ORT:Pantera Capital 合伙人：讀懂智能合約安全實時監控項目 Forta

原文作者：PaulVeradittakit，PanteraCapital合伙人

譯者：盧江飛，鏈聞

智能合約漏洞一直是加密生態系統中最關注的問題之一，當然，這個問題在DeFi行業內也飽受批評。今年早些時候，PolyNetwork成為頭條新聞，因為在一次自稱為「白帽」黑客的智能合約攻擊中，該協議有超過6億美元的資產被盜，這表明加密行業需要圍繞智能合約探索更嚴格的安全實踐。

許多智能合約的安全工作重心都放在了「部署前審計」上，依靠經驗豐富的安全研究人員在部署前確定智能合約中需要解決的關鍵漏洞。但不幸的是，這種方法無法準確捕捉到合約部署之后出現的潛在漏洞，這些漏洞可能被惡意行為者發現，繼而威脅數百萬DeFi用戶的資金安全。

Forta?是由OpenZeppelin孵化的一個全新加密項目，可以幫助開發者在智能合約的實時執行過程中更好地識別漏洞。Forta有兩個關鍵組成部分：

Agent，它是掃描區塊鏈交易是否存在威脅、異常和其他風險的腳本，任何人都可以編寫Agent來監控智能合約或交易，隨著Agent編寫者社區規模不斷擴大，能夠有效解決不斷發展的智能合約生態系統中的潛在漏洞。

FTX Japan披露公司凈資產約有7600萬美元:金色財經報道，FTX Japan披露截至2月7日的客戶委托資產和平臺自有資產情況，其中，公司凈資產約有100億日元（約合7600萬美元，截至2022年9月末），公司現金及存款約有178億日元（約合1.35億美元，截至2022年11月21日）。關于系統運行情況，FTX JP網站和平臺FTX JP上所有功能都已停止，例如無法登錄、屏幕無法正常顯示、停止取款和發貨、無法查詢等。

FTX此前于2022年12月向聯邦破產法院申請批準通過拍賣出售其日本子公司FTX Japan。[2023/2/7 11:52:41]

Node是運行支持Layer1或Layer2區塊鏈上Agent的服務器。當Agent檢測到智能合約出現某些問題時，Node就會會發出一個警報，該警報會存儲在IPFS中并記錄在Polygon區塊鏈上

Forta還提供了一些附加功能來增強智能合約的安全性，包括：推出讓開發人員輕松部署和管理代理的界面(FortaConnect)、提供用戶瀏覽和訂閱特定警報的工具(FortaExplorer)，以及帶有混淆代碼和用于謹慎漏洞監控加密警報功能的Agent。

數字協議安全公司OneSpan收購區塊鏈技術服務商ProvenDB:金色財經報道，數字協議安全公司OneSpan宣布已完成對區塊鏈技術服務商ProvenDB的收購，但具體收購金額暫未公開披露。本次收購交易完成后，ProvenDB將會輔助OneSpan將交易云平臺功能擴展到公共和私有區塊鏈，并為Web3業務流程提供先進的技術支持。此外，本次收購該將推動OneSpan在數字身份、協議方面的專業知識和ProvenDB區塊鏈存儲解決方案進一步結合，加速推動數字協議的信任度和完整性范式轉變。（prnewswire）[2023/1/27 11:32:19]

截至目前，Forta已經部署了超過200個Agent來支持智能合約警報功能，例如出現異常高的gas費用、異常高的交易量、以及出現再入請求。現階段，不少知名DeFi項目已經與Forta完成集成，旨在更好地監控各種安全、財務、運營和治理風險。此外，Forta社區在Discord上的服務器成員數量已經發展到超過10,000名。

最終，通過實時檢測漏洞，Forta可以為智能合約安全提供更完整的解決方案，幫助智能合約成為為最安全、最值得信賴的技術原語，進而實現Web3安全、去中心化愿景。

加密貨幣對沖基金Pantera通過投資于流動性代幣賺取更多利潤:金色財經報道，資深比特幣投資者Dan Morehead通過在比特幣之外進行多樣化投資，為其32億美元規模的加密貨幣對沖基金Pantera賺取了更多利潤。他表示：“如果你只做多比特幣，就像在90年代只做多雅虎一樣，你知道的，當時其實還有30家真正重要的公司需要投資。而現在，加密市場幾乎有100個流動性足夠的代幣可以交易。”今年截至5月底，Pantera的流動代幣基金飆升了近250%，而同期比特幣的漲幅為27%。他表示除了比特幣，自己還在投資Audius和Polkadot。Morehead表示，加密貨幣將創建一個平行的金融系統，通過區塊鏈和DeFi，在沒有銀行的情況下連接資產的買家和賣家。[2021/6/23 23:57:50]

