DEFI:揭秘零蹤安全：兩位以太坊實踐者的再次實踐

“智能合約的安全級別主要取決于兩個因素：內部風險和外部風險。其中內部風險主要表現為合約自身的邏輯復雜度，外部風險主要表現為合約與第三方合約的交互程度。”

兩段歷史

2020年8月，以太坊剛剛公布了Eth2.0信標鏈測試網的質押合約地址，整個加密貨幣行業開始熱議“Eth2.0信標鏈是否會帶動一次新的staking業務以及DeFi發展”。

此時，在以太坊魔術師論壇里，一篇名為《以太坊2.0抵押協議的修改提議》文章出現了，文中提議：以太坊2.0的抵押方式可以通過新型穩定幣抵押并發放榮譽NFT來調整，以增加抵押者的抵押動機和規避流動風險。

這篇文章的作者分別是，周朝暉、張華、譚粵飛。

這一提議得到了社區開發者的熱烈討論，巧合的是，負責以太坊EIP審核的MicahZoltu詳細分析了文章，并看到了文章中關于利用以太坊存儲鏈上圖片的改進提案EIP-2569，從此，以太坊ERC協議層中便多了一個圖像存儲協議ERC-2569。

比特幣向上觸及29000美元/枚:金色財經報道，行情顯示，比特幣向上觸及29000美元/枚，日內漲3.66%。[2023/4/26 14:28:37]

時間退回到2019年7月，在北京舉辦的以太坊開發者大會上，譚粵飛在周朝暉老師的介紹下結識了張華，通過溝通，發現了張華對各個流行的區塊鏈系統都有深刻的理解并精通各種區塊鏈系統中智能合約和DApp的開發。

三人志同道合。隨后在周朝暉老師的帶領下一同創建了DAO項目DAIsm，而DAIsm就是上文Eth2.0信標鏈文章的主要提議者。在DAIsm，三人在周老師的帶領下完成了各類的智能合約以及DeFi、DApp的開發。

一個起點

ERC-2569是周朝暉老師提出，張華和譚粵飛深度參與的。這是一個提議利用SVG圖像格式在以太坊上存儲圖像文件的EIP協議，而這個協議因為其創新特性，最終成為了ERC協議。

該協議可以將SVG圖片永久存儲在以太坊上，為同質化通證和非同質化通證中涉及的圖標、圖片存儲提出了鏈上存儲的解決方案。這是第一個由中國大陸境內的團隊創建并被以太坊收錄的標準。

前麥肯錫合伙人IanHurst擔任Lukka首任歐洲負責人:2月2日消息，加密資產軟件和數據提供商Lukka已任命前麥肯錫合伙人Ian Hurst為首任歐洲負責人，將負責進一步擴大在歐洲市場的業務。此前Ian Hurst曾在IBM擔任全球金融服務總經理，負責與全球主要金融服務公司的整體關系。[2023/2/2 11:42:25]

因為很早就開始接觸并共同參與以太坊相關項目的深度開發。在合作過程中，譚粵飛和張華對彼此都有了很深的了解和認同，并因此形成了密切的合作關系，構建了這個團隊的雛形。

自此，兩人開始密切關注以太坊生態的各種動向，深入研究以太坊的各種技術，尤其是Solidity和Vyper開發及智能合約安全技術。

此后，兩人還繼續參與了一批DeFi項目的設計、構架及編碼，對DEX、DAO、借貸、穩定幣等合約的架構、實現、常見問題等都有豐富的經驗。

值得一提的是，在2019年當Vyper語言剛興起時，兩人就開始用Vyper語言進行實踐，并在深圳大學的區塊鏈課程上向學生們介紹了Vyper語言。這在以太坊社區乃至加密貨幣社區里都是少有的實踐。

