北京時間1月20日下午13:00,?CertiK與DuckDAO聯合舉辦AMA在線問答活動。
CertiK嘉賓——商務主管MarcoCalicchia、CertiKShield項目主管ConnieLam和產品經理AaronLeibowitz出席活動,共同探討區塊鏈安全應該何去何從。
嘉賓介紹:
1.?Limmy?——?DuckDAO社區代表
2.?ConnieLam——?CertiKShield項目主管
3.?AaronLeibowitz——?CertiK產品經理
4.?MarcoCalicchia——?CertiK商務主管
DuckDAO整理了一系列各位觀眾高質量的疑問,CertiK嘉賓為大家解答了疑問,并且分享了CertiK在區塊鏈安全領域內做出的努力和創新。
相信在屏幕前的大家也都有同樣的疑問,讓我們一起回顧本期?AMA問答活動?吧:
Limmy
我們都知道CertiK針對安全,開發了一系列的服務和產品。其中包括:CertiK預言機、CertiKShield、Skynet天網掃描系統、CertiKOS、CertiK虛擬機、DeepSEA語言及其編譯器。
可以為我們簡單介紹一下嗎?
ConnieLam
當然可以。
CertiK的去中心化安全預言機提供的安全分數可用于幫助用戶獲取安全情報,從而做出重要決策。
CertiKShield是一個基于會員資格的去中心化資產保障計劃,旨在為區塊鏈網絡上丟失或被盜的加密資產提供補償。
Skynet天網掃描系統作為一項CertiK獨立開發的最新安全工具,由靜態與動態雙重技術提供支持,并通過安全基元生成安全評分。
CertiKOS作為世界上第一個完全被驗證的并發式多核操作系統,被證明能夠完全抵御黑客攻擊。
CertiK虛擬機?(CVM)是由CertiKChain開發的智能合約平臺。可以公開智能合約和區塊鏈的安全信息,以動態方式確保區塊鏈和智能合約安全性,同時其可與以太坊虛擬機完全兼容。
DeepSEA是用于編寫可驗證智能合約的新語言,它是一種新型函數式編程語言。目前1.1版本的DeepSEA編譯器也已經正式發布。
Limmy
Hogwarts Labs宣布完成Pre-A輪融資,累計融資800萬美元:6月1日消息,專注Web3+AI的dApps研發公司Hogwarts Labs宣布完成Pre-A輪融資,累計融資800萬美元,HashGlobal、經緯創投、XIN Family和DHVC領投,SevenX、Alliance、SKY9、NGC Ventures、EVG、No Limit Holdings、Stratified Capital、Old Fashion Research、North Beta Capital和Puzzle Ventures等參投。
據悉,Hogwarts Labs致力于通過在Web3和AI領域持續開發dApps和Appchain以加快大規模采用。旗下首款產品QuestN是服務于Web3領域的一站式營銷、增長和分析平臺,目前總用戶數已突破250萬,DAU超8萬。同時Hogwarts Labs宣布第二款服務Web3用戶的AI助理產品將不早于Q4發布。[2023/6/1 11:52:45]
CertiK已經對很多優秀的區塊鏈項目進行了審核。
那么如果用戶想要找到CertiK審核過的項目列表應該怎么做?CertiK審計的流程是怎樣的呢?
MarcoCalicchia
區塊鏈的核心本質之一是透明,我們的審計工作也完全貫徹這一點。
多數經過審計的項目可以在我們的安全排行榜門戶網站上進行查找:
https://certik.foundation/
CertiK的審計目標是審查項目代碼的實施情況,審核其總體設計和架構,研究其潛在的安全漏洞,發現可能危及項目的錯誤。
審核過程中特別注意以下幾個方面的考慮:
1.針對常見和不常見的攻擊載體測試智能合約。
2.評估代碼庫,以確保符合當前的最佳做法和行業標準。
3.確保合同邏輯符合客戶的規格和意圖。
4.將合同結構和執行情況與行業領軍企業發布的類似智能合約進行交叉對比。
5.對整個代碼庫進行徹底的逐行人工審查。
Limmy
我曾見過許多項目被審計過后,投資者一看到被審計就匆匆忙忙的投入項目。
但是我們都知道安全審計是一個持續的過程,那么在這個過程中,人工審計是否重要呢?
