RAN:IOSG Ventures：智能合约安全分析工具商业化的机会来了么？

在9月底Paradigm官宣完成了区块链安全项目Blowfish的领投又一次引起了大家对智能合约安全分析领域的广泛关注。但其实Paradigm团队在此之前就已经在智能合约安全测试方向做了很多实践，在今年3月ParadigmCTOGeorgios公布了他们开发的Foundry智能合约测试套件，如今区块链安全分析也再朝着更细致的分工方向发展。

图片来源：https://twitter.com/chainalysis/status从最近几个月融资趋势和市场反应来看，一级市场资本目前对注重安全信息时效性、风险覆盖度、技术偏轻量级的安全监测、防火墙领域有浓厚的兴趣。根据CertiK和SlowMist的相关报告，仅2022年第一季度和第二季度因安全攻击问题crypto资产损失就高达20亿美元。在第二季度单闪电贷攻击就到导致了总计3亿美元的资产损失。而本月更是成为了有史以来黑客活动最大的一个月，两周内仅针对DeFi协议的攻击已超过12次，被盗金额超7亿美元。

图片来源：https://twitter.com/chainalysis/status如果我们把链上智能合约从开发>>部署至区块链网络>>运行看成是一个完整生命周期的话，针对智能合约的安全分析分为：针对合约部署前的分析、合约部署后的分析，这大致涵盖了：测试、审计、监测三大类目，每个类目下面又有各种类型的分析方式和相应的工具。

去中心化机器学习协议ChainML获IOSG Ventures领投400万美元:金色财经报道，由经验丰富的技术高管和机器学习专家创建的全球初创公司ChainML宣布筹集400万美元的种子资金，该公司正在为去中心化机器学习和Web3中相关复杂数据驱动计算构建防篡改、可扩展协议。本轮融资由IOSG Ventures领投，HashKey、SNZ、硅谷高管和天使投资者参与。

ChainML计划利用本轮融资创建其ChainML协议的第一个迭代，简化智能合约、dapp和钱包中AI和机器学习模型的使用。（the block）[2022/9/28 5:55:46]

PS：智能合约的审计覆盖面会从合约部署前到部署后智能合约部署前的安全分析：测试+审计

1.1测试

合约测试是开发者和审计者需要花费最多精力的工作，这与传统开发者不同。因为区块链不可篡改的特性，一旦智能合约部署到EVM虚拟机上就难以变更，因此安全分析、弥补安全漏洞的工作大部分花费在“事前分析”——对智能合约部署前的安全测试。在接受正式审计前，合约开发者/审计者需要对合约的代码进行一些基础性的测试，初期测试的覆盖率越高越能避免一些简单的bug进入正式审计阶段。常见的基础性的测试有单元测试和集成测试。这个阶段常用的工具有Hardhat、Truffletestframework等，常见的测试内容包括：状态检查、事件触发、交易重置、函数计算、完全功能测试。

Chiliz将向巴萨工作室Bar?a Studios投资1亿美元:8月1日消息，粉丝Token平台Socios.com宣布与巴塞罗那足球俱乐部达成战略与技术合作，将在区块链、NFT、数字资产以及Web3战略等方面支持巴塞罗那足球俱乐部。

此外，Socios.com开发商，体育和娱乐区块链解决方案Chiliz将向巴萨工作室Bar?aStudios投资1亿美元，占股24.5%。巴塞罗那足球俱乐部已于2020年2月在Socios.com上推出粉丝TokenBAR。[2022/8/2 2:52:03]

图片来源:https://betterprogramming.pub/1.2审计Auditing

「测试可以有效的发现程序存在的缺陷，但是它却无法证明程序不存在缺陷。」——EdsgerWybeDijkstra根据Ethereum官方文档的定义，审计是对智能合约每一行源代码的细节评估，攻击者的思维方式来绘制智能合约中可能的攻击向量，以发现可能的故障点、安全漏洞和不良的开发实践。审计阶段大致包含：静态分析、动态分析、人工分析、形式化验证。正如上图所说的Dijkstra，单靠测试无法完全相信程序没有故障，审计、形式化验证更多的是想更加靠近程序不存在缺陷这一目标。

