CertiK (CTK) — аудит смарт-контрактов
Проблема
В июне 2016 года сеть Ethereum потрясла злонамеренная атака, последствия которой ощущаются и сегодня. DAO (Децентрализованная автономная организация), которая провела одно из первых ICO, стала жертвой взлома из-за недостатка в смарт-контракте, на котором он был написан.
Однако на этом история Ethereum не закончилась (вы ведь читаете это, верно?). Произошел хард-форк, к большому разочарованию многих крипто-пуристов, и средства вернулись.
Горячий факт: вышеупомянутый хард-форк является причиной того, что Ethereum (ETH) и Ethereum Classic (ETC) существуют в унисон.
Недавний бум DeFi привел к рождению YAM Finance, протокола DeFi и соответствующего токена (YAM), стоимость которого упала на 99% со 100 до
1 доллара из-за недостатка в смарт-контракте, лежащем в основе протокола. Ошибка в неаудированном смарт-контракте помешала консенсусу сообщества (среди прочего) в отношении управления, и, как следствие, не было возможности проголосовать за исправление проблемы.
Выше приведены лишь некоторые из взломов, которые произошли в 2020 году из-за недостатков в их смарт-контракте.
Здесь на помощь приходит CertiK
CertiK Security Oracle
Оракул: «Человек или предмет, считающийся непогрешимым авторитетом в чем-либо».
Оракулы используются в блокчейне для отправки внешних (вне сети) данных в смарт-контракты и из них.
CertiK Security Oracle получает набор оценок безопасности от децентрализованной сети операторов безопасности, которые оценивают надежность исходного кода и получают вознаграждение в CTK, собственном цифровом топливе CertiK Chain. Oracle Security передает эти оценки и объединяет их для создания в реальном времени совокупной оценки в цепочке, которую может использовать любой, кто хочет проверить безопасность контракта.
Мы можем увидеть это в действии ниже:
Security Oracle получил низкий балл безопасности, и проверка безопасности спасла пользователя от потери своих активов в этой опасной транзакции.
Как это работает?
Допустим, вы собираетесь совершить транзакцию, но не уверены, насколько она «безопасна». Вы решили использовать CertiK Security Oracle, чтобы помочь вам в следующих шагах.
Вы подключаетесь к интерфейсу Security Oracle в своей собственной бизнес-цепочке (например, Ethereum) и делаете запрос о предстоящей транзакции.
Примечание. Запрос принимает два параметра: адрес контракта и смещение подписи функции.
Как только Security Oracle получает ваш запрос, он отвечает, сообщая, если такая запись данных уже отслеживалась и регистрировалась.
Если ответ положительный, Oracle Security предоставит вам оценку безопасности в реальном времени (в диапазоне от 0 до 100), агрегированную и обработанную CertiK Chain с ее самоопределяемым порогом безопасности.
Если вы отправили запрос, и Oracle Security Oracle не обнаружил доступной исторической информации, он ответит с оценкой по умолчанию, указывающей на отсутствие предложений в данный момент, и вам рекомендуется вернуться позже для получения обновлений.
Пока вы ждете, этот запрос транслируется в CertiK Chain как новую задачу для выполнения операторами Oracle с выбранными примитивами и применяемыми определенными принципами комбинирования.
Когда вы вернетесь и снова проверите, Оракул безопасности выдаст вам нужный результат.
Что дает CertiK Security Oracle Insights?
CertiK Security Oracle предоставляет в реальном времени информацию о безопасности в цепочке для смарт-контрактов, которая позволяет пользователям оценивать любой потенциальный риск до взаимодействия с протоколом, сводя к минимуму вероятность того, что небезопасные смарт-контракты будут использоваться базой пользователей. Сегодня мы проливаем свет на QuickScan, новый уникальный инструмент, который CertiK использует для оценки безопасности смарт-контрактов и повышения надежности и достоверности аналитических данных Oracle по безопасности.
Что такое QuickScan?
Как это работает?
Оценка безопасности CertiK QuickScan состоит из комбинации статических и динамических технологий, которые мы называем примитивами безопасности. Примитивы безопасности похожи на конечные точки службы безопасности, но используются для сканирования смарт-контрактов. Каждый примитив безопасности оценивает конкретную область безопасности по смарт-контракту и присваивает агрегированный балл безопасности от 0 до 100.
Пять примитивов QuickScan
В настоящее время существует пять примитивов безопасности QuickScan из двух категорий (статические примитивы и динамические примитивы), как указано ниже. Мы активно интегрируем новые примитивы безопасности в QuickScan.
