什么是 Certik?
CertiK 是一家区块链安全先锋,利用前沿的人工智能 (AI) 技术来保护和监控区块链协议和智能合约。CertiK 成立于 2018 年,由耶鲁大学和哥伦比亚大学的教授创立,旨在保障 Web 3 的安全。CertiK 将学术界的前沿技术引入企业,使关键任务程序能够安全、正确地扩展。
什么是 Certik?
CertiK 是一个支持 Dapp 的去中心化创新合约平台,促进跨链通信,并在 CertiK Chain 上运行。该系统针对高度专业化的使用案例进行了优化。该协议实施了一种称为委托权益证明 (DPoS) 的 PoS 变体,并利用 Cosmos 软件开发工具包 (SDK)。CertiK 基金会通过利用前沿的安全技术和方法,主动恢复分布式平台的信任。CertiK 在为去中心化网络提供已验证的信任方面取得了重要里程碑。除了安全性,网络还考虑了性能和代币经济学。
CertiK 致力于提供一个安全的平台,用于开发区块链基础设施和去中心化应用程序。其生态系统包括区块链层以下的安全层,如 DeepSEA 编译器、CertiK 虚拟机 (CVM) 和 CertiKOS。CertiK 倡导全面的安全方法,包括智能合约审计、形式验证、渗透测试和高级安全监控工具。公司还积极参与研究与开发,帮助像 Apple、Samsung 和 Sui 这样的大公司提升区块链安全。
CertiK 背景
CertiK 于 2018 年由耶鲁大学和哥伦比亚大学的计算机科学教授开发。联合创始人郭荣辉教授于 2022 年获得 VMware 系统研究奖,并在新加坡金融管理局的国际技术咨询小组担任成员。CertiK 的领导团队包括郭荣辉(CEO),区块链安全领域的哥伦比亚大学博士;沈学敏(首席科学家),清华大学网络安全教授;李伟(CPO),负责产品开发;李安迪(COO),负责运营和全球扩展。他们优先通过审计和实时监控来加强区块链安全。
CertiK 与超过 4,000 家企业客户合作,保护了超过 3600 亿美元的数字资产,并发现了超过 60,000 个区块链技术漏洞。公司的客户包括 Aave、Polygon、BNB Chain、Aptos 和 WEMIX。CertiK 已获得多家主要投资者的资金支持,包括 Binance Labs、红杉资本、IDG 资本、顺为资本、Greenfield One、Matrix Partners、区块链资本、Coinbase Ventures 和 Tiger Global Management。这些投资者帮助 CertiK 实现其通过智能合约审计、形式验证和实时监控来提升区块链安全的目标。CertiK 的投资者在公司成长过程中发挥了至关重要的作用,使其成为区块链安全解决方案的领先提供商,特别是在保护去中心化应用和智能合约方面,覆盖整个区块链生态系统。
CertiK 的特点
CertiK 是一家专注于区块链和智能合约安全的网络安全初创公司,提供多种功能来帮助保护区块链项目、去中心化应用 (dApps) 和智能合约。以下是 CertiK 的一些主要特点:
- 智能合约审计:CertiK 对智能合约进行自动和手动审计,以发现漏洞和缺陷。这有助于确保合约在部署到区块链之前的安全性。
- 安全扫描与分析:CertiK 利用现代技术和 AI 驱动的方法对智能合约、区块链和去中心化应用进行安全扫描,检测潜在漏洞,如重入攻击、溢出错误和访问控制问题。
- Skynet 监控:CertiK 的实时监控技术不断监测智能合约和区块链协议的安全性,生成有关潜在威胁和攻击的警报和更新。
- 形式验证:CertiK 提供形式验证,一种数学方法,用于证明代码按预期工作。这可以用来详细证明代码的正确性和安全性。
- 安全评分与认证:根据审计结果,CertiK 会为每个项目或合约分配一个安全评分。此评分对用户和投资者开放,帮助建立对项目安全性的信任。CertiK 认证展示了一个项目对安全性的承诺。
CertiK 产品
