区块广播:

浙大 INCAS :一个公开公正透明的智能合约审计平台|直播专访回顾

VNTChain研究院版主发布在 VNT/维特链
 2059  0


9月10日,“维特链开发大赛生态解密直播间”系列活动第2期,我们邀请到浙江大学INCAS 实验室 SRTP 小组队长刘长硕同学,对他们研发优秀的参赛作品《智能合约审计平台》进行了分享。

本文主要整理于「维特链开发大赛生态解密」第二期直播分享内容。

作品介绍

智能合约审计平台是一个基于 VNT Chain 的智能合约提交、审计、报告生成系统。该系统拟了一个智能合约审计公司的实际场景:智能合约审计平台。

当平台用户在 DAPP 上提交了智能合约后,需要抵押一定数量的VNT,系统会自动将智能合约分发给一定数量的在线的智能合约审计人员。公司工作人员(智 能合约审计人员)上班后,将自己的状态调整为在线,表示可以接收审计报告并审核,当完成审计后,审计人员获得 一定积分(积分和其审核的效果相关),将审计人员的审计报告汇总起来之后,用户将支付抵押的 VNT 获得审计报告。用户和审计人员在提交智能合约和审计合约之间进行利益交换,实现各自的目标。公司则可以通过审计人员的积分多少对其进行相应的奖惩。

目标用户

平台用户分为两类:智能合约上传用户,智能合约审计人员。

页面展示

(主页面)

 (登录页面)

团队介绍

浙江大学 INCAS 实验室 SRTP 小组核心成员有三位,其中组长刘长硕是本项目的负责人,组员金一博和章雨婷分别负责后端开发和前端UI设计。

组长刘长硕:学习成绩稳定在专业前 5%,曾获国家奖学金,参加浙江省物理创新竞赛,美国数学建模比赛等,并进入竺可桢学院工高班进行学习。在熟练掌握了课程知识的基础上,刘长硕同学对区块链技术有着极大的热情,并在 2019 年暑假赴新加坡进行有关学习,以加深对区块链技术的深度理解。作为本项目的负责人,刘长硕同学拥有很强的领导能力,擅于团结队友,带领整个团队共同进步。

组员金一博:金一博基本了解掌握了 C 与 C++语言以及基本的数据结构知识,利用课余时间学习了区块链,并通过 coq 语言学习过部分形式化证明的知识,于 2019 年 7 月份赴新加坡进行安全领域学习。此外,金一博同学能够较为顺利地研读智能合约和区块链的前沿论文,学习热情较高。

组员章雨婷:在学习生活中,掌握基本的专业知识,选修 Linux 课程,进入浙江大学竺可桢学院工高班进行学习,同时积极参加美国数学建模大赛锻炼自己的能力,具有比较丰富的前端开发经验,在智能合约方面,能较好地运用数学基础进行研究。

问答环节

1.刚才听你们的项目介绍,了解到是个工具类的作品,当初为什么选择开发这个项目?目前你们有解决哪些市场痛点?

组长刘长硕:在智能合约漏洞频繁出现的现今,因其造成的损失已经难以估量。也正是如此,审计智能合约的需求缺口越来越大。因此我们选择开发这个项目,进而在一定程度上减少智能合约的漏洞,确保用户资金等方面的安全。

VNT链的不可篡改性使得审计结果无法修改,进而保证了审计结果的质量和智能合约的安全。基于此不可篡改性,我们针对解决了智能合约漏洞频出的问题以及确保了智能合约漏洞在发现之后不可更改。同时,召集具有丰富智能合约开发经验的工程师作为审计人员,充分利用了社会劳动力,满足用户对智能合约安全审计的需求。


2.现在审计智能合约的需求缺口很大,那目前市场上有同类竞品嘛?你觉得你们这个作品的核心竞争优势在哪里?

组长刘长硕:市场上还是有一些同类产品的。如:智能合约审计平台 VaaS、CertiK等。

我们项目主要的创新点是让审计人员的报告可信度得到提高,现今市场上的各项智能合约审计平台大多是通过专业安全团队咨询审计,报告提交者无法实时具体了解审计过程以及审计提交报告的可信度。而采用审计报告上链的形式,能够用户实时监测审计人员的报告审计进度。

审计人员无法观测到其他审计人员的审计结果,审计人员也无法了解其余审计人员的真实身份,防止审计人员中出现对审计报告结果的操纵情况。

用户提交报告进行审计需要支付一定数量的VNT,作为一种激励措施,使审计人员能够积极参与到报告审计过程中。

其次,在该项目的智能合约审计平台上,审计人员的审计工作完成度关系到其收益,通过将所有审计人员提交的审计报告进行综合,得到最终的审计报告,与最终审计报告结果相差较大的审计人员将会被认定为消极审计,扣除其收益。这一举措可以提高审计人员的工作积极性和审计质量。


3.请问你们《智能合约审计平台》的设计思路是怎么样的?开发中有设计哪些亮点,和大家一起探讨下?

