宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > AVAX > 正文

Pantera Capital 合伙人:读懂智能合约安全实时监控项目 Forta

作者:

时间:1900/1/1 0:00:00

原文作者:PaulVeradittakit,PanteraCapital合伙人

译者:卢江飞,链闻

智能合约漏洞一直是加密生态系统中最关注的问题之一,当然,这个问题在DeFi行业内也饱受批评。今年早些时候,PolyNetwork成为头条新闻,因为在一次自称为「白帽」黑客的智能合约攻击中,该协议有超过6亿美元的资产被盗,这表明加密行业需要围绕智能合约探索更严格的安全实践。

许多智能合约的安全工作重心都放在了「部署前审计」上,依靠经验丰富的安全研究人员在部署前确定智能合约中需要解决的关键漏洞。但不幸的是,这种方法无法准确捕捉到合约部署之后出现的潜在漏洞,这些漏洞可能被恶意行为者发现,继而威胁数百万DeFi用户的资金安全。

Forta?是由OpenZeppelin孵化的一个全新加密项目,可以帮助开发者在智能合约的实时执行过程中更好地识别漏洞。Forta有两个关键组成部分:

Agent,它是扫描区块链交易是否存在威胁、异常和其他风险的脚本,任何人都可以编写Agent来监控智能合约或交易,随着Agent编写者社区规模不断扩大,能够有效解决不断发展的智能合约生态系统中的潜在漏洞。

Ripple一季度从Pantera Capital手中收购Bitstamp少数股份:5月25日消息,根据Galaxy Digital股东电话会议的最新记录,Ripple在今年第一季度收购了加密货币交易所Bitstamp的少数股权,但未透露具体股份。

Ripple从美国数字资产投资机构Pantera Capital手中收购了这些股份,Galaxy Digital为这笔交易提供咨询服务。[2023/5/25 10:39:53]

Node是运行支持Layer1或Layer2区块链上Agent的服务器。当Agent检测到智能合约出现某些问题时,Node就会会发出一个警报,该警报会存储在IPFS中并记录在Polygon区块链上

Forta还提供了一些附加功能来增强智能合约的安全性,包括:推出让开发人员轻松部署和管理代理的界面(FortaConnect)、提供用户浏览和订阅特定警报的工具(FortaExplorer),以及带有混淆代码和用于谨慎漏洞监控加密警报功能的Agent。

截至目前,Forta已经部署了超过200个Agent来支持智能合约警报功能,例如出现异常高的gas费用、异常高的交易量、以及出现再入请求。现阶段,不少知名DeFi项目已经与Forta完成集成,旨在更好地监控各种安全、财务、运营和治理风险。此外,Forta社区在Discord上的服务器成员数量已经发展到超过10,000名。

Bitpanda完成1.7亿美元B轮融资,ValarVentures和DSTGlobal领投:3月16日消息,总部位于奥地利维也纳的加密货币平台Bitpanda宣布以12亿美元估值完成1.7亿美元B轮融资,ValarVentures和DSTGlobal领投。此前报道,2020年9月29日,加密货币平台Bitpanda完成5200万美元A轮融资,由Paypal联合创始人彼得·蒂尔(PeterThiel)旗下的ValarVentures领投。(Nordic9)[2021/3/16 18:49:10]

最终,通过实时检测漏洞,Forta可以为智能合约安全提供更完整的解决方案,帮助智能合约成为为最安全、最值得信赖的技术原语,进而实现Web3安全、去中心化愿景。

新技术带来新风险

自2015年以太坊推出以来,智能合约已成为Web3技术的核心功能和特征。比特币向我们展示了完全去中心化公共账本是可行的,而以太坊则给我们带来了一种完全去中心化的计算模型——在去信任和透明度方面,至少现阶段而言,还没有其他计算模型能与以太坊相媲美。得益于智能合约,开发人员能够将自定义构建的应用程序部署到区块链上,为数百个用例提供支持,如今,这些用例已发展成为价值数十亿美元的生态系统,而且也成为当今大多数加密项目的核心,并推动了许多其他区块链快速增长,比如Solana、BinanceSmartChain和Polkadot等。

动态 | 收藏卡公司Panini计划推出结合区块链技术的系列收藏卡:收藏卡公司Panini计划于2020年1月初推出一款结合区块链技术的系列收藏卡,卡片内容为来自不同运动项目和不同年代的100名运动员。每张卡片均为实体,且将记录在区块链上。照片中的运动员包括科比、马拉多纳、内马尔等知名体育明星。这些卡片将以美元拍卖,买家会得到一张实物卡片、卡片人物的本人签名,以及一些纪念品。(Nederob)[2019/12/26]

