由OpenZeppelin 孵化的智能合約安全實時監控項目Forta Network 已開放FORT 空投申領。此外,Coinbase 也宣布將上線FORT,這算是首發Coinbase的項目了。
智能合約安全實時監控項目——Forta 首發Coinbase
智能合約漏洞一直是加密生態系統中最關注的問題之一,當然,這個問題在DeFi 行業內也飽受批評。去年,Poly Network 成為頭條新聞,包括今年的OP被盜事件頻繁出現,因為在一次自稱為「白帽」黑客的智能合約攻擊中,該協議有超過6 億美元的資產被盜,這表明加密行業需要圍繞智能合約探索更嚴格的安全實踐。
許多智能合約的安全工作重心都放在了「部署前審計」上,依靠經驗豐富的安全研究人員在部署前確定智能合約中需要解決的關鍵漏洞。但不幸的是,這種方法無法準確捕捉到合約部署之後出現的潛在漏洞,這些漏洞可能被惡意行為者發現,繼而威脅數百萬DeFi 用戶的資金安全。
而今天首發Coinbase的Forta 是由OpenZeppelin 孵化的一個全新加密項目,可以幫助開發者在智能合約的實時執行過程中更好地識別漏洞。
Forta 的目標是實時檢測DeFi、NFT、治理、橋樑和其他Web3 系統上的威脅和異常。通過為用戶提供有關其係統安全性和穩定性的及時和有用的信息,他們有機會做出反應並採取行動,防止或最大限度地減少損失和其他異常情況。
Forta 有兩個關鍵組成部分:
Agent(代理),它是掃描區塊鏈交易是否存在威脅、異常和其他風險的腳本,任何人都可以編寫Agent來監控智能合約或交易,隨著Agent 編寫者社區規模不斷擴大,能夠有效解決不斷發展的智能合約生態系統中的潛在漏洞。
Node(節點)是運行支持Layer 1 或Layer 2 區塊鏈上Agent 的服務器。當Agent 檢測到智能合約出現某些問題時,Node 就會會發出一個警報,該警報會存儲在IPFS 中並記錄在Polygon 區塊鏈上。
負面信號也有價值——知道檢測機器人24/7 全天候運行並且不會觸發警報。 Forta 將為每個區塊維護每個節點運行的檢測機器人的自動記錄。
Web3 運行時安全解決方案要想成功,就必須是無許可的。公共區塊鏈的創新步伐令人筋疲力盡。每次部署新協議或合同時,都會引入新的風險向量。沒有一家擁有集中解決方案的公司可以有效地應對這些不斷變化的風險。適當激勵利益相關者的分散的基於社區的方法是覆蓋風險格局的最有效和最有效的方法。
截至目前,Forta 已經部署了超過200 個Agent 來支持智能合約警報功能,例如出現異常高的gas 費用、異常高的交易量、以及出現再入請求(Reentrancy Calls)。現階段,不少知名DeFi 項目已經與Forta 完成集成,旨在更好地監控各種安全、財務、運營和治理風險。此外,Forta 社區在Discord 上的服務器成員數量已經發展到超過10,000 名。
最終,通過實時檢測漏洞,Forta 可以為智能合約安全提供更完整的解決方案,幫助智能合約成為為最安全、最值得信賴的技術原語,進而實現Web 3 安全、去中心化願景。
安全是一項持續努力的方向:
自2015 年以太坊推出以來,智能合約已成為Web 3 技術的核心功能和特徵。比特幣向我們展示了完全去中心化公共賬本是可行的,而以太坊則給我們帶來了一種完全去中心化的計算模型——在去信任和透明度方面,至少現階段而言,還沒有其他計算模型能與以太坊相媲美。得益於智能合約,開發人員能夠將自定義構建的應用程序部署到區塊鏈上,為數百個用例提供支持,如今,這些用例已發展成為價值數十億美元的生態系統,而且也成為當今大多數加密項目的核心(包括Uniswap 協議和Maker 協議),並推動了許多其他區塊鏈快速增長,比如Solana、Binance Smart Chain 和Polkadot 等。
與此同時,新技術的出現不可避免地會帶來新風險。去年,Poly Network 成為頭條新聞,因為在一次自稱為「白帽」黑客的智能合約攻擊中,該協議有超過6 億美元的資產被盜。在到今年的OP被盜,儘管黑客將資產全額歸還,但這一事件表明加密行業需要圍繞智能合約探索更嚴格的安全實踐,同時在技術方面,下一代金融系統也需要更及時的攻擊監控功能。智能合約漏洞一直是加密生態系統中最關注的問題之一,以至於「智能合約風險」(smart contract risk)已成為金融領域的一個術語,旨在描述合約執行中發生的錯誤和Bug,這些問題往往會帶來數字資產風險,也會影響人們的投資決策。
Forta採用了什麼解決方案?
