DemoShow Online(第51期):Certik智能合约的代码审计平台
分享到朋友或朋友圈
1概述
Certik是一款通过数学方法(形式化证明)验证智能合约漏洞的分布式应用,CertiK 致力于通过全球领先的形式化验证技术,来保证智能合约和区块链系统的安全性。
官网网址:https://certik.org
白皮书:https://certik.org/docs/white_paper.pdf
2项目介绍
Certik是一个是形式化验证框架,经过certik验证的智能合同、DApp以及区块链将会被附上证书形式的标志,来展示其正确性和安全性。Certik平台提供的主要功能包括以下部分:
智能标签框架:CertiK平台应用深度学习技术来构建智能标签框架,有了这个框架,大多数共享逻辑和属性代码(前置条件,后置条件,不变量等)都可以被自动标记,从而使得程序的逻辑,语义更加清晰和规范,这样验证的工作量就可以大大减少。
基于层的分解:这种技术揭示了分层设计模式的见解,并使得将复杂的证明任务分解为更小的任务成为可能,并在适当的抽象层面验证它们中的每一个。
可插拔的验证引擎提供开放式的协议,更先进算法的证明引擎可以自由插入这个系统。
机器可检验的证明对象:构建机械式的证明对象(或者反例),这些证明对象可以快速的被任何人检验,同时作为验证程序的证书(机械式证明对象可直接作为证书,赏金猎人提供的证明对象,需要检察官进行人工检验后才能作为证书。注:赏金猎人和检察官后文会进行描述。
认证的DAPP库:为集成开发环境提供了一系列认证库和插件,以便开发出质量更高的dapp,但是会花费一些CTK。
定制化的认证服务:如果有高可靠性要求,可以提供定制化的认证服务,由验证领域的专家提供帮助并出具综合报告。
CertiK生态
1) 客户(Customer) – 比如需要代码审计的开发者,可以向CertiK平台的网络提交需要验证的程序/系统或符合开放协议的任何证明义务(符合开放协议)
2)赏金猎人 (Bounty hunters)- 是那些希望CTK激励并希望分享他们的计算资源的人。他们提供算力完成证明和代码审计,然后等待验证。由于此角色的重要性,只允许拥有一定数量CTK的用户担任此角色。
3)检查员 (Checkers) – 验证证明和代码审计结果,可以通过记录定期交易或检查提交的证明对象来获得CTK奖励。赏金猎人只有在证明得到验证后才能获得奖励,监察员也可以获得这些奖励的一小部分。
4)Sages – 是通过CertiK平台的开放协议提供工具(验证算法引擎)的人。他们提供的工具可能被赏金猎人随机使用,可以根的评估结果获得一些CTK奖励。优秀的工具将由社区研究和传播。
5)用户(User)用户可以订阅所有CertiK平台的认证库和IDE插件,支付部分CTK,搭建自己的DApps。(买乐高搭积木)
CertiK尚未发token,主要的代码审计竞争对手是Zepplin和Quantstamp,Zepplin是人肉验证的基本安全的智能合约模版库,想自己写的拖出来稍微改改就可以了,因为被很多只眼睛看过,相对比较安全。但CertiK车飙的更猛,完全通过形式化证明这种数学方法和分布式的系统查找Dapp代码中的逻辑漏洞,完成代码审计工作。
3代币情况
【代币名称】:CTK
【代币类型】:ERC-20
【接受代币】:ETH
【代币总量】:100,000,000
【代币分配】:如图
4社群情况
Twitter:https://twitter.com/certikorg
LinkedIn:https://www.linkedin.com/company/certik/
YouTube:
https://www.youtube.com/channel/UCCcFr6FTUeWDIqUdY8i1W5w
Telegram:https://t.me/certikorg
Medium:https://medium.com/certik
GitHub:https://github.com/CertiKProject
5团队介绍
Prof. 邵中(联合创始人):耶鲁大学计算机科学系教授、系主任。1994年,他在普林斯顿大学获得计算机科学博士学位。在他早期的职业生涯中,他是SML/NJ编译器的主要开发人员,也是FLINT认证基础设施的主要架构师。近年来,他一直致力于网络安全、编程语言、操作系统和认证软件等引人注目的研究领域。他和他在耶鲁大学(Yale)的弗林特团队开发了世界上第一个抗黑客并发操作系统认证——这是构建可证明不存在软件漏洞的网络物理系统的一个重要里程碑。他也是顶级科学期刊和会议上90篇文章的作者以及合著者。
顾荣辉(联合创始人):是哥伦比亚大学计算机科学终身教授助理。他于2016年在耶鲁大学获得计算机科学博士学位,论文获得耶鲁大学优秀论文奖,并被提名为ACM学位论文奖。2011年获得清华大学学士学位。顾教授是系统软件形式化验证方面的专家。他是CertiKOS的主要设计者和开发人员,这是世界上第一个完全经过验证的并发操作系统内核。他关于调卷的OSDI16论文已被提名并选定发表在CACM的研究重点部分。
