Quantstamp是一个可扩展的安全审计协议,旨在发现以太坊智能合约中的漏洞。 Quantstamp协议通过创建可扩展且经济高效的系统来审核以太坊网络上的所有智能合约,以便解决智能合约的安全问题。 随着时间的推移,以及安全性的诸多考虑,Quantstamp希望每个以太坊智能合约都能使用Quantstamp协议来执行安全审计。
Quantstamp协议依靠分布式的参与者网络来减轻劣迹者的影响,从而创造足够的算力来管理网络。 每位参与者将使用Quantstamp协议令牌(QSP)来进行支付、接收或改进服务。
一、项目应用
慢雾:Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容:据慢雾区消息,6 月 7 日,Equalizer Finance 遭受闪电贷攻击。慢雾安全团队以简讯形式将攻击原理分享如下:
1. Equalizer Finance 存在 FlashLoanProvider 与 Vault 合约,FlashLoanProvider 合约提供闪电贷服务,用户通过调用 flashLoan 函数即可通过 FlashLoanProvider 合约从 Vault 合约中借取资金,Vault 合约的资金来源于用户提供的流动性。
2. 用户可以通过 Vault 合约的 provideLiquidity/removeLiquidity 函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受 Vault 合约中的流动性余额与流动性凭证总供应量的比值影响。
3. 以 WBNB Vault 为例攻击者首先从 PancekeSwap 闪电贷借出 WBNB
4. 通过 FlashLoanProvider 合约进行二次 WBNB 闪电贷操作,FlashLoanProvider 会先将 WBNB Vault 合约中 WBNB 流动性转给攻击者,随后进行闪电贷回调。
5. 攻击者在二次闪电贷回调中,向 WBNB Vault 提供流动性,由于此时 WBNB Vault 中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。
6. 攻击者先归还二次闪电贷,然后从 WBNB Vault 中移除流动性,此时由于 WBNB Vault 中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。
7. 攻击者通过以上方式攻击了在各个链上的 Vault 合约,耗尽了 Equalizer Finance 的流动性。
此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。[2022/6/8 4:09:22]
1.智能合约的创建者创建了一个合约(创建者必须拥有一定量的QSP币用于奖赏后续对智能合约有贡献的参与者)。
德国WEG银行与Anquan Capital合作探索银行和金融服务行业中的区块链应用:德国WEG银行宣布旗下金融科技公司Ten31与新加坡科技孵化器公司Anquan Capital达成合作。新闻稿显示,双方将合作探索银行和金融服务领域的区块链应用程序。Ten31为 Anquan Capital 提供数字资产托管服务,Anquan Capital则为企业客户提供托管解决方案。注:Anquan Capital成立于2015 年,已经建立了包括Zilliqa 和Anqlave在内的许多分布式账本技术(DLT)公司。[2020/5/18]
2.贡献者提交一些关于此智能合约可靠性、安全性的代码(获得一定的QSP币)。
声音 | 谷燕西:Libra的一个潜在的竞争者是Twitter和square的CEO Jack Dorsey:今日,在由火讯财经主办的“火讯Facebook Libra周”线上沙龙上,CBX研究院院长谷燕西表示,在潜在用户方面,Facebook确实在全球有27亿的注册用户,数量方面他确实是有优势。但是,具体到数字资产方面,加密数字资产的爱好者的活跃社交群体是Twitter,而不是Facebook,而且推特的用户也是遍及全球。如果一个基于加密数字资产的金融应用,需要在全球推广的话,实际上推特更适合于此目的。Libra稳定币的一个潜在的竞争者是 Twitter和square的CEO Jack Dorsey,他在社交网络和货币支付端方面都有优势,所以他很有可能是Facebook稳定币的一个很大的竞争者,而且他一直是加密数字货币的强烈的爱好者,特别是对比特币。在2018年5月在纽约举行的 Consensus大会上,他就提出,互联网需要自己的稳定数字货币。[2019/6/21]
3.验证者(矿工)提供算力,运行Quantstamp的验证节点(获得一定的QSP币)。
4.bug发现者提交bugs,终止智能合约(获得QSB币)。
5.合约使用者,使用安全审核过后的结果-合约。
6.投票者,基于QSP令牌的投票机制是治理的核心。
二、项目亮点
Quantstamp是一个去中心化的智能自动化安全审计平台,致力于用更高的自动化来审核智能合约代码,以实现更高的安全性、更短的审核周期及更低的成本。
1.Quantstamp协议:
①自动化的可升级的校验软件系统,针对Solidity编程语言(以太坊智能合约语言)。
②自动化的赏金支付系统,奖励智能合约中缺陷的发现者。
QuantStamp的独特定位在于,它同时结合自动运算与人工操作,可扩展的空间大幅提升。
2.Quantstamp如何改进智能合约基础设施?
①协议允许终端用户直接提交用于验证的程序,并且审计结果不会被人为操纵;
②将智能合约的验证和证明做为以太坊验证节点软件的一部分来激励矿工。
在未来,QuantStamp计划与第三方合作提供智能合约保险,以进一步降低使用智能合约的风险。
3.Quantstamp如何改进开发人员的流程?
人工通过开源代码审查和单元测试,不足以满足区块链技术的需求。
为了最大限度地降低风险,开发人员直接从钱包中提交自己的代码进行安全审计,通过Quantstamp以太坊智能合约,在数据字段中输入源代码,并发送QSP令牌。
Quantstamp协议提供了这个简单的界面,更加简化的流程来验证智能合约,最大限度的减少出现漏洞的机会,同时也通过在区块链上证明他们已经执行了审核来帮助保护开发者的声誉。
相关链接:
https://quantstamp.com/
https://www.jianshu.com/p/1dfef2763d62
网址:https://quantstamp.com
推特:
脸书:
电报:
上线时间:2017-11-22
白皮书:https://docsend.com/view/shcsmhe
合约地址: https://cn.etherscan.com/token/0x99ea4db9ee77acd40b119bd1dc4e33e1c070b80d
最大供应量:
流通量:c
当前供应量:u
持币数量:36517
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。