以“Stay Safu”为主题,在ETHDenver期间举行了“安全主题分享
原文作者:IOSG Ventures
原文来源:IOSG
IOSG Denver 老友记(Old Friends Reunion, OFR) 于3月1日在美国Denver成功举办!!!
很早的时候,我们就注意到,今年的ETHDenver似乎格外吸引人。或许是因为大疫三年的压抑需要释放,或许是行业新征程即将起飞,不管在国内还是国外,这次大家的参与热度似乎尤其高昂。IOSG Ventures 作为行业的陪跑者和以太坊生态的拥护者之一,我们也从未缺席如此重要行业活动。
今年,我们以“Stay Safu”为主题,在ETHDenver期间举行了“安全主题分享,我们邀请了来自联合主办方,也是安全领域的行业领先项目Safe、Runtime Verification、zkSync,以及安全领域资深项目Scroll、Nil foundation、Taiko、1inch Network、Blocknative、OneKey、Hats Finance、Veridise、Wallet Guard、Hyper Oracle、Risc0、OpenZeppelin、Axiom、Blockswap等给予精彩分享,主题围绕协议层安全构建、ZK 协议中的安全原则及解决方案、安全的生命周期,ZK-EVM,安全工具,应用层等。
本次长达4个小时的活动设置包括10个talk,2个panel,成功吸引了超过100k+人次的线上关注,实际报名人数达1359(空降者未计算在内),实际到场参会者多达800+,自此创下了IOSG半天活动形式下报名及与会规模的新高!在此我们也向各项目方的大力支持,以及合作伙伴和朋友Moonshot、LearnWeb3、Penn Blockchain等的支持表示真诚的感谢。🙏
完整的活动视频将很快上传到IOSG Venture的官方YouTube,敬请关注:https://www.youtube.com/@iosgventures5233
精彩回顾 👇👇
🔥欢迎致辞
🎙️Ray Xiao,IOSG Ventures
Ray Xiao首先介绍了IOSG的投资逻辑和投资组合覆盖范围: IOSG Ventures是一家研究驱动的投资Web3的早期加密货币基金,致力于帮助创业者建立以社区为驱动的加密协议。当前我们处于在加密产业第二个时间周期,大量的应用和协议涌现,但是随之而来的是在前端、协议层以及代码层存在的安全漏洞导致的用户资产损失。根据去年统计的数据,由于智能合约漏洞导致的损失达到38亿美金,由Scam导致的损失达到59亿美金,用户和协议对于安全的需求指数型增长,但是对比传统网络安全基础设施,Web3的安全基础设施发展仍然严重不足。
根据智能合约的生命周期,我们可以把智能合约安全分为事前和事后安全检测。在智能合约部署到链上前接受的安全服务包含:Testing、Auditing;在合约部署到链上运转后接受的安全服务包含:Monitoring, Auditing(on-going),每一个环节都有着不同的安全工具和服务 (就像著名的网安专家Bruce Schneier所说:Security is a process, not a product. It's a way of thinking about the world, and it has to permeate all aspects of the software development process)
纵观目前web3安全基础设施,已经形成了模块化的产业雏形。其中形式化验证技术、链上监控和审计服务是IOSG重点关注的领域。这些服务的需求预计将随着链上协议设计的复杂性增加和链上资产的繁荣而增长。目前IOSG在安全领域的投资组合有:Runtime Verification, Hexens, Wallet Guard, Hats Finance, Arkhivist。
🔥圆桌讨论 - 零知识协议的安全原则和方法