Белый список примитивов | Динамический
Черный список примитивов | Динамический
Примитив качества | Динамический
Примитив анализа байт-кода | Статический
Примитив анализа исходного кода | Статический
В зависимости от сложности на выполнение QuickScan уходит примерно 40–60 минут, поскольку внутренние примитивы интенсивно вычисляют в режиме реального времени.
Окончательная оценка, рассчитанная каждым примитивом безопасности, будет агрегирована и взвешена для получения результата в форме окончательной оценки безопасности.
Например, смарт-контракт A проходит через QuickScan, и каждый примитив возвращает следующие оценки: Белый список: 100; Черный список: 100; Качество: 70; Байт-код: 85; Исходный код: 80. QuickScan тогда вернет оценку безопасности (100 + 100 + 70 + 85 + 80) / 5 = 87;
Смарт-контракт B также проходит через QuickScan, и каждый примитив возвращает следующие оценки: Белый список: 70; Черный список: 100; Качество: 100; Байт-код: 85; Исходный код: 80. QuickScan тогда вернет оценку безопасности: (70 + 100 + 100 + 85 + 80) / 5 = 87. Хотя два смарт-контракта имеют одинаковую итоговую оценку 87, их оценки безопасности по-прежнему отличаются друг от друга в зависимости от каждого примитива. Следовательно, пользователи могут принимать разные решения в зависимости от сценариев, с которыми они сталкиваются.
Отказ от ответственности:
Хотя QuickScan можно использовать как автоматизированный набор инструментов, он не может заменить формальный полный аудит. Эксперты по безопасности играют решающую роль в анализе сложной бизнес-логики и неизвестных уязвимостей, характерных для каждой организации.
Security Oracle
Децентрализованная безопасность CertiK Oracle построена на CertiK Chain. С миссией стать хранителем галактики блокчейнов, CertiK Chain объединяет смарт-контракты в цепочке, компоненты кросс-цепочки и предложения безопасности вне цепочки, сохраняя при этом все характеристики децентрализованной цепочки блоков:
Какое значение имеет CTK?
Учитывая тот факт, что CertiK Foundation будет сотрудничать с пионерами отрасли, чтобы спонсировать CTK и поддерживать пул целевых смарт-контрактов для мониторинга их статуса безопасности в реальном времени, конечные пользователи, такие как смарт-контракты DeFi, могут пользоваться преимуществами получения информации о безопасности в реальном времени без плата.
Между тем, для данных, которых еще нет в Security Oracle, пользователи могут просто создать задачу Oracle, финансируемую из CTK, и транслировать ее в CertiK Chain. Операторы Oracle будут вознаграждены сборами, собранными в CTK, чтобы оценить их услуги по работе сети Oracle.
За каждую задачу оракула, отправленную в CertiK Chain, плата определяется отправителем задачи, и каждый оператор может выбрать, выполнять задание или нет.
Примечание команды CertiK…
Решение CertiK Security Oracle создано для решения проблем с безопасностью путем устранения разрыва между транзакциями в цепочке и проверками безопасности в реальном времени с помощью децентрализованных подходов.
Приняв решение CertiK Security Oracle, проекты DeFi будут защищены дополнительными гарантиями безопасности при каждом потенциальном шаге по снижению факторов риска. Мы считаем, что CertiK Chain с ее децентрализованными оракулами безопасности станет незаменимым компонентом постоянно растущей блокчейна и экосистемы DeFi.
CertiKShield
Chainalysis, компания по мониторингу и анализу цепочек блоков, недавно опубликовала блог, в котором подчеркивается, что в настоящее время более 3,7 млн BTC (
39,4 млрд долларов США по состоянию на сентябрь 2020 г.) были потеряны и, как таковые, полностью вышли из обращения.
Указанные выше цифры представляют собой примерную сумму криптовалюты, которая была украдена злоумышленниками в 2018–2020 годах. Это в общей сложности 7,1 миллиарда долларов.
CertiKShield исправляет это.
Итак, как это работает?
Система CertiKShield состоит из двух частей: 1) участники, которые заполняют пул CTK в качестве залога, который будет использоваться для возмещения утвержденных предложений по претензиям, и 2) участники, которые стремятся защитить свои криптоактивы, резервируя часть пула CertiKShield.
