,你可以进来提交需要验证的程序,也可以分享计算资源,还可以定期对引擎本身进行评估等等。Odaily星球日报:在区块链安全领域,CertiK对于未来的发展规划以及目前的合作进度如何?VilhelmSj?berg:智能合约这方面目前需求最大,CertiK以智能合约为切入口,逐渐侧重于对区块链基础设施的安全,从而布局整个区块链生态系统的安全问题。区块链基础设施的安全问题很重要,比如PaymentChannel,如果底层的VM或者其它链本身的支付通道有问题,那么智能合约必然会有安全问题。在合作方面,CertiK目前主要与公链、交易所展开了合作:公链方面,CertiK和NEO、星云链、Qtum量子链、本体、ICON、Waves等项目有合作,主要负责对公链的VM进行安全审核。此外,我们目前也在争取与以太坊的合作。交易所方面,CertiK和火币、OKex、Gate、KuCoin、FCoin等有合作,主要负责交易所上币项目的安全审计,之后还会针对交易所对安全的需求点来提供服务。此外,币安还是CertiK的种子轮投资者。Odaily星球日报:您觉得区块链安全行业面临的最大的挑战是什么?VilhelmSj?berg:最大的挑战在于工程、研究方面。工程的实现需要一个强大的团队;研究方面还有一些问题没有解决,比如有些语言的特性很复杂;开发人员依赖的工具本身,其安全性有时也会有问题;又比如说我们目前正在运用形式化验证,来研究哪一种共识机制是最好的,是在数学上最公平的、合理的、最安全的。Odaily星球日报:您如何看待区块链技术面临的量子计算攻击?VilhelmSj?berg:技术方面,量子计算不会完全毁掉现在所有的加密算法,比如POW,但是量子计算会通过更多的计算,来降低攻破它的难度。而且另一方面,研究人员也在研究,如果量子计算一旦出现,我们用什么方法来保证私钥的安全性。其实,对于区块链来说,在技术方面并没有多少威胁,更多的可能还是政策方面。主要参考来源:
第160次以太坊ACDE会议:确定纳入EIP-4844、6780、6475、1153:4月29日消息,根据Christine Kim对第160次以太坊执行层核心开发者会议(ACDE)进行的总结,本次会议主要讨论在下次坎昆(Cancun)升级中,需要纳入哪些代码修改。
除了此次升级的主角EIP-4844(降低L2手续费) 外,开发者还同意将以下EIPs纳入升级:
·EIP-6780(修改SELFDESTRUCT操作码的功能,主要是为未来应用Verkle树做准备);
·EIP-6475(为可选值引入新的简单序列化类型,以提供更佳的可读性和紧凑的序列化);
·EIP-1153(引入瞬态存储操作码)。
另外,还有部分EIPs提案尚未被正式接受纳入升级(EIP-6913、6493、4788、2537、5656)以及部分被确定不考虑纳入本次升级(Big EOF和EVMMAX)。
在对围绕坎昆EIPs进行讨论后,下一次会议议程将是关于EIP-4844的进展。
此前消息,以太坊核心开发人员会议中表示,计划对区块链的共识层进行代码修改,为下一次坎昆升级(Cancun-Deneb)做准备,预计将于今年晚些时候进行。
以太坊的Cancun-Deneb升级中预期的最重大变化将是EIP-4844,也称为“ proto-danksharding ”。 EIP-4844旨在通过以太坊节点实现链下数据的临时存储和检索,以满足区块链应用程序的数据和存储需求。如果成功激活,EIP-4844有望降低第2层rollup解决方案(包括Optimism和Arbitrum)的交易成本。[2023/4/30 14:35:10]
1.星球研报|2018年区块链技术安全服务行业报告2.CertiK白皮书3.“军用级别”防黑客?「CertiK」要用形式化验证技术保护智能合约和区块链生态的安全4.CertiK首席科学家VilhelmSj?berg:建立值得完全信赖的智能合约和区块链生态系统|星球日报P.O.D大会5.智能合约安全之形式化验证研究报告6.成都链安科技CEO杨霞:80%的智能合约都存在安全漏洞
丹麦最高法院裁定对比特币销售利润征税:3月30日消息,丹麦最高法院在两个案件中裁定,对比特币销售所得利润征税,两个案件分别为出售购买的比特币获利、出售挖矿所得比特币获利。法院认为投资数字货币本质上是投机性的,因此维持下级法院的判决。[2023/3/30 13:35:37]
火必第4季度销毁65.3万HT,约合417万USDT:1月15日消息,Huobi披露第4季度销毁了653,000 HT(约合4,174,000 USDT),截至2023年1月15日,共销毁了2.96亿HT。[2023/1/15 11:12:58]
集成The Block的内容货币化协议Access Protocol将向注册用户发放空投:9月30日消息,Solana上内容货币化协议Access Protocol宣布将向在其协议中注册过的用户启动空投,符合资格的用户还会收到3个额外的分享链接,空投接收者将能够质押ACS来接收来自The Block和其他启动合作伙伴的高级内容。此外,空投Token将在协议发布当天提供认领,一年之内不可转让。
此前报道,8月下旬,加密媒体The Block表示将集成Solana上内容货币化协议Access Protocol的Token化付费墙(paywall),允许消费者通过一组统一的Token购买多个媒体或创作者的订阅内容。[2022/9/30 6:04:17]
数据:持有超32枚ETH的地址以114318个创16个月新高:7月6日消息,据Glassnode数据显示,持有超32枚ETH的地址数量为114318个,创16个月新高。[2022/7/6 1:55:19]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。