EPS:專訪 | CertiK聯合創始人顧榮輝：從源頭開始 阻斷黑客之路

“雖然程序漏洞的檢測和驗證已經引起業界的高度重視，但在區塊鏈行業內，安全問題仍舊頻繁發生。如果只檢測已經存在的漏洞的話，永遠存在被黑客搶先一步的風險。既然這樣，我們有沒有辦法直接開發出一個沒有程序漏洞的、可以完全被信賴的智能合約呢？”

CertiK聯合創始人顧榮輝在開發者大會上提到了智能合約安全的源頭問題。

這無疑是一個非常大膽的想法。畢竟對于軟件開發者們來說，開發一個編程語言，意味著還要編寫對應的編譯器使其能夠在不同語言層級的環境下運行，這項工程復雜且龐大，無論是從理論基礎還是實操能力方面對都具備極大的挑戰。此外，智能合約語言又由于其獨特屬性以及較高的安全要求，技術壁壘更加難以攻克，讓很多資深的開發者都望而卻步。

CertiK聯合創始人顧榮輝

Solidity編譯器發布0.8.19版本，引入用戶定義值類型定義運算符:2月23日消息，以太坊編程語言 Solidity 推出 Solidity 編譯器 0.8.19 版本，最新版本包括一系列改進，以及引入用戶定義值類型定義運算符，防止運行時字節碼中的死代碼。@sifislag 報告的內部庫函數和通過模塊調用的自由函數的問題已在此版本中得到修復。團隊建議使用低于 0.8.0 的 Solidity 版本的用戶進行升級。[2023/2/23 12:25:32]

直擊源頭

2013年，智能合約作為以太坊生態系統的一部分被引入，它允許在不需要第三方的情況下，執行可追溯、不可逆轉和安全的交易。然而，由于代碼開源、一旦部署則難以修改等特性，智能合約很快成為區塊鏈安全事件的重災區。黑客利用交易過程中智能合約程序代碼出現的漏洞，發起各式各樣的攻擊。僅2018年一年間，被報道的攻擊損失就達到了上億美元。 

FTX公布巴哈馬當局扣押加密貨幣的地址，扣押總價值僅約1.67億美元:1月1日消息，FTX發布公告稱，2022年11月12日，巴哈馬證券交易委員會要求Sam Bankman-Fried（SBF）和Wang將部分數字資產轉移至Fireblocks錢包，該錢包地址為0x2a4f8d77bade18256b1bdb3cf8782645037f60d3。

據Etherscan數據顯示，該地址目前持有約1938.41枚以太坊以及近1.96億枚FTT，總價值僅約1.67億美元，與巴哈馬證券交易委員會宣稱的35億美元相差甚遠。FTX已要求巴哈馬證券交易委員會歸還所扣押的資產。[2023/1/1 22:19:30]

大量資金的流失引起了安全公司的注意，進而安全審計、安全驗證、漏洞檢測等安全手段競相加入區塊鏈安全賽道。針對現有的智能合約，大部分安全公司都提出了安全解決方案與改進建議。可是對于編寫智能合約的的語言本身，即代碼漏洞問題的真正“源頭”所在，并未得到普遍關注。

烏克蘭央行公布數字格里夫納計劃:金色財經報道，烏克蘭央行公布了其開發央行數字貨幣（CBDC）的概念草案，稱為數字格里夫納或“e-格里夫納”。銀行業監管機構在其概念文件中指出，數字格里夫納將有效地執行貨幣的所有功能，同時“補充格里夫納的現金和非現金形式”。烏克蘭央行認為，為了使CBDC履行其職能，它必須向包括銀行和非銀行金融機構在內的全國所有人口開放。該文件提出來烏克蘭央行目前考慮的CBDC設計的三種可能方案。第一種方案是將電子格里夫納用于零售非現金支付，第二種方案是尋求在數字資產的流通中部署CBDC，最后一個方案是將其用于促進跨境支付。(金十)[2022/12/3 21:19:43]

一般來說，為了編寫智能合約，必須使用智能合約語言（SCL）。在以太坊虛擬機（EVM）上運行的編程語言是Solidity，它是一種面向合約的高級語言。在以太坊網絡上編寫智能合約的主要步驟是：用以太坊高級語言編寫，接著用EVM編譯器編譯成字節碼，最后用以太坊客戶端上傳到區塊鏈網絡。

歐洲央行管委Makhlouf：如果有必要 2023年的加息幅度將會縮小:11月27日消息，歐洲央行管委Makhlouf表示，如果需要進一步加息，歐洲央行明年可能會小幅加息。Makhlouf還表示，他對12月會議的加息幅度持開放態度。市場預計歐洲央行12月的會議上將加息50-75個基點。（財聯社）[2022/11/27 21:05:00]

對已經編寫好的程序進行漏洞檢查就如同在“事中”預防，卻有可能錯過“事前”就存在的錯誤。例如用Solidity來進行以太坊智能合約開發，即使Solidity源代碼正確，但在編譯階段，因為編譯器版本不同，最后編譯到EVM等機器語言中生成代碼時，編譯器引入新的漏洞，執行依然會出現問題。顧榮輝說： “所以我們的想法是從代碼的編寫階段就提高它的安全性，從源頭找到就這些存在的安全漏洞并解決它。”

DeepSEA項目為了攻克這些更加底層可能出現的問題與隱患而誕生。

HT突破7.5美元，24小時漲幅33.0%:金色財經報道，Huobi Token（HT）價格上漲突破7.5美元，24小時漲幅33.0%。行情波動較大，請做好風險控制。[2022/10/13 10:33:15]