AaronLeibowitz
比特幣全網未確認交易數量為34063筆:金色財經報道,BTC.com數據顯示,目前比特幣全網未確認交易數量為34063筆,全網算力為346.65 EH/s,24小時交易速率為3.31交易/s,目前全網難度為46.84 T,預測下次難度下調0.30%至46.70 T,距離調整還剩10天18小時。[2023/3/27 13:28:02]
這是一個很好的問題。
人工審計是非常重要的。
許多漏洞都集中在業務邏輯的漏洞上,而這些信息是自動代碼審查無法捕捉到的。
一個優秀的審計過程必然需要理解業務邏輯并對代碼進行徹底的人工審計。
人工審計也是優秀安全審計師和普通審計師的最大區別。
Limmy
關于CertiK安全預言機,你們是直接與Chainlink這樣的去中心化預言機網絡競爭,還是有可能合作或是利用彼此的優勢?
ConnieLam
我們先來看一下預言機是什么。
你可以把預言機看作是全球安全專家的共識。
他們分析和評估智能合約的源代碼,從而實現對合約安全性的審查。
MarcoCalicchia
簡單的對Chainlink和CertiK進行區分的話:
Chainlink是一個去中心化針對價格數據的預言機,而CertiK的的預言機是為安全服務的,它所體現的數據是安全洞察。
打個比方,對于電動轎車來說,大家都會選擇特斯拉,是因為豐田不做電動車嗎?
不是,只是因為特斯拉這個名字代表的就是電動轎車。
而CertiK同樣,作為以安全為核心的安全公司,安全體現在CertiK每一項業務的方方面面。
AaronLeibowitz
CertiK基金會的使命是通過推動采用可證明的安全軟件從而讓區塊鏈得到用戶的信任。
我們鼓勵所有期望為區塊鏈安全生態出力的人才加入CertiK團隊,一起為提高整個區塊鏈領域的安全標準而努力。
Limmy
當CertiK獲取安全數據時,是否有與其他大型專業審計公司合作的計劃,像普華永道、畢馬威等?
還是說這些實體參與這個領域還為時過早?
AaronLeibowitz
歐洲央行執委:數字歐元將是現金的補充,而不是取代現金的地位:金色財經報道,歐洲央行執委施納貝爾表示,數字歐元將是現金的補充,而不是取代現金的地位。[2023/2/11 11:59:59]
這個問題問得很好。
我們曾與四大公司之一進行過商談。
他們的審計部門當時還沒有為區塊鏈領域做好準備。
這些大型的審計公司目前依舊專注于機構及私人的金融狀況,但我們專注于去中心化世界。
Limmy
CertiK領先于競爭對手的一些關鍵功能是什么?
平臺的競爭優勢是什么?
ConnieLam
CertiK的端到端安全和業內領先的安全技術為區塊鏈項目提供了唯一且全面的安全解決方案,出具的審計報告被大多數交易所所認可。
MarcoCalicchia
我們的三步流程可以全方位保護項目方的資產:
1.在部署前,針對項目進行全方位的審計。
2.在合約上鏈交互時,安全預言機為其提供動態監控。
3.以防任何意外發生,CertiKShield隨時可為項目提供靈活的保障。
Limmy
如何保持安全認證者內部的去中心化?
一個新的安全認證者可以由其他驗證者投票加入。同樣,也可以通過安全認證者的投票來移除一個安全認證者。
那么第一批安全認證者是如何被選中的?他們是CertiK基金會的一部分嗎?