數據：zkSync橋接存儲總價值突破20萬枚ETH:金色財經報道，據 Dune Analytics 數據顯示，以太坊 Layer2 擴容解決方案 zkSync 跨鏈橋接存儲總價值已突破 20 萬枚 ETH，截至目前達到 200,003 ETH（按照當前 ETH 價格計算超過 3.3 億美元），參與橋接交易的用戶量為 530,753 個。其他 L2 存儲總價值方面，當前 Arbitrum 跨鏈橋存儲總價值約為 211.23 萬枚 ETH，Optimism 約為 46.65 萬枚 ETH，StarkNet 約為 1.04 萬枚 ETH。金色財經此前報道，zkSync 開發公司 Matter Labs 于去年 11 月中旬完成 2 億美元 C 輪融資，Blockchain Capital 和 Dragonfly 共同領投。[2023/1/21 11:24:26]

2020年6月Compound發行治理通證掀起DeFi大潮后，兩人敏銳地關注到DeFi應用的崛起會對業界尤其是安全領域帶來巨大的挑戰。因此便開始深入研究各個流行DeFi項目的源代碼，跟蹤每一次DeFi領域的重大事故，分析事故的原因，找到應對的解決方案，并在這個過程中積累了豐富的經驗。

Lens Protocol發布LensSDK首個開發者預覽版:金色財經報道，Web3社交圖譜協議Lens Protocol官方推特宣布發布LensSDK的第一個開發者預覽版，Lens Protocol表示，該SDK能夠改善開發者使用LensAPI進行構建的體驗，允許在幾秒鐘內與Lens Protocol集成，并允許完全控制應用的用戶體驗。[2022/12/24 22:05:33]

這些過往，成為了靈蹤安全的起點。

從技術極客向審計者的角色轉變

在DeFi不斷發展的今天及未來，安全事故發生的頻率必定越來越高，這在原本只是“技術愛好者”的兩位看來是一個難得的契機，終于可以把自己的經驗及技能付諸于項目了。

基于既有經驗，他們為零蹤安全設計了這樣的審計過程。

據譚粵飛介紹，靈蹤安全目前的主要審查技術包括兩部分：

一是用自研發的系統工具對合約進行標準化審查；

二是工程師根據項目白皮書及描述對代碼編寫的邏輯和一些常見的風險進行審查。

MachineFi Lab完成5000萬美元A輪融資，Hashkey Capital等參投:金色財經報道，物聯網區塊鏈平臺 IoTeX 核心開發商MachineFi Lab 宣布完成 5000 萬美元 A 輪融資，Hashkey Capital、IOSG、Escape Velocity、Jump Crypto、Goodwater Capital、Xoogler Ventures、Wemade、Hanwha Impact、Alpha Grep、DHVC、Vista Lab、NewBuild VC 等參投，據該公司聯合創始人 Jung Sun 透露，本輪融資將有助于顯著擴大 MachineFi Lab 團隊。據此前相關報道，MachineFi Lab 在 6 月初以 1 億美元估值完成 1000 萬美元種子輪融資，由 Samsung Next、Draper Dragon Fund 以及 Jump Capital 共同領投。（indiatimes）[2022/6/20 4:40:45]

工具的自動審查主要審查常見的代碼漏洞；人工復審主要從邏輯層面分析代碼的實現是否符合白皮書或項目簡介中介紹的邏輯，以及代碼實現的運行結果是否符合項目期望的結果。

在靈蹤安全團隊看來，智能合約的安全級別主要取決于兩個因素：內部風險和外部風險。其中內部風險主要表現為合約自身的邏輯復雜度；外部風險主要表現為合約與第三方合約的交互程度。

“如果合約自身的邏輯復雜則牽涉的代碼實現就復雜，需要理清的邏輯就繁雜，這里面就不可避免的會出現疏漏之處和潛藏的問題，這也就預示著合約本身的內部風險較大。如果合約與第三方合約交互頻繁并且交互的合約眾多，則引入的外部風險的可能性就較大。”譚粵飛解釋到。

所以安全機構審查邏輯時會根據項目本身的運行機制核對代碼的實現邏輯，以及審查代碼的實現邏輯是否匹配項目期望的邏輯？能否達到項目預期的結果？是否會出現意料之外的行進路線？