🎙️Queenie Wu,IOSGVC 合伙人(主持人);Alex Gluchowski,zkSync 联合创始人;Ye Zhang,Scroll 联合创始人和研究主管;Matt Finestone,Taiko 首席运营官;Mikhail Komarov,Nil foundation 创始人;Brian R,Risc0 创始人;
这些专家在ZK协议的安全实践和方法方面分享了精彩的见解。主持人是IOSG合伙人Queenie Wu。
Alex Gluchowski认为,为了扩展到10亿用户,只有zk和相关技术可以使用。他还强调了在区块链中构建一个不需要信任且强大的系统的重要性。Ye Zhang旨在构建一个无需信任且强大的系统,该系统对开发人员友好且能够与EVM竞争。Matt Finestone建议有许多关于zk roll-up的解决方案,并且可升级性是信任系统和信任良好声誉的开发者之间的一种权衡。Mikhail Komarov旨在提供每个人都可以使用的证明市场,为zk项目提供基础设施。Risc0的创始人Brian R正在构建一个通用的零知识VM,该VM使开发者可以使用通用的Rust和C++语言编写ZK应用程序。该组一致认为,构建一个易于使用、开发人员友好的不需要信任且强大的系统非常重要。
🔥主题演讲 - 通用真理框架
🎙️ Grigore Rosu, Runtime Verification总裁兼首席执行官
Grigore Rosu讨论了Universal Truth Framework,这是一种安全审计方法,可以生成可验证的真实声明供用户信任。这是通过使用一个可信任的区块链来实现的,该区块链采取索赔并产生数学证明,可以通过SNARK-ed来产生一个紧凑的证明检查器。这种方法可以应用于创建一个真相区块链,在数学证明的基础上生成加密证明,240 LOC的证明检查器是有史以来最小的。
🔥主题演讲 — Taiko ZK-EVM:继承第一层安全性
🎙️ Dave,Taiko开发者体验负责人
Dave谈到了Taiko的目标,即在他们的去中心化以太坊等价zk-rollup中继承第一层安全性。他讨论了定义安全性的重要性,以及用户应该小心使用信任、桥接、权限覆盖/升级,并确保系统正确性。Dave强调了构建面向用户的安全性的必要性,包括构建易于使用的工具、提供教育、避免集中化平台,并在实施中促进多样性和协作。
🔥主题演讲 - 自动检测ZK漏洞
Jon Stephens, Veridise首席技术官
在一场关于自动检测ZK漏洞的讨论中,Jon Stephens解释了ZK电路的组成部分。然后他谈到了等价性。在等价性违规中,会出现两种类型的漏洞:过度约束的漏洞和不足约束的漏洞。对于过度约束的漏洞,大多数ZK语言将域方程作为断言添加到电路中。对于不足约束的漏洞,验证器可以接受错误的输入/输出。
OrCa、Picus和Vanguard可以帮助开发人员避免这些漏洞。Vanguard可以识别潜在的漏洞。OrCa提供漏洞的具体证明。Picus证明修复的正确性。Vanguard可以检测无限制的输出、分配误用、类型不匹配、无限制的信号、无限制的输入、除零、非确定性数据流和错误的数据流约束。OrCa使用模糊测试来找到具体证据证明电路是不足约束的。Picus结合了静态分析和SMT的优势。
🔥主题演讲 - 可编程zkOracle网络
🎙️ Shuyang,HyperOracle研究负责人
Shuyang讨论了可编程的zkOracle网络的话题。他说,一个dApp只有在最中心化的那层才是去中心化的。为了实现去中心化、安全和无信任,zkOracle网络采用了ZKP。这实现了实时数据访问、无信任的正确性和定制处理。
随后,Shuyang介绍了zkOracle的网络,其中包括zkGraph,这是一个非链式环境下的定制逻辑,可以保证来自任何节点的计算的完整性,并可以在本地验证结果。
🔥主题演讲 - 从区块链建设和MEV的未来中吸取的教训
🎙️ Matt Cutler, Blocknative首席执行官兼联合创始人