金钱成本

根据智能合约安全公司Hacken的数据，智能合约审计服务的行业的平均成本在5000美元到30000美元之间。对于大型项目，成本有时可以达到50万美元甚至更高。智能合约审计的成本直接取决于代码复杂性和商定的工作范围。影响价格的其他因素包括紧急程度、智能合约的大小、完成流程所需的工程小时数、与项目相关的文档的可用性等因素。时间成本

宙斯在线科技、优炫软件（430208）、IOST宣布联合成立气象环境社会化观测实验室:近日，宙斯在线科技（ZWS）、企业级区块链应用平台IOST与上市公司优炫软件（430208）官方宣布，联合成立“气象环境社会化观测实验室”，致力于以区块链技术为基础，解决气象环境社会化观测问题。三方将发挥各自在社会化观测、区块链技术研发和数据处理的优势，联合监管部门，开展深度合作。

宙斯在线科技是一家区块链气象社会化观测解决方案提供商，宙斯气象系统（ZWS）是利用区块链技术，进行全球分布式气象环境数据收集的社会化观测解决方案。

优炫软件（股票代码：430208）是一家基于IT技术和软件研发、产品、服务及全方位解决方案的数据安全产品运营服务商。

IOST是一个由红杉、经纬、真格等全球一线美元投资机构支持的，为在线服务提供商而开发的企业级区块链应用平台，也是全球Top 4的DApp公链平台。[2020/8/3]

初始审计平均需要2到14天，这也具体取决于项目的复杂性、智能合约规模和紧迫性。对于大型项目或协议，初始审核可能需要长达1个月的时间。初始审核完成后，客户会收到有关要引入哪些修改的建议。人力成本

根据IOSG在区块链形式化验证领域的领投项目RuntimeVerification的反馈，审计的人力成本取决于协议的复杂性。对于大部分拥有资深行业经验和学术经验的头部安全审计公司来说，理解crypto客户项目的商业逻辑和tokeneconomics基本没有太大难度，一般两个专业的工程师大概花费1~2个星期就可以完成初始步骤。但是接下来的部分会取决于客户的具体需求。有的客户只需要对被审计项目的基本业务逻辑进行人工审计，这是最便宜的服务。有的客户希望对业务逻辑和tokeneconomics进行建模然后手工进行数学证明以确保某些重要结果成立，例如安全性、活性、一致性等。有些大客户像MakerDAO、以太坊基金会等则希望更进一步，对代码进行形式化验证(FormalVerification)。这里关于形式化验证再多说一句，形式化验证是用数学方法去验证程序的正确性——程序的实现与程序员的意图相符，最终证明项目的系统是BugFree的。或者换句话说，形式化验证像是一种更全面的「testing」，它理论上会包含所有可能的输入和状态，这是testing无法做到的

Gate.io发布iOS TestFlight2.4.8版本:据官网公告，Gate.io已发布iOS TestFlight2.4.8版本，APP内新增ETH法币交易对和商家蓝色v标识，支持法币浮动下单、商家挂单增加隐藏价格；动态新增屏蔽、搜索、分享和邀请好友等功能，动态内容可复制，点击状态栏即可返回顶部界面；行情页新增实盘排行榜功能，用户可进行实盘开通、管理和进行信息查看；优化直播列表，添加直播中、直播预告、精彩视频分模块展示和新增订阅功能；新增低交易量过滤功能。详情见原文链接。[2020/6/27]

图片来源:“BadProofsinFormalVerification”byCertorateamatDevconBogata从实际规模化运用来说，形式化验证相对传统的测试方案在规模化运用上相对较慢。大部分的crypto项目来说，完成智能合约审计之后就已经足够，从成本投入和潜在效益来说对小型项目来说还不是必需品(或者说证明程序是bug-free的代价还比较高），核心原因是形式化验证需要专业的形式化人才参与，因为对项目代码创建形式化规范

