用Python進行DeFi應用的開發——不同的區塊鏈項目是如何解決安全問題的?_MAR:MARSINU

作者：LongHashJustinCai

Tezos作為著名的PoS公鏈，其亮點并不僅僅只是Staking，Tezos的形式化驗證特征同樣也是其主要技術亮點之一。形式化驗證能讓DeFi的安全性方面如虎添翼，讓用戶對資金的智能合約安全更加有信心。

形式化驗證方法和DeFi安全

DeFi的爆發式增長吸引了不少開發者，著名的DeFi協議如Compound、Uniswap、Syntheix累計收獲了上億美元的資金。但是，DeFi存在一個重大漏洞：安全性。

這個漏洞的代價是昂貴的，它給一些區塊鏈項目的網絡效應帶來了負面的影響。過去幾個月被攻擊的DeFi項目就包括Curve.fi、Lendf.Me、PegNet等，其損失從數十萬美元到數千萬美元不等。tBTC在上線幾天后通過自查及時發現了bug并凍結了存幣，避免了一場災難。

FTX使用Portal作為跨鏈橋解決方案，擴大了對Portal封裝代幣存取款支持:5月26日消息，Wormhole宣布FTX使用Portal作為跨鏈橋解決方案，并擴大了對Portal封裝代幣存取款支持。Wormhole表示，通過啟用Portal封裝的ERC-20代幣存取款，FTX用戶可以在包括Solana鏈上的DeFi協議中使用其代幣。[2022/5/26 3:42:44]

而對于注重安全性的DeFi開發者來說，Tezos的形式化驗證方案能夠在加強安全性的同時賦能DeFi應用。

在傳統互聯網應用中，如果服務器被黑客攻擊，只需要對服務器端用戶數據進行回滾就可以挽回用戶損失。因此，重視用戶體驗的傳統互聯網應用可以以犧牲安全性換取速度和功能上的快速迭代。然而在DeFi應用中，由于區塊鏈的不可篡改性，智能合約一旦上線并出現安全隱患，對用戶造成的損失是巨大且不可挽回的。

因此，DeFi應用開發的過程需要用大量的測試和昂貴的審計以獲取足夠的安全性，而反過來會犧牲迭代的速度，影響了產品的易用性。并且，因為安全審計的價格昂貴，很多開發者并沒有能力發起DeFi應用。

加密貨幣挖掘應用Pi Network或與高達17GB的越南個人數據泄漏有關:越南新聞媒體周一報道，針對移動用戶的加密貨幣挖掘應用程序Pi Network可能與17 GB的個人數據泄漏有關。大約有10,000名越南公民的身份證連同相關的家庭住址、電話號碼和電子郵件地址被出售。賣方標價9,000美元，可以比特幣或萊特幣支付。對此，Pi Network群組聊天頻道的主持人Phien Vo表示，Pi Network的KYC檢查是由第三方執行的，并補充說類似的越南身份證與該應用不兼容。但是，該應用程序的較早版本在某一點上與越南身份證兼容。此后，越南公共安全部的網絡安全部門對此事展開了調查。[2021/5/19 22:17:26]

區塊鏈開發人員目前仍然是稀缺的，導致人工審計的成本非常高昂。因此越來越多地使用機器輔助驗證是目前的趨勢，而機器輔助審計中的形式化驗證方法更是確保安全性的不二法寶。

形式化驗證指的是用數學中的形式化方法對算法的性質進行證明或證偽，方法有兩種：

聲音 | 孫宇晨：相對POW 使用POS可以極大地降低能耗:本月中旬，孫宇晨曾發推稱，個人愿意拿出100萬美元用于支持環保少女GretaThunberg的倡議。加密技術將通過實施去中心化解決方案，在減少碳足跡方面做出巨大貢獻。關于加密技術可減少碳足跡這一觀點，孫宇晨在最新的采訪中解釋稱，去中心化結算、融資完全由云計算系統上的計算機運行，因此不需要紙質的賬簿文檔和管理記錄。此外，云計算系統不依賴于物理交通基礎設施，因為一切都是數字化的。這樣的系統可以讓人們減少出行，減輕旅游業對環境的負擔。孫宇晨還提到，相對POW，使用POS可以極大地降低挖礦能耗。（Cointelegraph）[2019/12/31]

一種是模型檢驗，即把系統所有可能的狀態列出并進行一一檢驗，此種方法全自動化但只適合小型系統；

另一種是演繹驗證，首先把系統代碼標記成抽象數學模型，然后對定理進行證明，此種方法適合大型系統，但是首先需要人工將系統的運作方法轉換成驗證系統可以理解的語言。

動態 | 委內瑞拉總統建議普京可以使用Petro購買石油:據trustnodes報道，委內瑞拉總統尼古拉斯·馬杜羅在與普京會晤時向普京建議他可以用Petro購買石油。普京去年曾親自研究過區塊鏈技術，他告訴他的官員們爭取使用區塊鏈，因為他認為第一個控制技術的人會成為專業知識的中心。[2018/12/10]