Начнем с участников, которые заполняют Пул. Как и поставщики ликвидности в DeFi, эти участники ставят свои CTK. Помимо обычных вознаграждений за стейкинг, эти участники также получают часть комиссий, уплачиваемых другими участниками, которые резервируют часть пула для защиты своих криптоактивов. Эти участники, которые заполняют пул, должны осознавать риски, связанные с тем, что они являются поставщиками ликвидности: их ставка CTK может использоваться для выплаты утвержденных требований о возмещении. Высокий риск, высокая награда.
Теперь поговорим об участниках, которые стремятся защитить свои криптоактивы. Каждый пул CertiKShield предназначен для защиты пользователей определенного криптоактива (например, BNB). Если вы являетесь владельцем BNB, может быть разумным стать участником пула CertiKShield-BNB, где вы можете зарезервировать часть средств для запроса возмещения, если ваш BNB будет потерян или украден. Вы будете платить комиссию, и, как уже упоминалось, она будет поступать непосредственно участникам, которые объединили свои собственные CTK в качестве поставщиков ликвидности.
Участники, обращающиеся за возмещением, должны подать предложения по претензиям, которые голосуются децентрализованной группой членов CertiKShield для утверждения или отклонения претензии. Все заявки требуют комиссии, что защищает систему от незаконных претензий и несанкционированного использования.
Мир блокчейнов наполнен первопроходцами и долгосрочными держателями, поэтому CertiKShield предлагает более безопасный способ защитить ваши криптоактивы от любых неожиданных потерь.
Сеть CertiK
Как мы уже упоминали выше, смарт-контракты открыты для недостатков безопасности с момента их кодирования. Популярные языки смарт-контрактов, такие как Solidity, обеспечивают большую гибкость разработчикам, использующим этот язык, но за гибкость можно допустить ненужные ошибки.
DeepSEA, безопасный язык программирования и набор инструментов компилятора, разработанный исследователями из CertiK, Йельского и Колумбийского университетов, значительно снижает риски безопасности смарт-контрактов во время самого процесса разработки, до развертывания. Разработчики могут генерировать проверяемые машиной объекты-доказательства во время кодирования, легко доказывая правильность своего вывода.
Виртуальная машина CertiK (CVM)
Возможно, самая известная виртуальная машина в блокчейне, виртуальная машина Ethereum (EVM), служит процессором для смарт-контрактов Ethereum, которые преобразуются в байт-код и выполняются.
Виртуальная машина CertiK (CVM) полностью совместима с EVM, но была спроектирована так, чтобы следовать ведущей универсальной виртуальной машине, используемой в компьютерах по всему миру, модели процессов ОС x86–64, с возможностью расширения в будущем до других ISA, таких как arm64.
CVM предоставляет информацию о безопасности смарт-контрактов и блокчейнов, обеспечивая беспрецедентные способы доступа, проверки, зависимости и даже динамического установления безопасности блокчейнов и смарт-контрактов.
CertiKOS для сети CertiK
CertiKOS можно использовать в качестве замены Linux для некоторых критически важных приложений, таких как запуск узла CertiK Chain или CertiK Security Oracle. Используя CertiKOS вместо 27 миллионов строк кода Linux, эти простые, но критически важные операции могут выполняться с меньшим ненужным риском ошибок.
Ончейн-управление
Ончейн-управление CertiK Chain поддерживает основные ценности децентрализации, прозрачности и безопасности.
Ключевые игроки
Сертификаты безопасности уникальны для CertiK Chain. Эта группа экспертов по безопасности работает над защитой цепочки путем голосования по всем предложениям по управлению, относящимся к безопасности, и по всем действиям цепочки, связанным с безопасностью.
Сертификаты безопасности могут быть добавлены и удалены при наличии достаточного согласия соответствующих сторон, включая делегатов и операторов валидатора.
Право голоса как по операционным, так и по финансовым аспектам цепочки CertiK предоставляется Операторам валидатора, представителям делегатов заинтересованных сторон.
Делегатам долей, пользователям, которые решают передать свои CTK валидаторам для вознаграждения в цепочке, предоставляется возможность напрямую голосовать за предложения по управлению, не связанные с безопасностью. В качестве альтернативы делегаты могут поручить свои голоса органам по сертификации безопасности.
Типы предложений по управлению включают:
Предложение в виде простого текста: предложение, связанное с операциями сети и управлением до внесения изменений в цепочку. Те, кто желает создать предложение по обновлению программного обеспечения, должны сначала подать предложение в виде обычного текста с изложением запроса.