CertiK 提供与区块链审计报告和安全相关的众多服务。以下是一些示例:安全审计、Skynet、KYC、渗透测试、漏洞赏金、SkyTrace 和形式验证。这些工具和技术旨在保护去中心化平台免受由智能合约漏洞引发的攻击。CertiK 提供多种附加工具,帮助项目和投资者采取全面和明智的安全与尽职调查方法。
Web 3 安全审计
智能合约审计
智能合约审计是对智能合约中每一行代码进行的专家分析,以识别问题并提供修复方案。这是一个关键过程,确保区块链项目尽可能安全。虽然区块链项目是开源的,但大多数用户缺乏足够的专业知识来正确评估智能合约代码。专家审计员通过识别、澄清并解决潜在风险,帮助用户做出明智的决策。CertiK 采用先进的方法,如形式验证,通过建立有关智能合约行为的数学保证,将审计过程向前推进一步。他们使用专家手动评估智能合约代码,并结合强大的 AI 和数学算法,确保合约正确运行。
CertiK 的智能合约审计提供对用户智能合约和区块链代码的全面安全审计,识别缺陷并提出解决方案。CertiK 拥有行业领先的审计方法和工具,包括使用数学方法对用户的代码逻辑进行审查,确保其软件按预期功能运行。CertiK 让经验丰富的安全专家团队对用户的代码进行审查,这些专家已审计了数千个项目,提供可操作的见解,用户将获得详细的报告,涵盖发现的问题和修复漏洞的建议,提供对多种语言和生态系统的覆盖,并根据项目代码的大小提供更快的入驻选项。
智能合约审计如何运作?
每次智能合约审计都包括由经验丰富的安全专家进行的全面手动评估。自动化的 AI 驱动审查提供了额外的安全层。形式验证是一个可选步骤,验证智能合约行为与定制功能规范的一致性。这使得开发者可以全面了解其平台的功能。
形式验证是对智能合约或区块链协议功能的数学证明。它保证了合约按预期工作,同时不会遗漏任何漏洞。CertiK 的形式验证方法能够发现比单纯的人工分析更多的漏洞。
L1 链审计
L1 链审计对 Layer 1 区块链进行全面的安全审查,识别缺陷并提出解决方案。L1 链审计过程结合了智能合约代码的专家手动评估与先进的 AI 和数学技术,以确保区块链协议按预期执行。每次审计都包括由经验丰富的安全专家进行的全面手动评估。形式验证验证 L1 链代码的行为与定制功能规范的一致性,使开发者能够全面了解其平台的功能。审计 L1 链的过程与审计智能合约相同。五步方法如下:
Skynet
Skynet 为 Web3 项目和社区提供丰富的数据驱动洞察。端到端安全工具结合链上和链下数据,创建了一个全面的 Web3 安全分析平台。Skynet 的 Web3 安全分析工具监控并可视化链上和链下数据。CertiK 的资深安全研究人员开发了行业领先的技术,并应用于该平台。Skynet 积极监控链上和链下的安全参数,识别危险并及时发送警报。Skynet 提供一个不可下载的软件网站,用于智能合约和区块链项目的安全研究。借助 Skynet 的全面数据驱动洞察,用户能够自信地在 Web3 世界中穿行,发现有趣的新项目,精确地完成尽职调查,并保持对行业现有发展的了解。
用户可以深入了解 Skynet 排行榜,该榜单根据大量链上和链下数据列出并排名项目。用户还可以根据代码安全性、基本健康状况、运营韧性、社区信任、市场稳定性和治理实力对项目进行评分和比较。CertiK 的尽职调查产品包括交易所审计、Smart Money Wizard 和 Skynet Alerts。
CertiK Skynet 评分
CertiK 的 Skynet 评分是一个实时评估系统,以公正客观的方式检查 Web3 项目、交易所和钱包的安全性。CertiK 的安全评分系统作为您在 Web3 世界中的基础。我们提供对 Web3 项目的全面覆盖,包括在 CoinMarketCap 和主要交易所上市的项目。该方法使用加权平均数来完成全面的安全评估。重要的是,我们的评估是独立的,不受项目关系的影响。除了项目,CertiK 还将 Skynet 评分扩展到包括加密货币交易所和钱包,承认它们在加密生态系统中的关键作用。
什么是 CertiK 链?