AaronLeibowitz
安全認證者的權力下放將通過三種主要方法實現。
一、必須通過鏈上治理進行認證者投票及刪除。
這個過程中,認證者的投票權重是由股權價值決定的。這也保證了認證者不會偏離鏈的根本利益。
其次,在其他認證者一致同意的情況下,會根據認證者的能力和貢獻,以及鏈上的需求,進行認證者的刪除和添加。這可以保證各認證者之間的平衡。
第三,隨著形式化驗證技術的發展,以及與CertiKChain的整合。
安全治理將越來越多地被擴展引入,以補充甚至取代認證者的人工操作,可以大大提高認證者的工作質量和效率。
首批安全認證師是基金會根據該組織對基金會和產業鏈的參與度和貢獻度,以及未來可能做出的貢獻來選擇的。
港交所亞洲首批加密資產ETF上市:金色財經報道,港交所文件顯示,今天上市的兩只新ETF—南方東英比特幣期貨ETF及南方東英以太幣期貨ETF由南方東英資產管理有限公司管理,分別追蹤在芝加哥商品交易所交易的標準化、現金結算的比特幣期貨合約及以太幣期貨合約。
香港交易所首席營運總監及市場聯席主管姚嘉仁表示,今天上市的兩只加密資產ETF,為香港日益豐富多元的交易所買賣產品生態圈錦上添花。這些新產品將首次在亞洲為投資者提供參與數碼資產投資的機會,亦反映了我們對數碼經濟的關注和市場的需求。我們期待在未來幾個月將迎來更多主題式ETF和數碼資產新產品。(hkex.com)[2022/12/16 21:48:14]
他們中的一些人也可能同時擔任基金會董事會的職位。
Limmy
當CertiKShield會員因合約失誤而蒙受損失,想要獲得賠償時,需要提交一份理賠提案。
如果這個會員是非技術性的,在對這個損失發生的原因一無所知的情況下,怎么能提出有根據的索賠呢?會很容易被拒絕索賠嗎?
ConnieLam
CertiKShield并不要求會員提交理賠提案時詳細說明事故的起因,安全理事會的成員負責調查以確認造成損失的主要原因。
但理賠提案必須提出可以證明其損失的有力證據。
當然,在事件發生時,必須是在你所購買的CertiKShield時間期限內。
Limmy
能否詳細說明CertiKOS的創新?
今天有哪些人在使用CertiKOS,你認為這項技術將會對我們產生什么深遠的影響?
ConnieLam
CertiKOS最初是由我們的創始人在耶魯大學開發的。
目前它是世界上第一個,也是唯一一個通用并發操作系統和管理程序,它的安全性和正確性得到了完全的驗證。
CertiKOS從數學層面上保證了操作系統的無缺陷狀態和功能,使其免受基于軟件缺陷的攻擊。
它已經在自動駕駛汽車、無人機、認證驗證等學術、政府和商業場景中投入使用。
當然,它也一直運用于CertiKChain,并將能夠服務于其他區塊鏈。
如DeepSpec和并發認證抽象層,CertiKOS背后的方法論已經被廣泛采用。
它創造了許多認證系統軟件,如認證KVM管理程序、認證CPU固件、認證飛地、認證文件系統等。
Mask Network與Dtools建立戰略合作伙伴關系:8月2日消息,Mask Network在官方推特宣布,與Web3工具Dtools建立戰略合作伙伴關系,雙方將在Web3插件和工具層面進行深入合作。[2022/8/2 2:54:07]
當然,還有認證區塊鏈軟件。
這些都是真正的突破性技術,將引起世界計算基礎設施的可信度、安全性和動力的格局的飛躍式發展。
Limmy
在幣安的私有網絡上分享你的項目對社區有什么影響?
CTK幣與CTKBEP20,這兩個網絡的成交量如何?