与此同时,新技术的出现不可避免地会带来新风险。今年早些时候,PolyNetwork成为头条新闻,因为在一次自称为「白帽」黑客的智能合约攻击中,该协议有超过6亿美元的资产被盗。尽管黑客将资产全额归还,但这一事件表明加密行业需要围绕智能合约探索更严格的安全实践,同时在技术方面,下一代金融系统也需要更及时的攻击监控功能。智能合约漏洞一直是加密生态系统中最关注的问题之一,以至于「智能合约风险」已成为金融领域的一个术语,旨在描述合约执行中发生的错误和Bug,这些问题往往会带来数字资产风险,也会影响人们的投资决策。

从一次性审计到提供实时安全功能

现阶段,在评估智能合约安全性方面,大多数工作仍集中在审计上,比如项目方会聘请经验丰富的智能合约开发人员来审查和测试合约,以便在项目公开发布之前识别出潜在漏洞。尽管审计对于安全的区块链开发至关重要,但并非万能的灵丹妙药,因为不少经过审计的加密项目也都成为智能合约黑客攻击的牺牲品,而且攻击媒介只会在项目生命周期的后期才被发现。

动态 | 瑞士货运和物流服务公司Panalpina启动供应链优化区块链试点项目:据cointelegraph报道,瑞士货运和物流服务公司Panalpina已经启动了旨在优化供应链的区块链试点项目。据悉,Panalpina是全球最大的运输和物流公司之一,在2018年加入了区块链运输联盟(BiTA)之后,已经与选定的客户在空运和海运领域推出了两个区块链试点。[2019/6/12]

在这种情况下,为了预防这些潜在攻击,持续监控应用程序的状态和安全性就显得至关重要,甚至在智能合约完成部署之后,持续监控也应该继续下去。在Web2领域里,这个概念被称为「RuntimeSecurity」,对于大多数现代云托管服务来说,实时应用程序监控和警报工具已成为必备品;而在Web3领域里,考虑到应用程序的去中心化性质和智能合约模型概念相对较新,因此实施「RuntimeSecurity」难度比想象中要大得多。

Forta是一种用于Web3应用程序的全新去中心化「RuntimeSecurity」协议,能够帮助开发人员在智能合约的实时执行过程中更好地识别漏洞,该项目由OpenZeppelin孵化,该团队已审核了包括Compound、Maker和Augur在内的数十种加密协议。

网络安全公司Palo Alto Networks(PANW) 调查发现 现流通的5%的门罗币来自于恶意挖矿:据Cointelegraph消息,美国网络安全公司Palo Alto Networks(PANW) 于11日发表的报告中,发现现流通的5%的门罗币来自于恶意挖矿,价值为1.75亿美元。据该调查显示,此种恶意挖矿是通过利用他人的计算机处理能力,在没有得到所有者许可的情况下自行运行coinhive恶意挖矿软件进行的。[2018/6/14]

Forta采用了什么解决方案?

Forta的去中心化实时安全解决方案基于两个组件:

Agent:是扫描交易区块以查找异常交易或智能合约状态变化的脚本。

Node:是运行支持Layer1或Layer2区块链上Agent的服务器。

如果Agent检测到特别可疑的事件或状态变化,Node会发出公共警报,该警报存储在IPFS上并记录在Polygon区块链上。

值得注意的是,任何人都可以开发Agent并在Forta上运行它。Web3应用程序的高度可塑性和可组合性需要一种基于社区驱动的去中心化安全解决方案,因为没有一个参与者可以识别应用程序中的全部潜在漏洞。目前,已经有超过100名开发人员在Forta上创建并部署了Agent,如果你也有兴趣创建新Agent,不妨可以在此处查看Forta的软件开发包。

此外,Forta还发布了一些其他功能,旨在进一步增强实时安全性,包括:

FortaConnect,这是一个自助服务平台,使开发人员可以更轻松地使用MetaMask而不是命令行来发布和管理Agent。

FortaExplorer,这是一种帮助用户通过Slack通知、电子邮件更新等服务来浏览和订阅FortaAgent的警报工具。

PrivateAgents:该功能是一种带有混淆代码和用于谨慎漏洞监控加密警报功能的Agent,允许开发人员更加谨慎地监控威胁。

11月15日,Forta项目完成了与智能合约操作平台OpenZeppelinDefender的集成,将使开发人员通过统一的用户界面更轻松地操作和监控智能合约安全。

在实践中如何运作?