Matt Cutler讨论了从区块构建中吸取的教训以及最大可提取价值(MEV)的未来。区块是区块链的基础,矿池运营商在工作证明(PoW)模式下建造区块。在权益证明(PoS)下,验证者通过MEV-Boost将区块构建外包给区块构建者。
MEV是传统的交易在区块中基于gas费用的排序方式,有不同类型的排序,有不同的结果。除了区块链之外,MEV也存在于其他情况下,如搜索引擎、音乐会票务、港口停泊和股票交易中。今天,所有主网区块的35%以上都得到了补贴。
🔥主题演讲 - Web3安全的激励结构
🎙️ Oliver Hörr, HatsFinance创始人
Oliver Hörr讨论了Web3安全的激励结构以及如何解决审计营销的问题。他提出的解决方法是将部分审计费押在一定时期内的错误赏金上。他还谈到了审计的挑战,比如公开邀请审计,没有预付费用,只为有效的发现付费,这样可以吸引更多的审计人员,好的审计人员可以赚得盆满钵满,而坏的则空手而归。他强调了作为一个黑客的职业道德的重要性,以及漏洞悬赏可以成为一个伟大的工具,但目前没有吸引力。我们的目标是让Bug赏金有更多的安全保障,吸引更多的安全研究人员去寻找Bug,并使披露比利用更有吸引力。
🔥圆桌讨论 - 安全生命周期
🎙️Everett Hildenbrandt, Runtime Verification 首席技术官(主持人); Jon Stephens, Veridise 首席技术官; Yi Sun, Axiom 创始人; Michael Lewellen, OpenZeppelin 方案架构负责人; Vince Almeida, Blockswap 技术负责人 ;
本小组由Runtime Verification的CTO: Everett Hildenbrandt主持。在这个小组中,发言人分享了他们关于如何在软件开发阶段涉及安全的见解。Jon Stephens强调了在开发之初就考虑安全的重要性,并使用审计和测试来实现强大的安全性。他还建议建立基于Truffle的协议模糊工具,并致力于建立可用于多种协议的无信任设置。Yi Sun分享了关于ZK工具化的见解,建议编写更少的代码以确保安全,在使用新型加密时检查所有假设,并通过开源开发强调测试。对于ZK来说,用户需要信任密码背后的数学,Rust中实现的证明系统,以及信任的设置。
Michael Lewellen强调了在开发过程中尽早考虑安全问题的重要性,并把一切都放在MVP中,在一开始就得到审计人员的帮助。他还强调,客户往往对审计有不切实际的期望,测试应该包括部署和代码以外的监控。Vince Almeida建议在开发之初就编写正式的模型,并关心黑匣子,如Solidity编译器。他强调,即使在部署之后,安全仍然是必要的,监控应该发生在执行层和共识层,以便及早发现潜在的问题。
🔥主题演讲 - 冷加密存储的开源解决方案
🎙️ Alex Devyatkin, 1 inch hardwallet首席执行官兼创始人
Alex Devyatkin介绍了一个开源的冷加密存储解决方案,强调了随着托管钱包失去信任,对硬件钱包的需求。他强调了考虑核心性能和功能、连接类型、物理特性和安全级别的重要性,包括开源、认证和备份。Devyatkin还讨论了盲目签名的安全漏洞和应用被破坏的可能性,指出设备将直接通知用户。此外,他还强调了多种子功能的好处,该功能允许用户创建和控制多套具有不同种子短语的钱包,所有这些都在一个设备中使用符合BIP44的分层确定性(HD)钱包算法。
🔥主题演讲 - 安全的下一章 账号抽象化
🎙️ Lukas Schor,Safe联合创始人
Lukas Schor讨论了Safe的下一章,其中涉及账户抽象化。这被认为是拥有资产的最安全的方式,它现在可以用于L2网络。帐户抽象不仅仅可以做多重签名,它还可以处理支出政策和角色。Schor强调了建立web2用户体验的重要性,允许用户使用社交登录进行认证,并允许应用程序为用户赞助交易,用户可以直接用信用卡支付。
🔥主题演讲 - 为什么单靠教育不能解决安全问题?