CertiK 链是驱动 CertiK 生态系统的区块链协议。它具有高度安全性,并支持跨链互操作性。该平台包括一些关键组件,如安全预言机和 CertiKShield 池,以成功执行其功能。
CertiK 安全预言机
平台的安全预言机压缩审计报告并将其提供链上。审计报告包含有关智能合约可靠性的信息。然而,智能合约决策中使用的数据可能会危及其可靠性。这些报告存在于区块链平台之外,带来了安全风险,因此 CertiK 将它们通过安全预言机放到链上。这样,网络可以成功地检查智能合约的安全性。此组件根据智能合约的最新审计报告分配评分。评分提供了合约代码可靠性的概述。安全预言机可以跟踪和报告未经审计的智能合约并对其评分。一个分散的安全团队处理这些报告。通过使用 CertiK 的预言机组合器,安全团队的结果被汇总成一个在线可用的单一评分。当然,安全团队会获得报酬。幸运的是,这一功能在去中心化金融(DeFi)环境中至关重要,因为未经审计的智能合约正在引发混乱。例如,通过实施 CertiK 的安全预言机,审计责任从合约创建者转移到合约用户。
CertiKShield 池
CertiKShield 池是一个独特的组件,旨在减轻与(大多数)加密货币的私密性质相关的风险。这可能包括由于可避免或不可避免的事件造成的损失,例如火灾。该盾牌通过提供一个可变的 CTK 代币池来发挥作用。由于该代币采用链上治理机制,它可以用来抵消因不可访问和/或盗窃造成的损失。换句话说,这充当了一种保险平台。然而,其去中心化的设计使其在决定是否理赔之前能够收集各方的反馈。CertiKShield 池由担保提供者和盾牌购买者组成。担保提供者获得质押奖励,而盾牌购买者支付所需的保护费用。
CertiK 链架构与技术
CertiK 链的主要组件被集成到一个能够建立可信任的架构中。除了安全预言机和盾牌池,网络的核心还包括虚拟机和 DeepSEA。
DeepSEA
CertiK 开发了 DeepSEA,这是一个经过正式认证的智能合约编译器。它被认为是 Web3 正式验证领域中的一种复杂解决方案。DeepSEA 旨在解决两个主要问题:可能的编译器故障,这可能导致正确编写的智能合约出现安全漏洞,以及验证工具链的不准确性,这可能使正式验证的保证失效。DeepSEA 将用高级语言(如 Solidity、Rust 和 Vyper)编写的合约源代码转换为区块链平台(EVM、WebAssembly 等)可执行的字节码。该项目源于对改进执行环境的研究,重点在于编译器组件。DeepSEA 是用 Coq 内置的编程语言(Gallina)编写的,并被分成多个细粒度的阶段,以提高验证性能。
DeepSEA 支持两种目标类型:EVM 字节码和以太坊风格的 WebAssembly(eWASM)。它可以构建 DeepSEA 表面语言,并作为各种智能合约编程语言的后端。验证编译器的正确性需要定义输入和输出的编程语言及其语义,发明并定义输入和输出语言中程序状态之间的“match_states”关系,并证明编译后的程序状态与原始程序的状态相符。DeepSEA 还结合了编译和正式验证。这种集成使得高层次程序的验证成为可能,同时确保确认的安全属性与生成的字节码相匹配。随着技术的进步,CertiK 对 DeepSEA 的愿景是让编译器和验证工具在一个正式验证的编译器后端上运行于单一核心语言。
CertiK 虚拟机(CVM)
CertiK 虚拟机(CVM)成功避免了在将智能合约代码从人类可读语言转换为机器语言时可能出现的错误。这些缺陷可能是合约开发者未知的,但它们构成了巨大的安全风险。作为一个以安全为先的去中心化平台,CVM 基于 DeepSEA(一个经过认证的编译器)的输出。该编译器生成字节码和数学证明。通过这些证明,可以隔离那些不符合安全要求的智能合约代码。