AaronLeibowitz
幣安社區為CertiK帶來了越來越多的優秀人才,促使更多的優秀項目與我們進行合作。
相當于CTK的BEP20增加了額外的一層靈活性、實用性和開放性,CTK暫時還做不到這一點。
Limmy
區塊鏈的開源、透明性,無意中創造了一個容易被惡意利用代碼的環境。
能否分享一下關鍵的bug和漏洞,以及我們在部署代碼時應該注意的事項。
AaronLeibowitz
我們在2020年發現的關鍵bug分為三類。
邏輯錯誤,閃電貸和項目方欺詐。
一、邏輯錯誤只是底層代碼中的缺陷。
這些錯誤出現會導致毀滅性的后果,盡管它未必是惡意設計的。最著名的例子可能就是去年的YAMfinance事件了。
二、閃電貸允許黑客在沒有任何初始資金的情況下初始化攻擊。
通過利用閃電貸,黑客通過操縱去中心化交易所的LP代幣價格來獲利,而LP代幣價格是通過價格預言機決定的。
三、項目方欺詐是最常見的。項目方可能會故意調用智能合約的顯性或隱性后門功能來獲利。
ConnieLam
因此,我們建議:
使用強大的、被廣泛采用的模板和第三方庫來構建項目,例如openzeppelin庫。
開發代碼時,必須使用本地環境。必須檢查并執行編譯器版本和單元測試。
在部署之前,代碼都應該進行良好而徹底的測試和注釋,從而提高代碼的質量。
在testnet上先用Remix、truffle或其他廣泛采用的部署環境部署代碼,將代碼遷移到mainnet之前,要極其謹慎地檢查testnet部署。
Limmy
智能合約審計主要是查找已知的漏洞,那么如何評估潛在或是新型漏洞的風險??
有什么實用簡單的技巧和建議可以給社區以及投資者們?
大家在投資項目時,需要注意什么樣的警示?
MarcoCalicchia
要評估漏洞的風險,必須考慮多方面的因素,包括:
1.團隊背景
2.代碼質量——在測試項目時是否采用形式化驗證?
3.項目是否依靠價格預言機確定代幣價格?——項目的經濟模型的質量、設計和執行情況。
AaronLeibowitz
我補充一下,還需要警示:
1.合約所有人是否權限過大?
2.項目是否被允許修改委托合約的地址?
3.對合約所有者進行一個快速的背景調查——是否可以找到他們在鏈上的地址或是其他信息?
4.項目的流動資金是否在一定時間內安全鎖定?
5.項目的初始資金來源?
Limmy
今天的訪談告一段落。
現在我們將開放AMA,讓各位觀眾看看是否有問題想要詢問CertiK團隊。
觀眾問答
Limmy
接下來是各位觀眾的時間。
@S4dew4
預言機網絡在使用時一般都有集中式瓶頸。
CertiK的去中心化預言機網絡是否也有集中式瓶頸?
AaronLeibowitz
正如我們上面談到的鏈式治理與強大的、去中心化的安全工程師相結合,讓我們避免了本來會面臨的集中式瓶頸。
?@Idee01
CertiK是幣安智能鏈上唯一的保險項目。
如何評價幣安生態圈對項目發展的貢獻?
在支持下,CertiK能否成為世界頂級的審計公司?
MarcoCalicchia
我們的目標必然是成為安全領域的佼佼者。
幣安實驗室的支持使得我們生態系統和項目的發展具備了更大的優勢。
@Zidan30
CertiK的網絡、社區、合作關系等拓展戰略是什么?
如何確保CertiK基金會在未來2到5年及以后的時間里,保持頂級平臺的地位,并與競爭對手保持同步?
MarcoCalicchia
目前,我們正在投入大量的時間來建設我們的去中心化社區、資金池,維護與各類企業的合作關系。
我們在發展步伐上一定會與競爭對手保持一致甚至更加超前。
我們計劃開發并組建強大的去中心化解決方案,從而引領區塊鏈安全建設。
@QuyenCao93
CTK的必要性是什么?
CTK對于CertiK來說,它的主要作用是什么?
AaronLeibowitz
CTK作為CertiKChain的原生代幣,可以用于支付審計、參與社區治理和所有鏈上活動。
關于這個問題,可以在白皮書中找到詳細解答。
@ineed688btc
CertiK有什么即將到來的重大更新嗎?
AaronLeibowitz
大家可以通過關注CertiK的官方媒體平臺賬號,來及時獲取最新更新消息。
@jlaudybell
用戶在使用CertiK服務之前需要進行KYC嗎?
MarcoCalicchia
為了讓用戶的注冊過程更加順利,我們目前沒有KYC。
@kartika84
目前區塊鏈上的智能合約開發面臨哪些問題,CertiK如何解決這些問題?