举个例子,让我们回到2021年8月黑客对PolyNetwork实施的攻击。

PolyNetwork是一个让用户能在不同的Layer1和Layer2区块链之间传输数字资产的协议,他们通过在发送链上锁定用户资产并在接收链上发行等量新资产来实现这一点。更具体地说,用户可以通过接收链上的一组PolyNetwork钱包访问接收链上已发行的资产。在攻击中,黑客执行了一笔交易,把接收链上PolyNetwork钱包的公钥替换为黑客自己的公钥,这意味着黑客获得了对PolyNetwork钱包的完全控制权,继而可以轻松从用户手中窃取已发行的资产。

使用Forta进行实时监控可以避免这种攻击,或是降低攻击的危害,而且只需通过两种简单的方式即可实现:

当黑客用自己的公钥替换PolyNetwork的公钥时,Agent可能已经检测到管理其钱包的PolyNetwork智能合约状态发生了异常变化。如果PolyNetwork团队有效监测到这种状态变化,那么就可以快速恢复原始公钥,从而完全阻止攻击。

Agent可以检测到接收链上PolyNetwork钱包余额出现较大的异常变化,使团队能够更早地识别攻击并限制损失。

到目前为止,200多个Agent已经完成部署,用来识别和标记上述漏洞,一些业内领先的DeFi项目也在与Forta进行集成,以监控安全、财务、运营和治理风险。自Forta于10月1日宣布启动,他们在Discord上的社区成员数量已经超过了10,000名。

最后的想法

区块链安全性需要不断增强,只有这样,机构和主流才能更好地接受加密,这点至关重要。2021年早些时候对PolyNetwork的攻击、2016年的DAO和2017年的Parity等黑客攻击已经破坏了许多潜在用户对加密和DeFi的信心,如果区块链和智能合约想要成为支撑下一代金融系统的基本技术,那么就必须解决此类事件、并在未来防止此类事件发,只有这样,才能重新赢回人们的信心。

通过将Web3「RuntimeSecurity」抽象为一个简单工具,Forta能够帮助开发人员更好、更轻松地编写和管理智能合约,而且还具有更严格的安全实践。

不仅如此,作为一个去中心化解决方案,Forta还允许任何人跟踪智能合约中的特定行为,要知道,如今智能合约生态系统中的漏洞越来越多,因此采用去中心化解决方案是非常有必要的。最终,Forta将进一步增强智能合约安全性、帮助智能合约成为互联网的基础设施,继而实现Web3去中心化、安全和去信任的伟大愿景。

标签:FORTFORORTENTforth币总量FORTHporto币发行量MY IDENTITY COIN

AVAX热门资讯
一文读懂Aurora:NEAR上的以太坊L2

原文作者:PaulVeradittakit,PanteraCapital合伙人 编译:金色财经 PanteraCapital合伙人PaulVeradittakit2021年12月3日发文介绍NEAR协议上的兼容以太坊的开发者平台Aur.

1900/1/1 0:00:00
头等仓深度报告:Mina

作者:头等仓的聪聪 Mina是一个轻量级的区块链,节点门槛低,网络去中心程度高。团队做事务实,代码更新良好,技术框架具备创新性,有优质资本的支持以及领域内的先发优势,长久来看,具备发展良好生态的潜质.

1900/1/1 0:00:00
元宇宙身份发行协议 Kudo Money 宣布完成 400 万美元战略融资,超 60 家 VC 参投

链捕手消息,元宇宙身份发行协议KudoMoney宣布完成400万美元战略融资,超过60家VC和生态系统利益相关者参与了本轮融资.

1900/1/1 0:00:00
一码难求的SocialFi平台Monaco Planet凭什么引爆社群?

来源:律动研究院 长期以来,少数大公司主宰着互联网,导致用户对自己的数据和创作的控制权越来越少。这些公司要求用户提供个人的数据以换取访问他们的平台和服务,然后再将这些数据进行货币化出售给广告商以获取利润.

1900/1/1 0:00:00
Uniswap V3流动性挖矿协议izumi完成350万美元A轮融资,Mirana Ventures等参投

链捕手消息,在UniswapV3上提供可编程流动性挖矿的创新协议izumi已完成350万美元A轮融资,其融资总额达560万美元.

1900/1/1 0:00:00
Bitwise宣布推出蓝筹NFT指数基金,将购买和托管CryptoPunks等总市值超60亿美元的蓝筹NFT

链捕手消息,全球最大的加密货币指数基金管理公司Bitwise宣布推出蓝筹NFT指数基金,该策略让投资者广泛接触全球最大、最成熟的NFT艺术品收藏.

1900/1/1 0:00:00