CertiK 以提供各种区块链安全服务而闻名,如智能合约审计、链上分析和去中心化应用(dApp)和协议的安全评估。尽管处于行业领先地位,CertiK 也面临一些批评,一些用户声称 CertiK 的评估未能发现一些更为微妙或不太明显的缺陷,尤其是在复杂的代码库中。例如,几个曾获得 CertiK “清洁”评估的平台,后来遭到攻击。
CertiK 审计与竞争对手比较
Quantstamp
Quantstamp 是区块链审计领域的另一位重要参与者,以其全面的智能合约安全性方法而著称。它已审计了包括 MakerDAO、Tezos 和基于以太坊的协议在内的知名项目。与 CertiK 类似,Quantstamp 将自动化工具与专业手动评估相结合。然而,他们强调对定制化或复杂方法的更为彻底的人工审查过程。Quantstamp 经常在审计中使用形式化验证技术,这是一种数学方法,用于确立合约的准确性。这比标准的代码分析更为彻底,能更好地防范特定缺陷。
OpenZeppelin
OpenZeppelin 是一家知名的区块链公司,特别以其安全的智能合约开发平台而闻名。他们也通过其智能合约安全专家团队提供审计服务。OpenZeppelin 提供了一个完整的框架,用于开发安全的智能合约、库和工具,这些工具在以太坊生态系统中经常使用。OpenZeppelin 的审计是手动的,区块链安全专家会逐行检查代码。作为开源开发的强力支持者,OpenZeppelin 的审计人员通常了解常见漏洞及其缓解解决方案。
MythX
MythX 是一家专注于自动化智能合约安全研究的区块链安全公司。它提供免费的和商业化的服务,包括智能合约的静态分析。MythX 的技术提供自动化的智能合约分析,利用多种分析引擎来发现漏洞。MythX 与多个区块链开发环境(包括 Truffle 和 Remix)兼容,使开发者能够更轻松地测试他们的合约。MythX 还提供对已部署合约的持续监控,帮助检测在分发后可能出现的漏洞。
Certik已经确立了自己作为一个重要审计公司的地位。然而,它对自动化技术的依赖以及关于其审计准确性的争议引发了人们的担忧。对于那些寻求更多手动审核或形式化验证的用户,像Quantstamp和OpenZeppelin这样的竞争对手可能提供更优质的服务,但价格较高。而MythX则是一个更便宜的解决方案,能够更快地产生结果,但缺乏人工审计的完整性。
什么是Certik 币($CTK)?
Certik(CTK)是Certik链的原生代币,这是一条在2019年推出的权益证明网络。
Certik Chain是一个智能合约平台,优先考虑安全性,同时支持去中心化应用和非同质化代币。该网络采用基本的验证平台,并支持跨链交易。
CTK是该链的原生代币,用于平台交易。它还确保网络去中心化,因为用户可以投票决定网络的方向。因此,CTK持有者在网络的发展中拥有发言权。除了在Certik协议中使用,CTK还是Certik Chain的重要组成部分。在这里,代币被用来支付交易费用。作为回报,这些费用奖励区块链上的质押节点。此外,CTK还用于奖励那些将CTK持有量委托给验证节点的用户。
该代币的首次发行通过两次私人销售进行,共售出3800万个CTK代币,价值39,430,000美元。除了第一次和第二次私人销售(分别为29.0%和9.0%),代币分配还将其总供应量的1.5%分配给Binance Launchpool,10.0%分配给CertiK团队,25%分配给CertiK基金会,17.5%分配给社区池,8.0%分配给CertiKShield池。
结论
Certik通过提供去中心化的合约审计,消除了DeFi用户完全依赖团队提供的报告(这些报告有时是匿名的)的需求,从而带来了亟需的安心感。从安全预言机到赔偿池,再到DeepSEA,网络在架构上设计成优先考虑安全的策略,具备了经得起验证的信心。
Mời người khác bỏ phiếu
Bài viết liên quan
Gate 研究院:从黑客攻击到监管反思 - 2024 年加密货币安全现状分析
Base 上十大最佳钱包
什么是 Certik?