雙節點和跨鏈的區別是什么?
AaronLeibowitz
CertiK為不同的安全問題提供多種解決方案。
例如DeepSEA作為一種可證明的安全語言,在處理智能合約相關問題時,是一個非常好的解決方案。
而關于跨鏈部分,我們目前正在為該領域制定一些互操作性的安全解決方案。
@Idee01
CertiKShield為因黑客或漏洞造成的資金損失提供補償,補償資金從哪里來?
MarcoCalicchia
資金來自于CertiKShield的流動性提供者。他們質押CTK作為擔保,將資金注入CertiKShield。
流動性提供者在質押的同時可以獲得14%以上的年化收益,這會鼓勵他們持續不斷的為CertiKShield提供資金。
@aksakayak
能否提供一些關于CertiKShield的更多信息?
比如它是如何工作的,系統中需要包含哪些內容?
AaronLeibowitz
CertiKShield是一個去中心化的鏈上資金池,用于補償丟失或被盜的資產。在我們的微信公眾號,有關于CertiKShield工作原理的完整解釋。
@QuyenCao93
CertiK在2021年的計劃是什么?
MarcoCalicchia
2021年,CertiK將促使更多的區塊鏈項目使用更多的安全服務和工具,為提高整個區塊鏈生態的安全標準所作出努力。
同時,我們會和更多的業內領軍項目進行合作。
2021年,CertiK也將歡迎更多的優秀人才加入我們的團隊和社區,延續2020年的成功!
總結
在烽煙四起的加密領域,投資永遠需要規避風險。
CertiK團隊給大家提供以下幾點安全隱患防范建議,作為參考:?
首先,投資前評估自己的風險偏好和資金實力。切勿因項目火熱并且出新頻繁就在短時間內忽略自己對風險偏好的判斷以及對風險承受能力的評估。?
在投資前盡量做好項目的調研。
比如關注相關社區及媒體消息,是否有人對合約的安全性提出過質疑。兼聽不同來源的不同聲音,同時獨立思考、積極辨識消息的真實性。?
最直接的方法則是檢查項目及其合約是否由著名安全團隊進行過專業審計并取得較高安全評價。
除審計以外,投資者們應學會使用安全預言機等實時安全檢測工具,做到對項目的安全情況了然于心。
最后,也需要關注項目是否購買了相關的保險計劃,評估項目的風險承受能力是否達到標準。
無論是對于投資者還是項目方。
謹慎,會在某一天給你滿意的答案。
來源:金色財經
今日資訊: 據數據,美東時間1月26日,灰度信托持倉數據變化如下:灰度BTC信托持倉量增加138.0枚,總持倉量為647287.99BTC.
1900/1/1 0:00:00前言: 浩瀚的投資理財世界里蘊藏著數不盡的財富,重要的不是你一次能夠賺取多少,而是你能不能控制風險,落袋為安,長久地立足生存。不是沒有陽光,是因為你總低著頭;不是沒有綠洲,是因為你心中只有荒漠.
1900/1/1 0:00:00在這個市場上沒有規劃的投資無異于在大海上漂浮的一只小船,隨時都有翻船的可能,投資并不會因為你是弱者而享受優先待遇,大浪淘沙,沉者為金,卷殘風云,“剩”者為王,打有準備的仗我們才能存活下去.
1900/1/1 0:00:00國際黃金行情分析: 金價雖然近期起伏有限,上漲節奏也受到限制,不過市場還是比較看好其在2021年的走勢,尤其是拜登上臺后,更加多的還是積極的信號,當刺激計劃和貨幣政策繼續出爐之際.
1900/1/1 0:00:00BTC行情分析 比特幣在昨日晚間小幅下跌之后最終止跌,幣價凌晨持續反彈,在早間小幅上漲之后迅速回落,當前走勢來看幣價上方的32500仍然是十分強勁的一個壓力點,幣價多次試探突破難以企穩.
1900/1/1 0:00:00團隊加盟 歡迎各路有識之士加盟 Accumulated Finance從Curve創始人手中購買125萬枚CRV:8月11日消息.
1900/1/1 0:00:00