揭秘Fairyproof Tech：兩位以太坊實踐者的再次實踐_以太坊:以太坊硬幣圖片

“智能合約的安全級別主要取決于兩個因素：內部風險和外部風險。其中內部風險主要表現為合約自身的邏輯復雜度，外部風險主要表現為合約與第三方合約的交互程度。”

2020年8月，以太坊剛剛公布了Eth2.0信標鏈測試網的質押合約地址，整個加密貨幣行業開始熱議“Eth2.0信標鏈是否會帶動一次新的staking業務以及DeFi發展”。

此時，在以太坊魔術師論壇里，一篇名為《以太坊2.0抵押協議的修改提議》文章出現了，文中提議：以太坊2.0的抵押方式可以通過新型穩定幣抵押并發放榮譽NFT來調整，以增加抵押者的抵押動機和規避流動風險。

這篇文章的作者分別是，周朝暉、張華、譚粵飛。

這一提議得到了社區開發者的熱烈討論，巧合的是，負責以太坊EIP審核的Micah Zoltu詳細分析了文章，并看到了文章中關于利用以太坊存儲鏈上圖片的改進提案EIP-2569，從此，以太坊ERC協議層中便多了一個圖像存儲協議ERC-2569。

時間退回到2019年7月，在北京舉辦的以太坊開發者大會上，譚粵飛在周朝暉老師的介紹下結識了張華，通過溝通，發現了張華對各個流行的區塊鏈系統都有深刻的理解并精通各種區塊鏈系統中智能合約和DApp的開發。

Cardano已發布Hydra節點首個主網兼容版本V0.10.0:5月12日消息，Cardano開發人員SebastianNagel在推特上表示，Cardano已發布Hydra節點的第一個主網兼容版本V0.10.0。據悉，Hydra是一種解決方案，可為Cardano網絡提供改進的數據存儲周期和每個節點空間的可擴展性和效率。此前3月份消息，Cardano開發團隊在Cardano公共測試網上發布首個HydraHeads。[2023/5/12 14:58:57]

三人志同道合。隨后在周朝暉老師的帶領下一同創建了DAO項目DAIsm，而DAIsm就是上文Eth2.0信標鏈文章的主要提議者。在DAIsm，三人在周老師的帶領下完成了各類的智能合約以及DeFi、DApp的開發。

ERC-2569是周朝暉老師提出，張華和譚粵飛深度參與的。這是一個提議利用SVG圖像格式在以太坊上存儲圖像文件的EIP協議，而這個協議因為其創新特性，最終成為了ERC協議。

該協議可以將SVG圖片永久存儲在以太坊上，為同質化通證（FT）和非同質化通證（NFT）中涉及的圖標、圖片存儲提出了鏈上存儲的解決方案。這是第一個由中國大陸境內的團隊創建并被以太坊收錄的標準。

區塊鏈圖書出版平臺Libraro完成200萬英鎊融資:金色財經報道，區塊鏈圖書出版平臺 Libraro 宣布完成 200 萬英鎊融資，投資方包括 nChain 和 Web3 孵化項目 Block Dojo 等。Libraro 允許作家將自己的作品內容發布到其平臺，并通過區塊鏈技術記錄和保護上傳材料版權來確保平臺「完整性」，該公司還推出了 NFT 數字藏品作為用戶激勵。[2023/4/25 14:26:03]

因為很早就開始接觸并共同參與以太坊相關項目的深度開發。在合作過程中，譚粵飛和張華對彼此都有了很深的了解和認同，并因此形成了密切的合作關系，構建了這個團隊的雛形。

自此，兩人開始密切關注以太坊生態的各種動向，深入研究以太坊的各種技術，尤其是Solidity和Vyper開發及智能合約安全技術。

此后，兩人還繼續參與了一批DeFi項目的設計、構架及編碼，對DEX、DAO、借貸、穩定幣等合約的架構、實現、常見問題等都有豐富的經驗。

值得一提的是，在2019年當Vyper語言剛興起時，兩人就開始用Vyper語言進行實踐，并在深圳大學的區塊鏈課程上向學生們介紹了Vyper語言。這在以太坊社區乃至加密貨幣社區里都是少有的實踐。