新技術帶來新風險

自2015年以太坊推出以來，智能合約已成為Web3技術的核心功能和特征。比特幣向我們展示了完全去中心化公共賬本是可行的，而以太坊則給我們帶來了一種完全去中心化的計算模型——在去信任和透明度方面，至少現階段而言，還沒有其他計算模型能與以太坊相媲美。得益于智能合約，開發人員能夠將自定義構建的應用程序部署到區塊鏈上，為數百個用例提供支持，如今，這些用例已發展成為價值數十億美元的生態系統，而且也成為當今大多數加密項目的核心，并推動了許多其他區塊鏈快速增長，比如Solana、BinanceSmartChain和Polkadot等。

動態 | Electric Coin Company被一名前雇員起訴違約:據The Block消息，Electric Coin Company（前身為ZCash Company或Zerocoin Electric Coin Company）面臨一名員工高達200萬美元的違約訴訟。員工Simon Liu稱公司未能向他發放1.5萬股普通股，他是在其勞動合同被修改為包括“激勵股票期權”后購買的。然而，他聲稱公司未被授權向員工發行公司股票，而且他的上司也知道這一點。 在5月29日發布的訴訟中，Liu還指控該公司針對其營造了（或者至少是允許）一個敵對的工作環境。對此，Electric Coin Company表示，無法就未決訴訟置評。據悉該前ZCash Company于2月份更名，以避免與Zcash基金會混淆，Zcash基金會是一家獨立于該公司的非營利機構。Simon Liu的大部分主張都圍繞著2016年和2017年發生的事件，在Electric Coin Company更名之前。[2019/6/11]

與此同時，新技術的出現不可避免地會帶來新風險。今年早些時候，PolyNetwork成為頭條新聞，因為在一次自稱為「白帽」黑客的智能合約攻擊中，該協議有超過6億美元的資產被盜。盡管黑客將資產全額歸還，但這一事件表明加密行業需要圍繞智能合約探索更嚴格的安全實踐，同時在技術方面，下一代金融系統也需要更及時的攻擊監控功能。智能合約漏洞一直是加密生態系統中最關注的問題之一，以至于「智能合約風險」已成為金融領域的一個術語，旨在描述合約執行中發生的錯誤和Bug，這些問題往往會帶來數字資產風險，也會影響人們的投資決策。

聲音 | Mati Greenspan：在評估加密資產時，市值是一個有缺陷的指標:eToro分析師Mati Greenspan今日發推稱：在評估加密資產時，市值是一個有缺陷的指標。[2018/11/4]

從一次性審計到提供實時安全功能

現階段，在評估智能合約安全性方面，大多數工作仍集中在審計上，比如項目方會聘請經驗豐富的智能合約開發人員來審查和測試合約，以便在項目公開發布之前識別出潛在漏洞。盡管審計對于安全的區塊鏈開發至關重要，但并非萬能的靈丹妙藥，因為不少經過審計的加密項目也都成為智能合約黑客攻擊的犧牲品，而且攻擊媒介只會在項目生命周期的后期才被發現。

在這種情況下，為了預防這些潛在攻擊，持續監控應用程序的狀態和安全性就顯得至關重要，甚至在智能合約完成部署之后，持續監控也應該繼續下去。在Web2領域里，這個概念被稱為「RuntimeSecurity」，對于大多數現代云托管服務來說，實時應用程序監控和警報工具已成為必備品；而在Web3領域里，考慮到應用程序的去中心化性質和智能合約模型概念相對較新，因此實施「RuntimeSecurity」難度比想象中要大得多。

Forta是一種用于Web3應用程序的全新去中心化「RuntimeSecurity」協議，能夠幫助開發人員在智能合約的實時執行過程中更好地識別漏洞，該項目由OpenZeppelin孵化，該團隊已審核了包括Compound、Maker和Augur在內的數十種加密協議。