據顧榮輝介紹，DeepSEA是CertiK與耶魯大學和哥倫比亞大學的科研團隊共同主導推進的項目。得益于顧榮輝和另一位聯合創始人邵中教授在網絡安全、編程語言、形式化驗證等領域的深度積累，DeepSEA[L1] 團隊具備了發起了技術攻堅戰的能力。

DeepSEA致力于構建跨平臺的、可信賴的智能合約框架，令使用高級語言編寫的智能合約能夠準確無誤的在例如以太坊虛擬機（EVM）和超級賬本（Hyperledger）等平臺上進行編譯并且保證沒有任何安全漏洞，為開發者提供一個值得信賴的開發環境。

作為現下唯一的專門為區塊鏈安全而誕生的編程語言，DeepSEA在與CertiK公司的形式化驗證技術做了結合之后，其源代碼和編寫的智能合約能夠輸出對應的數學模型，從而轉化為可被形式化驗證的對象和框架。該模型能被導入到Coq證明輔助器中，讓用戶能夠在Coq中對程序進行基于數學模型的手動或者半自動的證明。該證明輔助器具有非常高的靈活性，可以憑此進行一些非常復雜的安全驗證，確保了智能合約從源頭到輸出過程的安全性。

DeepSEA目前主要包括兩部分：一是DeepSEA語言，二是經過驗證的安全可靠的編譯器。顧榮輝指出，用DeepSEA語言編寫的智能合約，能夠生成與開發者意圖相符的代碼規范。當智能合約產生更高級別的安全需求時，可以與CertiK開發的形式化驗證技術相結合進行二次驗證，用以證明合約的安全性，相當于雙層保障。 

“我們在語言的設計上引入的還是編程語言的思路，包括它是一個函數式的強類型的編程語言，在設計上更加安全，也更容易幫助使用者找到程序上的安全漏洞。”顧榮輝說道。

總結來說，DeepSEA的優勢有三點，首先，DeepSEA語言可以幫助開發者避免不必要的錯誤，讓代碼的編寫過程更加安全和高效。其次，DeepSEA編譯器可以使程序語言安全、準確地從源代碼級別被轉譯到字節碼級別，用戶不用擔心編譯器在編譯過程會引入新的漏洞。最后，用戶可以通過加標簽的的方式編寫程序規范，能夠保證程序規范與開發者的意圖沒有出入。

“因為源代碼的開發其實是在表達一件事，就是告訴我們，如何實現一個合約。而我們則是讓開發者來寫合約到底是去做什么，到底是什么，從開始的地方，根源處去解決問題。”顧榮輝稱。

未來不止于此

盡管當前看來，智能合約因成為區塊鏈安全的“重癥災區”而吸引了大部分的眼球，但作為因區塊鏈安全而生的語言以及編譯器，DeepSEA的想像空間顯然可以比智能合約更大、更廣。

對此，顧榮輝表示：“我們希望DeepSEA不局限于一個區塊鏈的平臺上，而是跨平臺、全面性的。” 

具體的應用場景上，在程序開發層面，DeepSEA框架的搭建從早期就標明該語言可以有效處理編程中的“固有沖突”。如今的主流操作系統和虛擬機管理程序仍然是用類似于C語言的低級語言編寫的，而高級的形式化推理和低級的系統編程之間存在著一些固有沖突（inherent Conflict），比如前者是依賴于高抽象級別的豐富理論，后者卻必須操控和管理低級別的硬件資源。DeepSEA編譯器的出現能夠有效解決這個問題。

在應用層面， DeepSEA語言對于自帶金融屬性的智能合約比如貨幣交易平臺、支付網絡，多重簽名錢包等提供了安全壁壘加持，能夠有效保護用戶的數字資產不受侵犯。

據顧榮輝透露，DeepSEA項目得到了包括哥倫比亞大學-IBM區塊鏈中心、以太坊基金會、QTUM量子鏈在內的科研基金支持。除去資金支持，這些平臺還將為DeepSEA提供社區支持，對DeepSEA的各類Demo做社區反饋，幫助其更新迭代。第二是在DeepSEA完成初步設計進行開源化后，能夠得到各個平臺、開源社區、開發者們的支持。第三是與IBM、以太坊基金會的核心開發人員進行長期的溝通，對DeepSEA未來的應用場景進行探討。 

并且，DeepSEA已經和由IBM、英特爾、埃森哲、JPMorgan等聯合提出的區塊鏈開源項目“超級賬本”（ Hyperledger）達成了合作關系，可以將DeepSEA對接到超級賬本的平臺上。

根據DeepSEA的路線規劃，將在今年內公布第一個DeepSEA語言版本，完成對首批科研支持伙伴Hyperledger、以太坊、量子鏈的對接工作。在得到各個平臺、生態的支持和反饋以及更多開發者的聲音后，預計在明年完善DeepSEA的語言，完成DeepSEA編譯器的安全驗證工作，并且真正的應用DeepSEA語言編寫比較重要的智能合約，進而部署到以上幾個平臺中。

“未來希望能夠對接到更多像以太坊、量子鏈這樣的知名公鏈上，通過智能合約的語言來打通不同區塊鏈生態，實現智能合約從各個區塊鏈生態或是各個區塊鏈平臺上的移植。”面對還有些遙遠的未來，年輕的DeepSEA已經按下“enter”鍵，開始了一往無前的區塊鏈之路。

Tags：EPSDEEPSEA區塊鏈DEEPSPACEDeepCloud AISEAC區塊鏈域名誰在管理

Pol幣