韓國檢方：Do Kwon的資產不在韓國:金色財經報道，韓國檢察官表示，Terraform Labs的9名前任和現任高管從該項目中非法籌集的4145億韓元（約合3.142億美元），其中約有914億韓元屬于該公司首席執行官Do Kwon，但確認他的資產都不在韓國管轄范圍內。

當地檢察官暫時沒收了屬于Terraform聯合創始人Shin Hyun-seung（又名Daniel Shin）的資產，包括房地產和進口汽車。該國檢方指控Daniel Shin從Terra-Luna項目中非法獲利超過1540億韓元。Do Kwon似乎將很大一部分財產換成比特幣，轉移到海外加密交易所。檢察官表示，他們已要求幣安阻止Do Kwon提取其加密貨幣。

此前消息，韓國檢方已搜查并扣押Terra高管和員工的總計超2億美元房產。[2023/4/7 13:49:59]

2020年6月Compound發行治理通證掀起DeFi大潮后，兩人敏銳地關注到DeFi應用的崛起會對業界尤其是安全領域帶來巨大的挑戰。因此便開始深入研究各個流行DeFi項目的源代碼，跟蹤每一次DeFi領域的重大事故，分析事故的原因，找到應對的解決方案，并在這個過程中積累了豐富的經驗。

英國將在未來幾周就央行數字貨幣進行磋商:金色財經報道，英國財政大臣杰里米亨特周五表示，英國政府將在“未來幾周內”就央行數字貨幣的案例進行磋商。亨特在給議會的書面聲明中表示，英國央行還將發布一份文件，列出技術考慮因素，為數字英鎊的潛在構建提供信息。亨特宣布該計劃作為更廣泛改革的一部分，以刺激英國的金融服務業。(金十)[2022/12/9 21:34:18]

這些過往，成為了Fairyproof Tech的起點。

在DeFi不斷發展的今天及未來，安全事故發生的頻率必定越來越高，這在原本只是“技術愛好者”的兩位看來是一個難得的契機，終于可以把自己的經驗及技能付諸于項目了。

基于既有經驗，他們為零蹤安全設計了這樣的審計過程。

據譚粵飛介紹，Fairyproof Tech目前的主要審查技術包括兩部分：

一是用自研發的系統工具對合約進行標準化審查；

二是工程師根據項目白皮書及描述對代碼編寫的邏輯和一些常見的風險進行審查。

美CFTC委員建議設立新投資者類別以保護小型投資者:12月1日消息，美國商品期貨交易委員會 (CFTC) 委員Christy Goldsmith Romero表示，需要重新定義散戶投資者來保護消費者和市場免受加密貨幣帶來的風險。Goldsmith Romero表示，加密投資者大多數是1980年后出生的年輕人、多元化、年收入不到50萬美元。這不是CFTC慣常看到的典型客戶，因此他們不應該被同等對待，需要對他們制定有意義和有針對性的客戶保護措施。同時她承認有必要保持金融包容性。

Goldsmith Romero建議創建兩類散戶投資者，“將家庭散戶與專業人士和高凈值個人分開”，商品期貨交易委員會再將為每個類別單獨提供消費者保護。（Cointelegraph）[2022/12/1 21:15:01]

工具的自動審查主要審查常見的代碼漏洞（比如溢出、高風險的函數調用等）；人工復審主要從邏輯層面分析代碼的實現是否符合白皮書或項目簡介中介紹的邏輯，以及代碼實現的運行結果是否符合項目期望的結果。

在Fairyproof Tech團隊看來，智能合約的安全級別主要取決于兩個因素：內部風險和外部風險。其中內部風險主要表現為合約自身的邏輯復雜度；外部風險主要表現為合約與第三方合約的交互程度。

“如果合約自身的邏輯復雜則牽涉的代碼實現就復雜，需要理清的邏輯就繁雜，這里面就不可避免的會出現疏漏之處和潛藏的問題，這也就預示著合約本身的內部風險較大。如果合約與第三方合約交互頻繁并且交互的合約眾多，則引入的外部風險的可能性就較大。”譚粵飛解釋到。