Forta采用了什么解決方案？

Forta的去中心化實時安全解決方案基于兩個組件：

Agent：是掃描交易區塊以查找異常交易或智能合約狀態變化的腳本。

Node：是運行支持Layer1或Layer2區塊鏈上Agent的服務器。

如果Agent檢測到特別可疑的事件或狀態變化，Node會發出公共警報，該警報存儲在IPFS上并記錄在Polygon區塊鏈上。

值得注意的是，任何人都可以開發Agent并在Forta上運行它。Web3應用程序的高度可塑性和可組合性需要一種基于社區驅動的去中心化安全解決方案，因為沒有一個參與者可以識別應用程序中的全部潛在漏洞。目前，已經有超過100名開發人員在Forta上創建并部署了Agent，如果你也有興趣創建新Agent，不妨可以在此處查看Forta的軟件開發包。

此外，Forta還發布了一些其他功能，旨在進一步增強實時安全性，包括：

FortaConnect，這是一個自助服務平臺，使開發人員可以更輕松地使用MetaMask而不是命令行來發布和管理Agent。

FortaExplorer，這是一種幫助用戶通過Slack通知、電子郵件更新等服務來瀏覽和訂閱FortaAgent的警報工具。

PrivateAgents：該功能是一種帶有混淆代碼和用于謹慎漏洞監控加密警報功能的Agent，允許開發人員更加謹慎地監控威脅。

11月15日，Forta項目完成了與智能合約操作平臺OpenZeppelinDefender的集成，將使開發人員通過統一的用戶界面更輕松地操作和監控智能合約安全。

在實踐中如何運作？

舉個例子，讓我們回到2021年8月黑客對PolyNetwork實施的攻擊。

PolyNetwork是一個讓用戶能在不同的Layer1和Layer2區塊鏈之間傳輸數字資產的協議，他們通過在發送鏈上鎖定用戶資產并在接收鏈上發行等量新資產來實現這一點。更具體地說，用戶可以通過接收鏈上的一組PolyNetwork錢包訪問接收鏈上已發行的資產。在攻擊中，黑客執行了一筆交易，把接收鏈上PolyNetwork錢包的公鑰替換為黑客自己的公鑰，這意味著黑客獲得了對PolyNetwork錢包的完全控制權，繼而可以輕松從用戶手中竊取已發行的資產。

使用Forta進行實時監控可以避免這種攻擊，或是降低攻擊的危害，而且只需通過兩種簡單的方式即可實現：

當黑客用自己的公鑰替換PolyNetwork的公鑰時，Agent可能已經檢測到管理其錢包的PolyNetwork智能合約狀態發生了異常變化。如果PolyNetwork團隊有效監測到這種狀態變化，那么就可以快速恢復原始公鑰，從而完全阻止攻擊。

Agent可以檢測到接收鏈上PolyNetwork錢包余額出現較大的異常變化，使團隊能夠更早地識別攻擊并限制損失。

到目前為止，200多個Agent已經完成部署，用來識別和標記上述漏洞，一些業內領先的DeFi項目也在與Forta進行集成，以監控安全、財務、運營和治理風險。自Forta于10月1日宣布啟動，他們在Discord上的社區成員數量已經超過了10,000名。

最后的想法

區塊鏈安全性需要不斷增強，只有這樣，機構和主流才能更好地接受加密，這點至關重要。2021年早些時候對PolyNetwork的攻擊、2016年的DAO和2017年的Parity等黑客攻擊已經破壞了許多潛在用戶對加密和DeFi的信心，如果區塊鏈和智能合約想要成為支撐下一代金融系統的基本技術，那么就必須解決此類事件、并在未來防止此類事件發，只有這樣，才能重新贏回人們的信心。

通過將Web3「RuntimeSecurity」抽象為一個簡單工具，Forta能夠幫助開發人員更好、更輕松地編寫和管理智能合約，而且還具有更嚴格的安全實踐。

不僅如此，作為一個去中心化解決方案，Forta還允許任何人跟蹤智能合約中的特定行為，要知道，如今智能合約生態系統中的漏洞越來越多，因此采用去中心化解決方案是非常有必要的。最終，Forta將進一步增強智能合約安全性、幫助智能合約成為互聯網的基礎設施，繼而實現Web3去中心化、安全和去信任的偉大愿景。

Tags：ORTFORFORTGENporto幣發展前景FORSFORTHNKGEN

Fil