CertiK 是一家区块链安全先锋,利用前沿的人工智能 (AI) 技术来保护和监控区块链协议和智能合约。CertiK 成立于 2018 年,由耶鲁大学和哥伦比亚大学的教授创立,旨在保障 Web 3 的安全。CertiK 将学术界的前沿技术引入企业,使关键任务程序能够安全、正确地扩展。
什么是 Certik?
CertiK 是一个支持 Dapp 的去中心化创新合约平台,促进跨链通信,并在 CertiK Chain 上运行。该系统针对高度专业化的使用案例进行了优化。该协议实施了一种称为委托权益证明 (DPoS) 的 PoS 变体,并利用 Cosmos 软件开发工具包 (SDK)。CertiK 基金会通过利用前沿的安全技术和方法,主动恢复分布式平台的信任。CertiK 在为去中心化网络提供已验证的信任方面取得了重要里程碑。除了安全性,网络还考虑了性能和代币经济学。
CertiK 致力于提供一个安全的平台,用于开发区块链基础设施和去中心化应用程序。其生态系统包括区块链层以下的安全层,如 DeepSEA 编译器、CertiK 虚拟机 (CVM) 和 CertiKOS。CertiK 倡导全面的安全方法,包括智能合约审计、形式验证、渗透测试和高级安全监控工具。公司还积极参与研究与开发,帮助像 Apple、Samsung 和 Sui 这样的大公司提升区块链安全。
CertiK 背景
CertiK 于 2018 年由耶鲁大学和哥伦比亚大学的计算机科学教授开发。联合创始人郭荣辉教授于 2022 年获得 VMware 系统研究奖,并在新加坡金融管理局的国际技术咨询小组担任成员。CertiK 的领导团队包括郭荣辉(CEO),区块链安全领域的哥伦比亚大学博士;沈学敏(首席科学家),清华大学网络安全教授;李伟(CPO),负责产品开发;李安迪(COO),负责运营和全球扩展。他们优先通过审计和实时监控来加强区块链安全。
CertiK 与超过 4,000 家企业客户合作,保护了超过 3600 亿美元的数字资产,并发现了超过 60,000 个区块链技术漏洞。公司的客户包括 Aave、Polygon、BNB Chain、Aptos 和 WEMIX。CertiK 已获得多家主要投资者的资金支持,包括 Binance Labs、红杉资本、IDG 资本、顺为资本、Greenfield One、Matrix Partners、区块链资本、Coinbase Ventures 和 Tiger Global Management。这些投资者帮助 CertiK 实现其通过智能合约审计、形式验证和实时监控来提升区块链安全的目标。CertiK 的投资者在公司成长过程中发挥了至关重要的作用,使其成为区块链安全解决方案的领先提供商,特别是在保护去中心化应用和智能合约方面,覆盖整个区块链生态系统。
CertiK 的特点
CertiK 是一家专注于区块链和智能合约安全的网络安全初创公司,提供多种功能来帮助保护区块链项目、去中心化应用 (dApps) 和智能合约。以下是 CertiK 的一些主要特点:
- 智能合约审计:CertiK 对智能合约进行自动和手动审计,以发现漏洞和缺陷。这有助于确保合约在部署到区块链之前的安全性。
- 安全扫描与分析:CertiK 利用现代技术和 AI 驱动的方法对智能合约、区块链和去中心化应用进行安全扫描,检测潜在漏洞,如重入攻击、溢出错误和访问控制问题。
- Skynet 监控:CertiK 的实时监控技术不断监测智能合约和区块链协议的安全性,生成有关潜在威胁和攻击的警报和更新。
- 形式验证:CertiK 提供形式验证,一种数学方法,用于证明代码按预期工作。这可以用来详细证明代码的正确性和安全性。
- 安全评分与认证:根据审计结果,CertiK 会为每个项目或合约分配一个安全评分。此评分对用户和投资者开放,帮助建立对项目安全性的信任。CertiK 认证展示了一个项目对安全性的承诺。
CertiK 产品