Предложение по обновлению программного обеспечения: Предложение по коду CertiK Chain после успешного предложения в виде обычного текста.
Предложение о вознаграждении: предложение о запросе взноса, включая выполнение проверок безопасности и аудитов безопасности. Депозиты для предложения о вознаграждении хранятся в пуле, который может быть востребован участниками, выполнившими запрос.
Предложение о расходах пула сообщества: предложение о передаче CTK из пула сообщества (подробнее об этом ниже) пользователю CertiK Chain, который выполнил или настроен на выполнение работ по разработке или обеспечению безопасности для сети.
Предложение по обновлению сертификатора: предложение, представленное центрами сертификации при попытке добавить или удалить сертификат.
Доказанное доверие для всех
За счет использования более доступного набора приложений, таких как Security Oracle и CertiKShield, наряду с гиперзащищенной инфраструктурой, включая DeepSEA, CertiKOS и CVM, экосистема CertiK предоставляет комплексные, совместимые решения безопасности, которые создают инфраструктуру. доказуемого доверия для всех.
Криптовалюта CertiK (CTK) — Подробный обзор. Курс CTK
CertiK Chain — это блокчейн с делегированным доказательством ставки (DPoS), созданный с помощью Cosmos SDK. Он призван служить основой, на которой инфраструктура блокчейна и децентрализованные приложения могут быть построены с уверенностью в безопасности.
Благодаря встроенным в блокчейн функциям, включая Security Oracle, CertiKShield Reimbursement Pool и гипер-безопасный язык программирования (DeepSEA), CertiK Chain создан для обеспечения безопасности различных типов блокчейн-продуктов от разработки до пост-развертывания.
CertiK — это сервис аудита смарт-контрактов и протоколов. Его особенность заключается в том, что формальная верификация кода проходит автоматизировано, децентрализовано, по частям и на любом языке программирования при помощи глубокого обучения.
Рабочий процесс со стороны клиента выглядит так:
Продукт делится на шесть инструментов:
Помимо этих инструментов, проект имеет собственный блокчейн и язык программирования для смарт-контрактов. Проект сочетает модель с элементами машинного обучения (глубокого обучения) для достижения описанных выше целей. Система автоматизирует процесс посредством машинного обучения и контекстуализирует всю историю своей работы для собственного обучения путем эволюции.
В будущем платформа сможет математически идентифицировать и автоматически разделять контракты на слои на основе их надлежащей функциональности. Этот метод позволит обеспечить высокую точность проверки и динамический, точный и автоматический анализ контрактов. Узлы, на которых выполняется ПО CertiK, гарантируют, что завершенные доказательства являются действительными.
CertiK представляет собой инфраструктуру, включающую язык программирования DeepSEA, ядро операционной системы CertiKOS, виртуальную машину CertiKVM. При помощи этих инструментов разработчики могут создавать безопасные и прозрачные системы.
Ядро операционной системы CertiKOS ориентировано на безопасность, устойчивость к хакерским атакам и корректность выполнения функций. Для проверки правильности работы программ в ОС включены механизмы формальной проверки.
CertiKOS поддерживает параллелизм, то есть можно одновременно работать с несколькими потоками на нескольких ядрах CPU. Архитектура расширяемая – может использоваться для разных областей применения, а не только для блокчейна.
При написании кода ПО разработчики также пишут спецификации, точно указывающие, что делает программа. Затем происходит оценка того, насколько правильно код реализует эти спецификации. Система оценок пишется в каждом конкретном случае применяется только один раз, после чего вся работа может выполняться с использованием уже проверенных спецификаций без необходимости снова обращаться к коду.
Проект CertiK разрабатывается с 2016 года. Команда CertiK состоит из экспертов мирового уровня по формальной верификации, которые являются профессорами Колумбийского и Йельского университетов, а также старшими разработчиками и исследователями Google, Facebook и Microsoft Research.
В быстрой, сложной и динамичной индустрии стартапов квалифицированные специалисты являются неотъемлемым компонентом успеха проекта. Частая потребность следовать новым веяниям и справляться с новыми проблемами требуют наличия у команды обширного опыта работы с распределенной технологией, технического и инженерного образования и должной репутации.
Команда проекта состоит из 8 человек. Среди них:
Команда проекта развивается и планирует нанять 20 инженеров-программистов и научных исследователей.
CertiK
Официальный сайт: certik.org
CertiK – это платформа для проверки смарт-контрактов без участия пользователя, все действия осуществляются автоматически. Экосистемой пользуются децентрализованные приложения и блокчейны. Для осуществления торговли в рамках проекта используется токен CTK.