常见的工具

智能合约审计当下仍然是一个labourintensive的行业，并且对人才的技术要求较高。目前虽然市面上有十几款比较流行的审计工具。因此，仅仅依赖这些工具去完成审计工作比较困难，可能会错过许多和业务逻辑相关的漏洞。通常审核智能合约需要使用自动化工具+手动代码审查相结合的方式，并且根据客户的智能合约业务逻辑、代币模型的不同需要casebycase的人工审查。智能合约安全分析和审计往往是在验证程序的正确性，也就是程序的实现与程序员的意图相符。因为程序的bug，其实都是由程序的实现与程序员的意图之间有区别导致的。我们之前在分享我们投资RuntimeVerification一文中提及的形式语义学的其实就是能让开发者的开发意图和实现精确相符的语言框架，从而减少bug的出现。在智能合约安全审计领域目前虽然市面上工具也不少，且大多开源，但是拿来真正做到成功商业化的寥寥无几，这其中根本原因我们后面也会分析，总之目前还是依赖于安全服务提供商自己的自动化工具+人工阅读每一行代码或建模，基本无法通过直接卖自动化审计工具拿到规模化商业收入。

动态 | 隐私保护项目Suterusu与IOST达成战略合作以构建隐私功能:隐私保护项目Suterusu宣布与公链项目IOST达成战略合作，双方将在实现异构区块链隐私保护功能、密码学理论研究、生态建设和市场推广等方面展开深度合作。Suterusu表示将使用原创的zk-ConSNARK，为IOST生态构建layer 2的侧链，助力IOST实现隐私支付，隐私转账、隐私合约等功能，并在此基础之上为基于IOST公链的DeFi产品提供更好的隐私保护功能。[2020/2/10]

根据我们最近领投的Hexens反馈，初期对于一些静态分析的测试Slither和MythX是他们常用的开源工具，虽然结果并不能让他们非常满意。对于更高级别的测试，他们主要用fuzzers如Echidna、Forge+builtinfuzzer智能合约部署后的安全分析——监测

目前10种最常见的区块链网络安全攻击里Scam出现频率最高，且给用户直接造成资产损失最高。根据Peckshield的数据，在2021年crypto因为各类scams造成的链上经济损失达120亿美金，比黑客直接攻击造成的损失要高6.7倍。常见的scam攻击：网络钓鱼案例：Alice登录某交易所后链接MetaMask钱包，收到弹窗提示钱包故障，需要助记词恢复，恢复后钱包内资产被全部盗走。冒名/冒充案例：乌克兰政府接受加密货币捐赠并宣布空投NFT，冒名者伪装成乌克兰政府发出假token空投进行。Discord管理身份劫持案例：黑客通过控制蓝筹NFT如BoredApeYachtClub等discord官方服务器，批量对成员发送错误链接，用户点击后资产会被不可逆地盗取BGP劫持案例：Celer遭受BGP劫持攻击，波及32名用户和23.5万美元的损失代码后门&陷阱案例：Bob在某网站mint了一个NFT，两天后发现不翼而飞。因为攻击者在NFT代码植入了某些特征，可以授权他人进行NFT交易或可以破坏他人的NFT，无法挂单等。前端恶意代码(攻击者会将恶意代码植入交易所等网站的前端，如用户浏览器的标签管理系统，从而通过这串恶意代码生成错误的批准，允许用户资产被转移至攻击者的地址)案例：KyberSwap因为黑客安插的前端恶意损失256万美金