CertiK 提供与区块链审计报告和安全相关的众多服务。以下是一些示例:安全审计、Skynet、KYC、渗透测试、漏洞赏金、SkyTrace 和形式验证。这些工具和技术旨在保护去中心化平台免受由智能合约漏洞引发的攻击。CertiK 提供多种附加工具,帮助项目和投资者采取全面和明智的安全与尽职调查方法。
Web 3 安全审计
智能合约审计
智能合约审计是对智能合约中每一行代码进行的专家分析,以识别问题并提供修复方案。这是一个关键过程,确保区块链项目尽可能安全。虽然区块链项目是开源的,但大多数用户缺乏足够的专业知识来正确评估智能合约代码。专家审计员通过识别、澄清并解决潜在风险,帮助用户做出明智的决策。CertiK 采用先进的方法,如形式验证,通过建立有关智能合约行为的数学保证,将审计过程向前推进一步。他们使用专家手动评估智能合约代码,并结合强大的 AI 和数学算法,确保合约正确运行。
CertiK 的智能合约审计提供对用户智能合约和区块链代码的全面安全审计,识别缺陷并提出解决方案。CertiK 拥有行业领先的审计方法和工具,包括使用数学方法对用户的代码逻辑进行审查,确保其软件按预期功能运行。CertiK 让经验丰富的安全专家团队对用户的代码进行审查,这些专家已审计了数千个项目,提供可操作的见解,用户将获得详细的报告,涵盖发现的问题和修复漏洞的建议,提供对多种语言和生态系统的覆盖,并根据项目代码的大小提供更快的入驻选项。
智能合约审计如何运作?
每次智能合约审计都包括由经验丰富的安全专家进行的全面手动评估。自动化的 AI 驱动审查提供了额外的安全层。形式验证是一个可选步骤,验证智能合约行为与定制功能规范的一致性。这使得开发者可以全面了解其平台的功能。
形式验证是对智能合约或区块链协议功能的数学证明。它保证了合约按预期工作,同时不会遗漏任何漏洞。CertiK 的形式验证方法能够发现比单纯的人工分析更多的漏洞。
L1 链审计
L1 链审计对 Layer 1 区块链进行全面的安全审查,识别缺陷并提出解决方案。L1 链审计过程结合了智能合约代码的专家手动评估与先进的 AI 和数学技术,以确保区块链协议按预期执行。每次审计都包括由经验丰富的安全专家进行的全面手动评估。形式验证验证 L1 链代码的行为与定制功能规范的一致性,使开发者能够全面了解其平台的功能。审计 L1 链的过程与审计智能合约相同。五步方法如下:
Skynet
Skynet 为 Web3 项目和社区提供丰富的数据驱动洞察。端到端安全工具结合链上和链下数据,创建了一个全面的 Web3 安全分析平台。Skynet 的 Web3 安全分析工具监控并可视化链上和链下数据。CertiK 的资深安全研究人员开发了行业领先的技术,并应用于该平台。Skynet 积极监控链上和链下的安全参数,识别危险并及时发送警报。Skynet 提供一个不可下载的软件网站,用于智能合约和区块链项目的安全研究。借助 Skynet 的全面数据驱动洞察,用户能够自信地在 Web3 世界中穿行,发现有趣的新项目,精确地完成尽职调查,并保持对行业现有发展的了解。
用户可以深入了解 Skynet 排行榜,该榜单根据大量链上和链下数据列出并排名项目。用户还可以根据代码安全性、基本健康状况、运营韧性、社区信任、市场稳定性和治理实力对项目进行评分和比较。CertiK 的尽职调查产品包括交易所审计、Smart Money Wizard 和 Skynet Alerts。
CertiK Skynet 评分
CertiK 的 Skynet 评分是一个实时评估系统,以公正客观的方式检查 Web3 项目、交易所和钱包的安全性。CertiK 的安全评分系统作为您在 Web3 世界中的基础。我们提供对 Web3 项目的全面覆盖,包括在 CoinMarketCap 和主要交易所上市的项目。该方法使用加权平均数来完成全面的安全评估。重要的是,我们的评估是独立的,不受项目关系的影响。除了项目,CertiK 还将 Skynet 评分扩展到包括加密货币交易所和钱包,承认它们在加密生态系统中的关键作用。
什么是 CertiK 链?