组长刘长硕:首先我们根据项目大概的需求进行需求分析,确定目标是提供一个可供智能合约审计公司使用的审计平台,然后分析好项目为不同类型用户应该完成的功能。然后进行应用开发和测试:

ASC智能合约审计平台的开发使用nodejs作为平台、使用nodejs的express框架和react框架,利用html、css、bootstrap、js、jquery和ajax以及mysql数据库进行前端和后端开发,利用vnt的js接口进行智能合约的开发同时利用ipfs文件系统获取文件的哈希值进行上链。

亮点:不同类型用户分类明确,责任分配适当,并参考现实公司情况(比如职员请假,职员偷懒,职员串通牟利等行为)为系统的成功运行提出一套积分法则。

项目开源地址:

https://github.com/vnt-longshuodidi/VNT-ASC-Dapp

感兴趣的小伙伴,可以去看下~


4.对于《智能合约审计平台》,你们将来大体的规划是怎样的,如何吸引种子用户呢,能否和大家分享一二?

组长刘长硕:前期通过用户和审计人员两种角色进行智能合约的审计评估,后期在研究成熟的情况下会加入智能评估,即通过形式化验证语言进行语义功能分析,届时将提供两种分析报告的融合版本作为审计最终结果。

吸引种子用户:

1. 定期发放问卷对审计平台结果进行评估,了解用户的喜好和建议,对平台相关的功能进行整改和维护

2. 通过在其他智能合约审计平台上或者是一些区块链智能合约相关论坛中搜寻表现活跃、有思想、有能力的用户进行宣传

3. 通过活动,例如定期发放积分鼓励用户参与合约上传,巩固用户参与度

4. 通过种子用户来实现精准裂变,如用户分享、推荐实现新用户参与,在新用户的基础上观察活跃度进行种子用户筛选。


5.如果后续作品上线,你希望得到 VNT Chain 社区什么样的支持?无论是宣传 PR 上,还是导师在创业辅导上,或者其他合作上的支持,谈谈你的想法?

组长刘长硕:由于我们作品目前还比较初步,后续改进空间很大,而且之后的形式化验证等内容的难度也很大,如果可以,希望VNT Chain社区能提供技术方面的指导,比如就形式化验证的内容探讨一二。科研训练导师陈老师和VNT Chain团队核心架构师也会对我们进行智能合约审计平台一些功能完善的指导。同时,如果VNT社区后续仍有活动的话,我们也会积极参与。


导师点评

接下来是导师点评环节,在嘉宾刘长硕队长的分享后,我们也有请到导师黄步添博士亲自对浙江大学 INCAS 实验室 SRTP 小组作品《智能合约审计平台》 进行点评指导。

导师-VNT Chain联合发起人黄步添:可以参考刘振广博士的基于图神经网络的智能合约安全漏洞检测:

https://www.jianshu.com/p/fd9e73df72ca 

组长刘长硕:好的!非常珍贵的资料哇!

导师-VNT Chain联合发起人黄步添 :另外还可以设计一些合约验证模版。当然设计好这个平台,还要重点分析一下同类型平台,做些竞品分析。

组长刘长硕  :好的,我们小组可以继续搞起来了!往更好的方向努力!

以上是「维特链开发大赛生态解密」第二期直播分享的全部内容,有任何技术问题都可以在我们开发群里交流。另外根据大家的需求,我们也会不定期举办线下技术交流会啊,到时候欢迎大家参加。感谢大家的支持,我们社区后面会针对开发者出激励方案,敬请持续关注维特链开发大赛最新动态。

  • 正序
  • 最新
沙发,很寂寞......
登录 账号发表你的看法,还没有账号?立即免费 注册
帖子数 144 获赞数 1
VNT Chain由全球领先的区块链技术服务商-云象提供技术支撑,采用“联盟链+跨链+公有链”聚合链技术架构,打造全球分布式智能价值网络,构建数据交换和资产交换的连接器,赋能分布式经济。
推荐节点
热帖榜
热门跟帖