這需要對代碼實現有深刻的理解以及與項目團隊的密切溝通。

審計的世界

譚粵飛對金色財經記者解釋到：“現在DeFi樂高游戲堆疊得越來越復雜、合約的內部實現也越來越復雜、本合約與外部合約相互之間的關聯和交互越來越緊密、頻繁，就此合約的安全風險問題就會越來越突出，比如近日發生的YearnFinance由于內部價格的邏輯問題而被攻擊就是一個典型。”

因此，對于代碼審查技術，靈蹤團隊認為，無論是用工具審查還是人工審查，歸根到底都可以歸結為專業和嚴謹。“這兩方面一個是技術上的保證，另一個是態度上的保證。”

此外，從項目方來或交易所的角度來看，決定項目安全級別的根本要素來源于專業度、態度以及團隊的初衷。

從靈蹤安全的角度出發，目前對安全審計的概述就是：遞進審核，全面覆蓋。

從智能合約的設計來看，絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上，因此可以從這些方面入手向上延展，找到這條路徑上可能存在的薄弱環節加以防范。例如對閃電貸攻擊的防范方法，要從預言機、賬戶授權上找尋方法。

專業和態度是安全的第一保障

“如果我們只是本著把項目的代碼審完，提出對方在意的問題，而不為項目方更深遠的考慮，機械的工作，是無法體現優勢的。”譚粵飛說到，所以靈蹤安全團隊一直秉承著為項目方多想一步的態度。

對于靈蹤安全來說，進入這個行業最大的優勢就是對以太坊的了解、對智能合約的熟悉和對各類安全事故的精研以及理解。

靈蹤安全團隊描述到，因為技術的進步，早期出現的一些合約設計問題已經出現較少了，但重要的是對代碼細節的打磨，例如對比Uniswap和其他DEX的代碼，就能發現Uniswap在代碼的編寫上尤為細致，而大部分DEX代碼則較為粗糙。

此外，項目方團隊要尤其注意授權的設計。如果從代碼審計的角度上看，有高級權限的存在會留下“后門”被操控的風險，但如果項目可以有效的通過去中心化治理來管理高級權限，例如將高級權限轉交給DAO或多簽錢包來則是可行的。

因此，在這個過程里不僅要有專業經驗，還要有多樣化的理解，例如上文提到的“高級權限”這些漏洞不僅是從代碼去看，還要通過團隊未來的規劃去評定。

譚粵飛還表示：“如果團隊的初衷是為用戶奉上一份有價值的產品和服務，一定會像珍寶一樣珍視自己的代碼，小心地呵護它，在此基礎上如果團隊還有專業的積累和經驗的沉淀就能主動避開各種常見的隱患和潛藏的問題，最后團隊的嚴謹態度是對合約最后的把關。有了嚴謹的態度，團隊對自己的產品一定會慎之又慎，反復打磨。”

靈蹤安全的未來

DeFi發展迅猛，安全審計的市場還遠達不到飽和。近來Heco大熱，靈蹤安全也在積極研究Heco和其鏈上的各種項目，并對TVL巨大的眾多項目與業界同仁、Heco官方進行了深入探討，積累了相當多的經驗，以此，已為服務Heco上的項目團隊打下堅實的基礎。

在不斷吸引人才的基礎上，靈蹤安全將布局所有對區塊鏈生態有利的安全審計業務。但在DeFi火熱的當下，團隊的主要精力仍會聚焦于項目服務上，確保項目的合約安全和用戶的資產安全，為中國領跑全球貢獻自己的力量。

安全是金融發展的絕對前提，更是加密貨幣發展的絕對前提。2020年，整個DeFi賽道完成了數十倍的體量增長。DeFi等應用順利發展實現的同時，更是代碼安全的體現。留給靈蹤安全的，是加密貨幣未來的星辰大海。

Tags：EFI以太坊DEFDEFIkingdefi幣歸零以太坊幣最高價格是多少人民幣Defilancer tokenDefinex

Uniswap