CertiK 链是驱动 CertiK 生态系统的区块链协议。它具有高度安全性,并支持跨链互操作性。该平台包括一些关键组件,如安全预言机和 CertiKShield 池,以成功执行其功能。
CertiK 安全预言机
平台的安全预言机压缩审计报告并将其提供链上。审计报告包含有关智能合约可靠性的信息。然而,智能合约决策中使用的数据可能会危及其可靠性。这些报告存在于区块链平台之外,带来了安全风险,因此 CertiK 将它们通过安全预言机放到链上。这样,网络可以成功地检查智能合约的安全性。此组件根据智能合约的最新审计报告分配评分。评分提供了合约代码可靠性的概述。安全预言机可以跟踪和报告未经审计的智能合约并对其评分。一个分散的安全团队处理这些报告。通过使用 CertiK 的预言机组合器,安全团队的结果被汇总成一个在线可用的单一评分。当然,安全团队会获得报酬。幸运的是,这一功能在去中心化金融(DeFi)环境中至关重要,因为未经审计的智能合约正在引发混乱。例如,通过实施 CertiK 的安全预言机,审计责任从合约创建者转移到合约用户。
CertiKShield 池
CertiKShield 池是一个独特的组件,旨在减轻与(大多数)加密货币的私密性质相关的风险。这可能包括由于可避免或不可避免的事件造成的损失,例如火灾。该盾牌通过提供一个可变的 CTK 代币池来发挥作用。由于该代币采用链上治理机制,它可以用来抵消因不可访问和/或盗窃造成的损失。换句话说,这充当了一种保险平台。然而,其去中心化的设计使其在决定是否理赔之前能够收集各方的反馈。CertiKShield 池由担保提供者和盾牌购买者组成。担保提供者获得质押奖励,而盾牌购买者支付所需的保护费用。
CertiK 链架构与技术
CertiK 链的主要组件被集成到一个能够建立可信任的架构中。除了安全预言机和盾牌池,网络的核心还包括虚拟机和 DeepSEA。
DeepSEA
CertiK 开发了 DeepSEA,这是一个经过正式认证的智能合约编译器。它被认为是 Web3 正式验证领域中的一种复杂解决方案。DeepSEA 旨在解决两个主要问题:可能的编译器故障,这可能导致正确编写的智能合约出现安全漏洞,以及验证工具链的不准确性,这可能使正式验证的保证失效。DeepSEA 将用高级语言(如 Solidity、Rust 和 Vyper)编写的合约源代码转换为区块链平台(EVM、WebAssembly 等)可执行的字节码。该项目源于对改进执行环境的研究,重点在于编译器组件。DeepSEA 是用 Coq 内置的编程语言(Gallina)编写的,并被分成多个细粒度的阶段,以提高验证性能。
DeepSEA 支持两种目标类型:EVM 字节码和以太坊风格的 WebAssembly(eWASM)。它可以构建 DeepSEA 表面语言,并作为各种智能合约编程语言的后端。验证编译器的正确性需要定义输入和输出的编程语言及其语义,发明并定义输入和输出语言中程序状态之间的“match_states”关系,并证明编译后的程序状态与原始程序的状态相符。DeepSEA 还结合了编译和正式验证。这种集成使得高层次程序的验证成为可能,同时确保确认的安全属性与生成的字节码相匹配。随着技术的进步,CertiK 对 DeepSEA 的愿景是让编译器和验证工具在一个正式验证的编译器后端上运行于单一核心语言。
CertiK 虚拟机(CVM)
CertiK 虚拟机(CVM)成功避免了在将智能合约代码从人类可读语言转换为机器语言时可能出现的错误。这些缺陷可能是合约开发者未知的,但它们构成了巨大的安全风险。作为一个以安全为先的去中心化平台,CVM 基于 DeepSEA(一个经过认证的编译器)的输出。该编译器生成字节码和数学证明。通过这些证明,可以隔离那些不符合安全要求的智能合约代码。