值得注意的是,任何人都可以開發Agent 並在Forta 上運行它。 Web 3 應用程序的高度可塑性和可組合性需要一種基於社區驅動的去中心化安全解決方案,因為沒有一個參與者可以識別應用程序中的全部潛在漏洞。目前,已經有超過100 名開發人員在Forta 上創建並部署了Agent,如果你也有興趣創建新Agent,不妨可以在此處查看Forta 的軟件開發包(SDK)。
此外,Forta 還發布了一些其他功能,旨在進一步增強實時安全性,包括:
Forta Connect:這是一個自助服務平台,使開發人員可以更輕鬆地使用MetaMask 而不是命令行來發布和管理Agent。
Forta Explorer:這是一種幫助用戶通過Slack 通知、電子郵件更新等服務來瀏覽和訂閱Forta Agent 的警報工具。
Private Agents:該功能是一種帶有混淆代碼和用於謹慎漏洞監控加密警報功能的Agent,允許開發人員更加謹慎地監控威脅。
Forta 項目完成了與智能合約操作平台OpenZeppelin Defender 的集成,將使開發人員通過統一的用戶界面更輕鬆地操作和監控智能合約安全。
那麼在實踐中怎麼實行?
舉個例子,讓我們回到2021 年8 月黑客對Poly Network 實施的攻擊。
Poly Network 是一個讓用戶能在不同的Layer 1 和Layer 2 區塊鏈之間傳輸數字資產的協議,他們通過在發送鏈上鎖定用戶資產並在接收鏈上發行等量新資產來實現這一點。更具體地說,用戶可以通過接收鏈上的一組Poly Network 錢包訪問接收鏈上已發行的資產。在攻擊中,黑客執行了一筆交易,把接收鏈上Poly Network 錢包的公鑰替換為黑客自己的公鑰,這意味著黑客獲得了對Poly Network 錢包的完全控制權,繼而可以輕鬆從用戶手中竊取已發行的資產。
使用Forta 進行實時監控可以避免這種攻擊,或是降低攻擊的危害,而且只需通過兩種簡單的方式即可實現:
當黑客用自己的公鑰替換PolyNetwork 的公鑰時,Agent 可能已經檢測到管理其錢包的Poly Network 智能合約狀態發生了異常變化。如果Poly Network 團隊有效監測到這種狀態變化,那麼就可以快速恢復原始公鑰,從而完全阻止攻擊。
Agent 可以檢測到接收鏈上Poly Network 錢包餘額出現較大的異常變化,使團隊能夠更早地識別攻擊並限制損失。
項目投資者:
項目實力是非常頂級的,有著coinbase和a16z的加持加入。
結論
今天Forta已經開始領取了空投,而且如果流動性足夠的話,今天Coinbase也將要首發Forta此項目,區塊鏈安全性需要不斷增強,只有這樣,機構和主流才能更好地接受加密,這點至關重要。 2022年的op被黑客盜竊,2021 年早些時候對Poly Network 的攻擊、2016 年的DAO 和2017 年的Parity 等黑客攻擊已經破壞了許多潛在用戶對加密和DeFi 的信心,如果區塊鍊和智能合約想要成為支撐下一代金融系統的基本技術,那麼就必須解決此類事件、並在未來防止此類事件發,只有這樣,才能重新贏回人們的信心。 Forta 還允許任何人跟踪智能合約中的特定行為,要知道,如今智能合約生態系統中的漏洞越來越多,因此採用去中心化解決方案是非常有必要的。最終,Forta 將進一步增強智能合約安全性、幫助智能合約成為互聯網的基礎設施,繼而實現Web 3 去中心化、安全和去信任的偉大願景。
今天的分享就到這裡,後期會給大家帶來其他賽道的龍頭項目分析。感興趣的可以點個關注。我也會不定期整理一些前沿諮詢和項目點評,歡迎各位志同道合的幣圈人一起來探索。
大家看完記得點贊再看轉發!
