查看原文
其他

​OKEx学术讲座回顾:如何确保DeFi投资者的资产安全

CertiK CertiK 2021-02-05

自2019年以来,DeFi已成为加密货币领域的流行语。

上月初,OKEx学院举办的OKEx学术讲座由Boxmining以及来自慢雾和SECBIT的代表联合主持,邀请了Dominik Teiml – CertiK的首席以太坊审计师 ,围绕DeFi和安全性主题进行了在线实时讨论。

CertiK的安全工程师Dominik Teiml在会上分享了其对于DeFi安全性以及DeFi投资者如何确保其投资安全的见解。

DeFi即去中心化金融(Decentralized Finance)。2019年DeFi迅速发展,进一步促进了去中心化网络的使用,推进了重构传统金融和区块链技术的进程。

无论是储蓄,贷款还是其他交易,DeFi都可以创建一个建立在全球同步的基础上更加透明的框架。

就目前情况而言,许多区块链项目实际上仍在通过中心化组织进行链管理。最典型的例子就是一些缺乏透明度和问责制的交易所。虽然他们使用的协议和共识方法可能是去中心化的,但是实际资产的访问点仍然是集中状态。

DeFi的最终目标是帮助人们有效控制和管理自己的资产,它现在是加密货币和区块链行业增长最快的领域之一,这也得益于行业人员为建立完善基础设施所进行的努力。用户能够通过不同的方法,构建新的价值形式并创造出安全且分散的有影响力的产品。

DeFi找到了将控制权从中心化实体转移到人们手中的替代方法。这种分散式技术比过去有了很大进步,但是它仍然面临着一定程度上的安全威胁。

安全性与收益递减息息相关。而很多时候,验证方法本身就可能存在错误,因此不能保证100%安全。这就是当前我们陷入的逻辑悖论:验证安全性的手段却不能保证自身的安全性。

“但是,我对此持有乐观的态度。我们可以通过适当的措施来实现验证手段的安全性。” CertiK安全工程师Dominik说,“我们已经进行了广泛深入的审计,使用了形式化验证手段,还进行了漏洞悬赏……”

“但有趣的是,我们采取的这些方法是否具有可扩展性?我们可以找到一种完全自动化的安全工具吗?现在看来,还没有人能实现这一目标。这些问题仍然悬而未决。”

形式化验证是CertiK独有的一种高度专业化审计流程。它可通过数学方法证明区块链智能合约的安全性和正确性,保障源代码仅按其设计意图和设计规范执行操作。虽然形式化验证也许无法防御所有的攻击媒介,但这种严格的审计方式是目前能够防范某些最关键、最频繁的漏洞的唯一方法

采用像Vyper和Haskell这样的新编程语言的人越来越多,区块链安全性也随之变得更加强大,区块链也因此更具有活力。

在区块链发展的早期阶段,许多人低估了安全性对于区块链的重要性。所以一些基于过去的编程语言建立起来的区块链即使处于最佳状态,或者有强大的外部保护措施时,在本质上仍不安全。即使是架构决策也积重难返,难以有效解决这种情况。

“EVM会动态跳转,这让静态分析的整个过程变得麻烦不说,还得不到什么好处。我认为,Solidity 0.5已成为安全性的新标准,扭转了一些不良语言设计决策所造成的局面。Vyper更好,但它不适用于大型项目编程,也缺少很多重要功能。”

CertiK研发的DeepSEA是一种以EVM为目标的新编程语言。它用于编写经过验证的智能合约,能应对所有的安全性挑战,还可以进行无缝连接的形式化验证。当使用Coq证明助手进行形式化验证时,程序员还可凭借DeepSEA处理那些复杂的代码。

DeepSEA可以确保程序未来的安全性。当前,它正在向WASM过渡,WASM不仅关注安全性,还拥有其自身的安全工具生态系统。此行为同样非常有利于对于安全性的保障。

DeFi似乎成为了引领区块链技术变革的新动力。安全性在各个领域都只会越来越重要,DeFi也有可能会在未来拥有无数的落地应用。投资者可以抓住时机,成为新一代技术的“弄潮儿”。

尽管如此,与其他的所有技术一样,投资者应该事先进行研究并了解相关风险从而做出更好的选择。Dominik建议投资者们在投资前先阅读项目的审计报告,这可以帮助你保护资产,避免遭受损失。

“使用任何DeFi应用程序之前,应先阅读审计报告。报告会指出项目程序在审计过程中暴露出来的那些‘从未发现,后来被利用’的漏洞。投资者可以事先浏览最新发布的报告是否发现项目程序的严重或关键漏洞。”

在DeFi中优先考虑安全性将成为构建真正的去中心化和无需许可产品的关键性因素。

想要了解CertiK有关DeFi产品安全性的更多信息,可以点击下方蓝字阅读原文访问CertiK官网,或是直接发送消息至CertiK微信公众号来联系我们。


了解更多

General Information: info@certik.org

Audit & Partnerships: bd@certik.org

Website: certik.org

Twitter: @certik.org

Telegram: t.me/certik.org

Medium:medium.com/certik

币乎:bihu.com/people/1093109


往期回顾


请点击“阅读原文”访问CertiK官方网站

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存