🎙️Ohm Shah和Martin Peko,Wallet Guard联合创始人
Ohm Shah和Martin Peko讨论了为什么单靠教育不能解决安全问题。虽然教育用户如何识别钓鱼网站和了解交易很重要,但大规模采用不应要求密集的入职培训。相反,应该实施简单的界面、钓鱼网站检测和警告以及社会工程预防,以提高用户的安全性。
最后的想法 🤔🤔
资产的安全需要一个完整和系统的方法,从开发人员如何设计他们的机制,编写和部署他们的代码,一直到用户如何存储他们的种子短语和通过他们的钱包与区块链互动。这个堆栈中的一个部分的漏洞很容易导致资金的损失。加密货币钱包,作为每个人加入web3.0世界的第一站和唯一入口,将直接影响到这一天的到来。我们敏锐地意识到,安全是任何钱包的基石,并将直接影响到Web3.0世界的用户体验。我们设想的未来是,更多的人可以参与到去中心化的经济中,而不必担心使用加密货币钱包的漏洞和复杂性。我们相信,这一天不会太远了。
IOSG高度重视安全玩家对整个加密货币生态系统的意义。尽管与web2安全相比,这个方向仍处于相对早期的阶段,但我们相信,无论在审计、防火墙、保险或任何其他细分领域,都存在着巨大的机会,并热衷于帮助每个BUIDLer在web3安全方面的旅程变得更加愉快。
关于联合主办方🔥
⚡️IOSG Ventures 是一个投资于Web3未来的先锋加密基金。作为一个论文驱动的公司,我们协助创始人开发社区驱动的协议,这些协议已经准备好改变加密货币的面貌。我们的投资组合包括广泛的创新和高潜力的投资,包括L1/L2(Polkadot,NEAR,Starkware,Arbitrum),安全审计(Runtime Verification,Hexens),DeFi/NFT-Fi(1inch,0x,Metamask),GameFi(Bigtime,Illuvium)和SocialFi(Galaxy,Cyberconnect)。我们的团队包括经验丰富的加密货币原生BUIDLers和长期HODLers,我们仍然完全致力于支持我们早期阶段的开发者和创办者。自2017年成立以来,我们已经投资了一些行业领导者,包括Arweave、Cosmos、Celestia、Eigenlayer、Scroll、zkSync、Nil Foundation和Mina。无论你是在构建信息产业、中间件、安全、游戏还是社交平台,我们都热衷于投资有可能改变行业未来的加密原生模式。
⚡️Safe 是最值得信赖的数字资产管理平台,目前保障了超过400亿美元的资产安全。凭借其旗舰的网络和移动界面以及不断扩大的生态系统,Safe的使命是通过建立一个基于智能合约账户的数字资产、数据和身份监管的通用标准,为web3中的每个人解锁数字所有权,包括DAO、企业和零售或机构用户。
⚡️Runtime Verification 是一家初创公司,旨在使用基于运行时验证的技术,对公共区块链上的虚拟机和智能合约进行安全审计。它致力于利用其动态软件分析方法来提高区块链领域的软件系统的安全性、可靠性和正确性。
就目前而言,区块链安全测试大多是轻量级的静态分析测试(只测试源代码的内部逻辑),而动态分析测试(使用代码编译和执行时产生的数据)相对于静态分析测试来说,增加了发现错误的覆盖率。运行时验证是形式化验证的全球领导者,能够直接验证已编译的二进制代码。与源代码的形式化验证相比,这可以捕捉到由于错误编译而错过的错误。
⚡️zkSync 是以太坊上可扩展的低成本支付的无信任协议,由zkRollup技术驱动。它使用零知识证明和链上数据可用性,使用户的资金像从未离开主网一样安全。虽然安全是我们的首要任务,但用户和开发者体验是zkSync设计的核心。我们执着地寻求消除摩擦和复杂性的改进,以使zkSync成为以太坊上最令人愉快的平台,无论是最终用户还是建设者。
⚡️Taiko 是一个完全去中心化的以太坊等价的ZK-Rollup,也被称为类型1 ZK-EVM。作为一个ZK-Rollup,它继承了以太坊的安全保障,同时提供更低的交易费用。Taiko使为以太坊开发的dApps的开发者和用户能够使用Taiko,而不需要考虑任何变化。此外,由于其去中心化的设计,Taiko使一个充满活力的区块提议者、证明者和节点运行者的社区。