所以安全機構審查邏輯時會根據項目本身的運行機制核對代碼的實現邏輯，以及審查代碼的實現邏輯是否匹配項目期望的邏輯？能否達到項目預期的結果？是否會出現意料之外的行進路線？

這需要對代碼實現有深刻的理解以及與項目團隊的密切溝通。

譚粵飛對金色財經記者解釋到：“現在DeFi樂高游戲堆疊得越來越復雜、合約的內部實現也越來越復雜、本合約與外部合約相互之間的關聯和交互越來越緊密、頻繁，就此合約的安全風險問題就會越來越突出，比如近日發生的Yearn Finance由于內部價格的邏輯問題而被攻擊就是一個典型。”

因此，對于代碼審查技術，靈蹤團隊認為，無論是用工具審查還是人工審查，歸根到底都可以歸結為專業和嚴謹。“這兩方面一個是技術上的保證，另一個是態度上的保證。”

此外，從項目方來或交易所的角度來看，決定項目安全級別的根本要素來源于專業度、態度以及團隊的初衷。

從Fairyproof Tech的角度出發，目前對安全審計的概述就是：遞進審核，全面覆蓋。

從智能合約的設計來看，絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上，因此可以從這些方面入手向上延展，找到這條路徑上可能存在的薄弱環節加以防范。例如對閃電貸攻擊的防范方法，要從預言機、賬戶授權上找尋方法。

“如果我們只是本著把項目的代碼審完，提出對方在意的問題，而不為項目方更深遠的考慮，機械的工作，是無法體現優勢的。”譚粵飛說到，所以Fairyproof Tech團隊一直秉承著為項目方多想一步的態度。

對于Fairyproof Tech來說，進入這個行業最大的優勢就是對以太坊的了解、對智能合約的熟悉和對各類安全事故的精研以及理解。

Fairyproof Tech團隊描述到，因為技術的進步，早期出現的一些合約設計問題已經出現較少了，但重要的是對代碼細節的打磨，例如對比Uniswap和其他DEX的代碼，就能發現Uniswap在代碼的編寫上尤為細致，而大部分DEX代碼則較為粗糙。

此外，項目方團隊要尤其注意授權的設計。如果從代碼審計的角度上看，有高級權限的存在會留下“后門”被操控的風險，但如果項目可以有效的通過去中心化治理來管理高級權限（高級權限目標是未來管理項目），例如將高級權限轉交給DAO或多簽錢包來則是可行的。

因此，在這個過程里不僅要有專業經驗，還要有多樣化的理解，例如上文提到的“高級權限”這些漏洞不僅是從代碼去看，還要通過團隊未來的規劃去評定。

譚粵飛還表示：“如果團隊的初衷是為用戶奉上一份有價值的產品和服務，一定會像珍寶一樣珍視自己的代碼，小心地呵護它，在此基礎上如果團隊還有專業的積累和經驗的沉淀就能主動避開各種常見的隱患和潛藏的問題，最后團隊的嚴謹態度是對合約最后的把關。有了嚴謹的態度，團隊對自己的產品一定會慎之又慎，反復打磨。”

DeFi發展迅猛，安全審計的市場還遠達不到飽和。近來Heco大熱，Fairyproof Tech也在積極研究Heco和其鏈上的各種項目，并對TVL巨大的眾多項目與業界同仁、Heco官方進行了深入探討，積累了相當多的經驗，以此，已為服務Heco上的項目團隊打下堅實的基礎。

在不斷吸引人才的基礎上，Fairyproof Tech將布局所有對區塊鏈生態有利的安全審計業務。但在DeFi火熱的當下，團隊的主要精力仍會聚焦于項目服務上，確保項目的合約安全和用戶的資產安全，為中國領跑全球貢獻自己的力量。

安全是金融發展的絕對前提，更是加密貨幣發展的絕對前提。2020年，整個DeFi賽道完成了數十倍的體量增長。DeFi等應用順利發展實現的同時，更是代碼安全的體現。留給Fairyproof Tech的，是加密貨幣未來的星辰大海。

Tags：以太坊DEFEFIDEFI以太坊硬幣圖片JustDefiMazuri GameFiDefiCliq

以太坊交易