形式化驗證方法在很長一段時間里，由于其成本較高昂，主要應用于學術、國防軍工、航空航天等領域，在商業領域應用較少。由于傳統互聯網應用與區塊鏈應用的運行環境有著本質的不同，其開發流程也應當相應地進行調整，其中最關鍵點在于安全驗證環節的投入比例。

函數式語言在公鏈領域的應用

許多區塊鏈項目為了保證安全性，在底層架構、虛擬機或智能合約的語言方面，選擇了函數式語言，如Ocaml、Haskell、Erlang等。函數式語言由于其嚴格的變量類型定義和編譯檢驗，以及擁有較好的形式化驗證工具鏈，在安全領域擁有很好的口碑。常見過程式語言編寫的代碼，一般必須重新用函數式語言標記方能進行形式化驗證。

動態 | 委內瑞拉最高法院在一工傷案件中下令用Petro支付賠償金:據Bitcoin News消息，委內瑞拉最高法院涉及一名委內瑞拉公民MaríaElenaMatos的工傷案件中，下令要求國家農業部研究所（Inia）支付其精神損害賠償金226 Petro。[2018/11/6]

我們看到，在以上項目中，Tezos支持的智能合約高級語言的種類最豐富，不僅包括Pascal,Ocaml,Haskell等多種函數式語言，也包括了Python這一應用普遍的語言。而Cardano、Aeternity都需要開發者學習一門新的函數式語言，使得開發門檻變得較高。

Michelson語言的安全特性

在智能合約語言的設計上，Tezos采用了一種取長補短的創新方案。Tezos的智能合約底層采用基于Ocaml的Michelson語言，而開發者實際接觸的是Python等高級語言，并不需要了解Michelson語言本身。如此以來，可以結合Michelson語言更好的安全性與可審計性，與Python等高級語言的易于編程性。

Michelson在架構上對標的是以太坊EVM，與EVM相比其相似之處有

1）是一種stack語言

2）使用鏈上存儲

3）采用gas費用模型

4）圖靈完備

Michelson與EVM的主要區別是

1）靜態類型

所有進入Michelson智能合約的數據，都需要明確定義其類型。避免了跟類型不匹配有關的程序bug，如浮點溢出、除以0等。

2）原子計算

一個Michelson智能合約必須完成執行后才能調用其它智能合約。這一點避免了以太坊上經常發生的re-entrancy攻擊?(如著名的DAO攻擊）。

3）明確的調用失敗

執行期發生的失敗只有三種，明確失敗、gas耗盡、數量溢出。這一點避免了以太坊上常出現的隱含模代數、錯誤指令、stack溢出等類型的常見執行期攻擊。

4）嚴格的語義

大小寫、空格、短行都有嚴格規范的要求，讓代碼審計變得更方便。

可以看到Michelson相比EVM在安全上有諸多的改進，可以更好地抵御以太坊上經常出現的攻擊類型。

SmartPy開發工具包

Tezos上的Dapp開發者并不需要掌握Michelson語言。這是因為開發者可以使用基于Python的SmartPySDK，并將Python代碼寫的智能合約編譯成Michelson語言。因此Dapp開發者只需要會Python就可以輕松上手。

SmartPy是一個Python庫，而SmartPy.io讓用戶能夠在一個瀏覽器中執行Python腳本。Smartpy的官方網站提供了一個在線編輯器(https://smartpy.io/demo/)，Dapp開發者可以直接用Python編寫代碼并編譯成Michelson智能合約，然后部署到Tezos主網上。其使用界面設計相比以太坊的Remix在線編輯器更簡潔明了，非常容易上手。Smartpy還自帶了一些現成的開發模版，方便開發者參考學習。

SmartPy.io的界面如下。屏幕左側區域是代碼編寫區，開發者可以輕松地使用Python來寫入并編輯合約的代碼。Smartpy不需要像Remix一樣分兩步編譯和執行，按一下代碼區上方的執行按鈕就一步搞定，非常方便。執行結果立馬就可以在屏幕右側顯示出來，包括合約調用的入口、存儲狀態、編譯的Michelson代碼等。

除了在線編輯器，SmartPy還有一個命令行版本SmartPyBasic，讓開發者在本地環境也可以編譯運行SmartPy代碼。

部署的智能合約可以用SmartPyContractExplorer進行查看，合約的當前狀態和歷史操作都一覽無余。

目前SmartPy已經支持Python常見的許多功能，如本地變量，變量類型判斷，Lambda函數等。少數不支持的功能如array，可以用map來代替。這也就意味著學習SmartPy不需要投入很多的時間和精力，開發者可以專注于實現更好的功能。

以下是一些關于SmartPy入門的訓練課程：

CryptoverseWars:?https://cryptocodeschool.in/tezos/overview/

BlockmaticsSmartPyDevelopercourse:https://cryptocodeschool.in/tezos/overview/

Tags：MARMARTARTSMARTMARSINUbitmartnewsNFTART價格SmartMesh

ETH