Цена CTK
Где купить CertiK
Курс и график котировок
Ниже на графике приведен текущий курс CTK к доллару США или стейблкоинам USDT, USDC или BUSD в соответствующем эквиваленте. На нем можно посмотреть цену CertiK на сегодня и ретроспективу котировок на различных таймфреймах.
CertiK – это инфраструктура, построенная на языке DeepSEA, где в качестве ядра операционной системы используется CertiKOS и виртуальная машина CertiKVM. Все инструменты нацелены на создание безопасных и прозрачных систем. Проверку децентрализованной сети на защиту осуществляет CertiK Security Oracle, которые учитывает все возможные критерии. Если созданный разработчиками код оказался достаточно надежным, то система вознаграждает разработчика местными токенами CTK.
Содержание
Основателями компании являются Ронгхуи Гу и Жонг Шао. CertiK открылась в декабре 2017 г., головной офис располагается в городе Нью-Йорк, США. Ронгхуи Гу – доцент Колумбийского университета. Свою научную степень получил в 2016 г. Является разработчиком CertiKOS. Жонг Шао – профессор в Йельском университете, получил научную степень в 1994 г. Сейчас руководит британской компанией Flint Group, которая нацелена на создание новых языков программирования и расширение возможностей созидания различного софта. 
Какую пользу CertiK несет для разработчиков
Смарт-контракты являются важной составляющей для современных децентрализованных систем. В отличие от централизованных систем, где каждая компания самостоятельно обеспечивает защиту данных, смарт-контракты работают, основываясь на командах от кодов, а не владельцев. Именно этот неконтролируемый код должен регулировать операции на миллионы долларов США.
Ценность смарт-контрактов постоянно увеличивается. Стоит взглянуть на Binance Smart Chain, где сумма активов в них увеличилась в 8 раз за несколько месяцев. Это побуждает компании искать новые пути защиты DeFi активов.
Когда смарт-контракт создан, то его нельзя изменять, поэтому безопасность необходимо обеспечить до его выпуска. Любая неточность – возможность для хакеров получить доступ к средствам. Именно в целях исключения подобных случаев и работает CertiK.
Как определяется рейтинг безопасности проектов
CertiK предоставляет своим пользователям возможность получать информацию о самых безопасных проектах из своего рейтинга. При формировании рейтинга CertiK используются следующие методы оценки безопасности:
Благодаря общей силе предоставляемых знаний, пользователь проекта CertiK получает возможность с максимальной точностью и беспристрастностью определить безопасность рассматриваемой платформы. База данных включает информацию о множестве проектов, которые формируют таблицу лидеров. Она позволяет ориентировочно формировать топ лучших компаний DeFi. 
Как проверить безопасность проекта в Certik
Каждый желающий разработчик может проверить безопасность своего сервиса. Для этого ему потребуется заказать аудит от CertiK, который, в зависимости от цели проверки, бывает 4 видов:
Преимущества выбора CertiK для аудита проекта:
Как поэтапно проходит аудит:
Отчет о завершенной работе составляется в индивидуальном порядке для каждого клиента и полностью отражают имеющиеся проблемы. Все недочеты группируются по степени серьезности (критическая, средняя и малая). Для каждой из уязвимостей составляется свой список рекомендованных мер по устранению. К отчету также прикладывается исходный код с аннотациями и метками, позволяющими на бумаге увидеть плоды и ход работы с подтверждениями сделанных экспертом выводов.
Токен CTK, его использование и токеномика
Для полноценного функционирования проекта требовался собственный коин, коим выступил CTK. Токен необходим для безопасного расчета между участниками, оплаты сборов и экономического стимула поощрения пользователей. Общая эмиссия составляет 100 млн CTK. Майнинг основан на системе Proof-of-Proof, для получения монет необходимо осуществлять проверки безопасности смарт-контрактов. 
Конкуренты и сравнение с ними
CertiK – это не единственная компания, предлагающая возможность аудита децентрализованных компаний, использующих смарт-контракты. У проекта есть следующие оппоненты:
CertiK в первую очередь предоставляет удобный формат отчетности для клиентов. Пользователь может узнать о каждой мелочи и проследить, как именно эксперт или программное обеспечение смогли найти брешь, а также даст советы по устранению недочета. Каждый из вариантов будет иметь широкую роспись, чтобы последствия и ожидаемый результат были понятны каждому клиенту.