Vilhelm Sjöberg(研究科学家):是耶鲁大学前副研究员。他获得了计算机科学博士学位。2015年从宾夕法尼亚大学毕业。目前,他对分层验证系统(如CertiKOS)的语言支持很感兴趣。博士是2016年ACM SIGPLAN John C. Reynolds博士论文奖获得者。
Zhaozhong Ni(工程主管):曾在谷歌和惠普/ 3PAR担任工程主管,并在微软研究院(Microsoft Research)担任研究员。他是系统软件和正式验证方面的专家,在构建操作系统内核和关键任务企业系统方面具有丰富的经验。倪博士是gVisor的创始成员之一,gVisor是谷歌的新安全操作系统,具有云计算规模的生产能力。他拥有分布式存储系统的多项专利。他在清华大学获得学士学位,在耶鲁大学获得计算机科学博士学位。
Muhan Zou(EVP,CSO):从公司成立之日起,邹木汉就一直是CertiK的创始成员,他在工程能力和团队领导方面都做出了贡献。Muhan拥有多年设计和开发企业级SaaS产品的经验。在加入康卡斯特之前,他是康卡斯特的工程主管,负责将大规模广告和settop-box/linear原始数据转化为商业见解。他还曾在甲骨文工作,在耶鲁大学毕业后,他以一名全栈工程师的身份创建了社交云平台。
Daryl Hok(COO):全球机器学习法律技术公司FiscalNote的企业发展主管达里尔•霍克(Daryl Hok)在该公司加速了增长,他在12个月内完成了3笔收购,其中包括以1.8亿美元收购经济学人集团(Economist Group)。他还担任产品经理,负责SaaS产品的创意和发布,以及核心数据基础设施的开发。他在耶鲁大学(Yale University)获得了经济学和心理学双学士学位,主修行为经济学。
Yvan Nasr(商务):Yvan Nasr领导了三星电子(Samsung Electronics)的多项产品和业务开发计划,并推动巴克莱银行(Barclays Banks)在欧洲主要市场进行数字化转型。在获得MBA学位之前,Yvan还领导了欧洲最大的零售控股公司Kingfisher PLC的增长,使其在亚洲等关键市场的品牌全球足迹和产品范围实现多元化。最近,他是区块链网络安全初创公司Hosho的合伙人主管。他在芝加哥大学布斯商学院获得工商管理硕士学位。
Kai Yan(CBO):博士在商业增长、经济研究和金融市场方面拥有丰富的经验。他曾在国际货币基金组织(imf)担任经济学家,在一家对冲基金担任策略师。在国际货币基金组织(IMF),他与全球监管机构合作,围绕改善后的银行体系制定了新的监管规定。在一家对冲基金工作期间,他负责设计和执行交易策略。严博士在北京大学获得经济学学士学位,在耶鲁大学获得诺贝尔经济学奖博士学位。
Bojin Chen(中国区负责人):曾就职于中信证券,带领团队实施了多项IPO、债券发行、可转换债券、并购等,融资超过10亿美元。2017年,他参与完成了医药行业最大的单笔并购项目,金成药业以20亿元人民币的价格收购了朗逸药业。他在纽约佩斯大学鲁宾商学院获得财务管理硕士学位。
7战略合作伙伴
7项目进度
8专家评价
OhHeyMatty(78/100):没有发现任何(有价值的地方)
ICO Pantera(S):至少在ICO市场上,代码审计几乎没有竞争对手,这是一片蓝色海洋。
Crypto Calibur(75/100):CertiK是一个正式的验证框架,创建于硅谷,用于构建完全可信的智能合同和区块链生态系统,该平台的目标是帮助人们构建无bug、抗黑客的智能合同和区块链生态系统。CertiK的创始人是来自耶鲁大学和哥伦比亚大学的世界级认证专家、资深软件工程师,曾在谷歌、Facebook、FreeWheel等公司工作。如果这个团队能够执行他们的路线图,他们面对的将会是Quantstamp和 Zeppelin这样的大型竞争对手。最近,加密认证的规模也迅速膨胀,吸引了几个加密社区的大量兴趣。我们认为 CertiK 达到他们的硬顶没有任何问题,并且众筹完成后也满足不了投资需求。我们相信这是一项很有前景的投资,尤其是中长期投资。
9总结
优势
CertiK使用标签化将智能合约分成更小的部分,方便快速检查代码漏洞,导入生态圈奖励节点与外部专家进驻,进而自动化验证程序并持续更新验证引擎,在中长期保有竞争优势。根据官方电群表示已经开始提供验证服务,产品风险相对低。
区块链自身数据结构特性和巨大的利益承载,使得分布式应用的代码审计非常必要,不仅能够提高代码质量,避免被黑。
全明星的团队阵容。
劣势
项目并未开源,无法验证其服务准确性。
其他竞争者已在市场占有极大的份额,需有强而有力的商业拓展计划与之竞争。
Demoshow Online是链茶馆开设的项目介绍栏目,旨在将海外优秀的区块链项目引入国内区块链从业者的视野。将会从一个相对全面的角度介绍这些海外项目的相关信息,挖掘相关细节。欢迎大家留言,和我们交流你感兴趣的区块链项目。