CertiK 以提供各种区块链安全服务而闻名,如智能合约审计、链上分析和去中心化应用(dApp)和协议的安全评估。尽管处于行业领先地位,CertiK 也面临一些批评,一些用户声称 CertiK 的评估未能发现一些更为微妙或不太明显的缺陷,尤其是在复杂的代码库中。例如,几个曾获得 CertiK “清洁”评估的平台,后来遭到攻击。
CertiK 审计与竞争对手比较
Quantstamp
Quantstamp 是区块链审计领域的另一位重要参与者,以其全面的智能合约安全性方法而著称。它已审计了包括 MakerDAO、Tezos 和基于以太坊的协议在内的知名项目。与 CertiK 类似,Quantstamp 将自动化工具与专业手动评估相结合。然而,他们强调对定制化或复杂方法的更为彻底的人工审查过程。Quantstamp 经常在审计中使用形式化验证技术,这是一种数学方法,用于确立合约的准确性。这比标准的代码分析更为彻底,能更好地防范特定缺陷。
OpenZeppelin
OpenZeppelin 是一家知名的区块链公司,特别以其安全的智能合约开发平台而闻名。他们也通过其智能合约安全专家团队提供审计服务。OpenZeppelin 提供了一个完整的框架,用于开发安全的智能合约、库和工具,这些工具在以太坊生态系统中经常使用。OpenZeppelin 的审计是手动的,区块链安全专家会逐行检查代码。作为开源开发的强力支持者,OpenZeppelin 的审计人员通常了解常见漏洞及其缓解解决方案。
MythX
MythX 是一家专注于自动化智能合约安全研究的区块链安全公司。它提供免费的和商业化的服务,包括智能合约的静态分析。MythX 的技术提供自动化的智能合约分析,利用多种分析引擎来发现漏洞。MythX 与多个区块链开发环境(包括 Truffle 和 Remix)兼容,使开发者能够更轻松地测试他们的合约。MythX 还提供对已部署合约的持续监控,帮助检测在分发后可能出现的漏洞。
Certik已经确立了自己作为一个重要审计公司的地位。然而,它对自动化技术的依赖以及关于其审计准确性的争议引发了人们的担忧。对于那些寻求更多手动审核或形式化验证的用户,像Quantstamp和OpenZeppelin这样的竞争对手可能提供更优质的服务,但价格较高。而MythX则是一个更便宜的解决方案,能够更快地产生结果,但缺乏人工审计的完整性。
什么是Certik 币($CTK)?
Certik(CTK)是Certik链的原生代币,这是一条在2019年推出的权益证明网络。
Certik Chain是一个智能合约平台,优先考虑安全性,同时支持去中心化应用和非同质化代币。该网络采用基本的验证平台,并支持跨链交易。
CTK是该链的原生代币,用于平台交易。它还确保网络去中心化,因为用户可以投票决定网络的方向。因此,CTK持有者在网络的发展中拥有发言权。除了在Certik协议中使用,CTK还是Certik Chain的重要组成部分。在这里,代币被用来支付交易费用。作为回报,这些费用奖励区块链上的质押节点。此外,CTK还用于奖励那些将CTK持有量委托给验证节点的用户。
该代币的首次发行通过两次私人销售进行,共售出3800万个CTK代币,价值39,430,000美元。除了第一次和第二次私人销售(分别为29.0%和9.0%),代币分配还将其总供应量的1.5%分配给Binance Launchpool,10.0%分配给CertiK团队,25%分配给CertiK基金会,17.5%分配给社区池,8.0%分配给CertiKShield池。
结论
Certik通过提供去中心化的合约审计,消除了DeFi用户完全依赖团队提供的报告(这些报告有时是匿名的)的需求,从而带来了亟需的安心感。从安全预言机到赔偿池,再到DeepSEA,网络在架构上设计成优先考虑安全的策略,具备了经得起验证的信心。
Bài viết liên quan
Gate 研究院:从黑客攻击到监管反思 - 2024 年加密货币安全现状分析