用Python進行DeFi應用的開發：不同的區塊鏈項目是如何解決安全問題的?_SMART

來源/LongHash

Tezos作為著名的PoS公鏈，其亮點并不僅僅只是Staking，Tezos的形式化驗證特征同樣也是其主要技術亮點之一。形式化驗證能讓DeFi的安全性方面如虎添翼，讓用戶對資金的智能合約安全更加有信心。形式化驗證方法和DeFi安全

DeFi的爆發式增長吸引了不少開發者，著名的DeFi協議如Compound、Uniswap、Syntheix累計收獲了上億美元的資金。但是，DeFi存在一個重大漏洞：安全性。這個漏洞的代價是昂貴的，它給一些區塊鏈項目的網絡效應帶來了負面的影響。過去幾個月被攻擊的DeFi項目就包括Curve.fi、Lendf.Me、PegNet等，其損失從數十萬美元到數千萬美元不等。tBTC在上線幾天后通過自查及時發現了bug并凍結了存幣，避免了一場災難。而對于注重安全性的DeFi開發者來說，Tezos的形式化驗證方案能夠在加強安全性的同時賦能DeFi應用。在傳統互聯網應用中，如果服務器被黑客攻擊，只需要對服務器端用戶數據進行回滾就可以挽回用戶損失。因此，重視用戶體驗的傳統互聯網應用可以以犧牲安全性換取速度和功能上的快速迭代。然而在DeFi應用中，由于區塊鏈的不可篡改性，智能合約一旦上線并出現安全隱患，對用戶造成的損失是巨大且不可挽回的。因此，DeFi應用開發的過程需要用大量的測試和昂貴的審計以獲取足夠的安全性，而反過來會犧牲迭代的速度，影響了產品的易用性。并且，因為安全審計的價格昂貴，很多開發者并沒有能力發起DeFi應用。區塊鏈開發人員目前仍然是稀缺的，導致人工審計的成本非常高昂。因此越來越多地使用機器輔助驗證是目前的趨勢，而機器輔助審計中的形式化驗證方法更是確保安全性的不二法寶。形式化驗證指的是用數學中的形式化方法對算法的性質進行證明或證偽，方法有兩種：一種是模型檢驗，即把系統所有可能的狀態列出并進行一一檢驗，此種方法全自動化但只適合小型系統；另一種是演繹驗證，首先把系統代碼標記成抽象數學模型，然后對定理進行證明，此種方法適合大型系統，但是首先需要人工將系統的運作方法轉換成驗證系統可以理解的語言。形式化驗證方法在很長一段時間里，由于其成本較高昂，主要應用于學術、國防軍工、航空航天等領域，在商業領域應用較少。由于傳統互聯網應用與區塊鏈應用的運行環境有著本質的不同，其開發流程也應當相應地進行調整，其中最關鍵點在于安全驗證環節的投入比例。函數式語言在公鏈領域的應用

安全團隊：一黑客從使用Profanity生成的以太坊地址中盜取95萬美元的加密貨幣:9月26日消息，據派盾（PeckShield）監測，0x9731F開頭的地址從使用Profanity工具生成的以太坊“靚號地址”中竊取了95萬美元的加密貨幣，攻擊者已將將732枚以太坊轉移至Mixer。

此前消息，1inch發布報告稱，通過Profanity創建的某些以太坊地址存在嚴重漏洞。[2022/9/26 7:21:17]

許多區塊鏈項目為了保證安全性，在底層架構、虛擬機或智能合約的語言方面，選擇了函數式語言，如Ocaml、Haskell、Erlang等。函數式語言由于其嚴格的變量類型定義和編譯檢驗，以及擁有較好的形式化驗證工具鏈，在安全領域擁有很好的口碑。常見過程式語言編寫的代碼，一般必須重新用函數式語言標記方能進行形式化驗證。

Solana鏈上NFT應用Primitives完成400萬美元種子輪融資，Redpoint領投:5月25日消息，Solana鏈上NFT應用Primitives宣布完成400萬美元種子輪融資，本輪融資由Redpoint領投，Union Square Ventures、Harlem Capital、Stellation Capital等參投。Primitives提供了一個有趣、易于使用的移動網站，幫助用戶免費創建和共享NFT。此外，Primitives還內置了一個原生加密錢包讓用戶保存NFT。[2022/5/25 3:41:39]

我們看到，在以上項目中，Tezos支持的智能合約高級語言的種類最豐富，不僅包括Pascal,Ocaml,Haskell等多種函數式語言，也包括了Python這一應用普遍的語言。而Cardano、Aeternity都需要開發者學習一門新的函數式語言，使得開發門檻變得較高。Michelson語言的安全特性在智能合約語言的設計上，Tezos采用了一種取長補短的創新方案。Tezos的智能合約底層采用基于Ocaml的Michelson語言，而開發者實際接觸的是Python等高級語言，并不需要了解Michelson語言本身。如此以來，可以結合Michelson語言更好的安全性與可審計性，與Python等高級語言的易于編程性。Michelson在架構上對標的是以太坊EVM，與EVM相比其相似之處有1）是一種stack語言2）使用鏈上存儲3）采用gas費用模型4）圖靈完備Michelson與EVM的主要區別是，1）靜態類型所有進入Michelson智能合約的數據，都需要明確定義其類型。避免了跟類型不匹配有關的程序bug，如浮點溢出、除以0等。2）原子計算一個Michelson智能合約必須完成執行后才能調用其它智能合約。這一點避免了以太坊上經常發生的re-entrancy攻擊(如著名的DAO攻擊）。3）明確的調用失敗執行期發生的失敗只有三種，明確失敗、gas耗盡、數量溢出。這一點避免了以太坊上常出現的隱含模代數、錯誤指令、stack溢出等類型的常見執行期攻擊。4）嚴格的語義大小寫、空格、短行都有嚴格規范的要求，讓代碼審計變得更方便。可以看到Michelson相比EVM在安全上有諸多的改進，可以更好地抵御以太坊上經常出現的攻擊類型。SmartPy開發工具包