图片来源：GoPlus常见的工具：

相比于智能合约安全审计，提供monitor&firewall服务涉及的业务内容更为庞杂和细密。Focus在合约部署前以及合约部署后升级的智能合约代码安全审计，往往通过各类型的测试输入一系列的值来看合约的输出值及状态是否正常运行。比如针对一个常见的链上转账逻辑，常见的测试人员会做：transferzeroether,transferalltheether,transferslightlymorethanalltheether,transferthelargestpossibleamountofether,transferanaccount'svaluetoitself等事情来看合约是否可以如能做到程序员预期该做的事情和实现的结果。Focus在事中安全分析的monitor/firewall服务，要处理的问题更繁杂。并且目前看下来这类项目提供的安全服务更注重广度，它们相对比合约审计的安全服务更轻量级。涉及许多跟检查代码正确性之外的安全风险，比如各类、钓鱼相关的攻击。而监测这些漏洞除了需要依赖合约解析能力之外，还需要不断更新可疑地址、可疑合约逻辑、可疑资产清单等数据的风险数据库。

通过我们和最近行业内从业人员的交流，发现不同的Monitor服务定位其实也各有不同，比如GoPlus更加注重提供数据API服务给项目方甚至是一些注重前端的防火墙；Harpie、Blowfish更注重提供前端服务，当用户执行一个交易行为、或者完成一次授权之前模拟这个交易以发现问题阻止用户有安全风险的交易；Tenderly则更注重开发者的需求，为智能合约开发者提供运行监测等服务。当然目前这个领域还比较新，尽管像Opensea这样的大型交易平台已经和一些项目进行实质的商业合作，但是我们认为未来商业化的路径还是不太明晰同时会遇到的同业竞争会不小。智能合约安全分析工具的商业发展机遇和挑战

1）目前来看行业内的许多人认为monitoring&firewall跟securityauditing之间的商业边界还较为模糊，理论上来说由在区块链安全领域深耕多年的专业安全审计公司直接提供monitoringservice，甚至开拓B2C,2C化的终端用户直接收益的产品更符合商业发展逻辑。但是由于monitoring赛道刚刚起步，收费模式和盈利模型尚不明确，如果市场回暖安全审计市场会仍然处于供>需，订单做不完的状态可能无暇顾及这个新兴市场，这个时间窗口会是给新出现的专门做monitor/firewall的公司一个很好的机会。2）智能合约审计的自动化工具目前市面上已经由很多，常见的有十几种大多开源。这个方向通过卖工具来收费的商业模式尚未跑通，核心原因是：1）黑客和安全防御者的博弈关系是anarmsraceandtheattackisalwaysamovingtarget，魔高一尺道高一丈。安全工具一旦推出，黑客就会尝试绕过它，开发出新的攻击形式。所以安全工具只能不断迭代更新将攻击门槛提高；2)大部分工具使用门槛不低，会使用专业安全分析工具产品的人少，因此限制了市场规模(虽然RuntimeVerification有在推给普通开发者使用的Firefly,ConsenSysDilligence也有MythX);3)安全分析工具只能覆盖主流的漏洞，而跟据协议业务逻辑的经济模型的不同客户主观更希望审计团队人工提供定制化的服务。团队主观也希望一个受市场authorized的审计公司提供较深度定制化审计服务并且盖戳。因此，提供monitoringservice会是专业安全团队切入可规模化产品的一个很好的机会点。3）为defi项目方，DAO或个人服务的insurance业务可能会成为下一片蓝海。考虑到目前市场对于黑客直接盗取私钥等攻击方法并没有良好的防范或解决方案，以风险规避和资产保障为目的的保险业务很可能在未来会受到更多的青睐。当然考虑到加密资产本身的复杂性和合规方面的多重不确定性，underwriter往往会承受更大的风险，因而在解决这一问题之前，insurance产业的发展可预见地，仍然将面临一定的瓶颈。期待随着整体加密资产体量的上升和更多传统机构用户的进入，insurance业务能在下一个周期来临之前能够实现更多制度性的完善。原地址

标签：区块链THEINGRAN区块链证据保全怎么操作的The Lab Financeking币局Tranchess

屎币热门资讯