免傭金股票交易應用Public將支持用戶購買加密貨幣:金色財經報道，類似于Robinhood的免傭金股票交易應用程序Public宣布，將在未來幾周內允許其用戶買賣10種加密貨幣，包括比特幣、比特幣現金、以太坊、以太坊經典、萊特幣、Dash、Stellar、Cardano、Zcash和狗狗幣。Public的紐約用戶將無法立即進行加密貨幣交易，因為Public尚未在紐約州獲得BitLicense，但該平臺正在努力獲得。Public新加密產品的后端運營將由Apex Crypto管理。此外，該公司表示正努力在未來提供自己的加密錢包。[2021/10/8 20:11:38]

Tezos上的Dapp開發者并不需要掌握Michelson語言。這是因為開發者可以使用基于Python的SmartPySDK，并將Python代碼寫的智能合約編譯成Michelson語言。因此Dapp開發者只需要會Python就可以輕松上手。SmartPy是一個Python庫，而SmartPy.io讓用戶能夠在一個瀏覽器中執行Python腳本。Smartpy的官方網站提供了一個在線編輯器(https://smartpy.io/demo/)，Dapp開發者可以直接用Python編寫代碼并編譯成Michelson智能合約，然后部署到Tezos主網上。其使用界面設計相比以太坊的Remix在線編輯器更簡潔明了，非常容易上手。Smartpy還自帶了一些現成的開發模版，方便開發者參考學習。SmartPy.io的界面如下。屏幕左側區域是代碼編寫區，開發者可以輕松地使用Python來寫入并編輯合約的代碼。Smartpy不需要像Remix一樣分兩步編譯和執行，按一下代碼區上方的執行按鈕就一步搞定，非常方便。執行結果立馬就可以在屏幕右側顯示出來，包括合約調用的入口、存儲狀態、編譯的Michelson代碼等。

桑坦德銀行于英國推出跨境支付應用PagoFX:桑坦德銀行（Banco Santander）已于英國推出了有著Ripple技術背景的跨境支付應用程序PagoFX，該應用允許客戶在未來兩個月內使用其服務將資金轉移到國外，而不收取任何費用。

據悉，PagoFX是桑坦德銀行現有的國際貨幣轉賬服務One Pay FX的公開市場版本，One Pay FX系桑坦德銀行與Ripple合作開發，可為歐洲和美洲主要國家的銀行客戶提供快速的國際轉賬服務。PagoFX則是面向所有用戶開放，預計將于今年在其它歐洲國家推出，并在3至4年內打入20個市場。（Finextra）[2020/4/16]

除了在線編輯器，SmartPy還有一個命令行版本SmartPyBasic，讓開發者在本地環境也可以編譯運行SmartPy代碼。部署的智能合約可以用SmartPyContractExplorer進行查看，合約的當前狀態和歷史操作都一覽無余。目前SmartPy已經支持Python常見的許多功能，如本地變量，變量類型判斷，Lambda函數等。少數不支持的功能如array，可以用map來代替。這也就意味著學習SmartPy不需要投入很多的時間和精力，開發者可以專注于實現更好的功能。以下是一些關于SmartPy入門的訓練課程：CryptoverseWars:https://cryptocodeschool.in/tezos/overview/BlockmaticsSmartPyDevelopercourse:https://cryptocodeschool.in/tezos/overview/總結

聲音 | 美國CFTC主席：ETH 2.0使用PoS機制后可能使以太坊成為證券類代幣:金色財經報道，美國商品期貨交易委員會（CFTC）主席Heath Tarbert近日表示，挖礦是一種更去中心化的方式獲得加密貨幣，但以太坊屬于何種性質的代幣將可能發生改變。由于ETH 2.0將使用權益證明，持有者可以從網絡中持續獲得收益。而權益類代幣在某些因素下，可能不能通過Howey測驗（測試是否是證券的測驗），這樣就會被視為證券。此前，CFTC主席Heath Tarbert表示，ETH不是證券，而是一種商品，因此屬于CFTC的管轄范圍。（bitcoinexchangeguide）[2019/11/14]

Tezos通過智能合約語言分層的設計，在虛擬機層采用基于Ocaml的Michelson智能合約腳本語言，增強了可讀性與安全性。這樣的設計對Dapp開發者來說非常便利。另一方面還提供了SmartPySDK，這樣就可以用Python編寫智能合約然后編譯成Michelson語言，充分發揮Python的簡潔與易懂的優點。這些特性的組合可以幫助DeFi應用跨過目前安全問題的障礙，為用戶提供更優質的服務，并幫助他們省下一筆昂貴的安全審計費用。附：Michelson與SmartPy語言特征詳細說明及dapp開發實例一個簡單的托管合約:https://smartpy.io/demo/tic-tac-toe井字游戲dapp:https://smartpy.io/demo/本文是LongHash與Tezos基金會之間合作關系的一部分，但文中的觀點不代表Tezos基金會。

Tags：MARTMARARTSMARTh5bitmartnewsEVERMARSHARTABidao Smart Chain

DYDX