【深度测评】Quantstamp：黑客，离我的智能合约远点儿

众筹信息

Quantstamp机制

Quantstamp的协议包含两部分：

1.一个自动且可升级的软件验证系统，用于检查Solidity程序。

2.一个自动的赏金支付系统，用于奖励查找合约bug的人工参与者。

可以理解为前者帮助帮助自动审查常见类型的漏洞，后者通过赏金，激励网络各节点参与者进行人工审查。

代币用途

Quantstamp分布式的每一个参与者都使用QSP代币来支付，接收，或者提高验证服务。下面是不同类型的参与者。

贡献者 

为Solidity验证程序贡献软件，获得QSP代币。绝大部分的贡献者将会是安全专家。

验证者

验证者就和比特币的矿工一样，需要运行验证节点软件，而收取令牌作为回报。验证者只贡献计算资源，不需要是安全专家。

bug寻找者

提交智能合约bug，获得QSP代币作为赏金。

合约创建者

支付QSP令牌验证以审查其智能合约。

合约使用者

可以查看智能合约的安全审计结果。

投票者

对Quantstamp的升级进行投票，是去中心化系统中的决议者。

为什么防止攻击者利用Quantstamp作为查找现有智能合约漏洞的工具，审查报告只有智能合约拥有者有权访问，当他选择公开报告时，这些漏洞肯定已经被修复了。

▲ Quantstamp审查流程图

一个通俗的例子

Quantstamp审查智能合约就像用智能诊断器检查身体一样。

Allen要去参加奥运会跳高比赛，需要筹款。Allen的支持者们确信他是金牌的有力竞争者，但资助他前，必须要确认他身体健康，状态良好，不会在跳高时闪着腰。在过去，Allen需要飞去美国最好的医院，进行一项5000美元的全身检查。

而现在，他只用把自己的身体信息上传到Quantstamp诊断器，诊断器阅历其病例系统，就能在10分钟内给Allen出具一项身体诊断报告，将身体状态分成1-10各个等级，1为状态良好，10位重大疾病。Allen得到报告后，可以将其公开，让支持者相信他的身体能胜任奥运会。整个诊断过程只花了10分钟，Allen只需要支付诊断器价值10美元的代币。

但诊断器只能遍历二十几类常规疾病，如果Allen不放心，还可以发布价值300美元代币的赏金，请Quantstamp网络上的专家帮其人工会诊。全网的专家都能帮Allen看病，整个过程也高效而便捷。

过往案例：Request Network

Request Network是一个支付领域的区块链项目，于今年10月完成众筹。Request作为第一个案例，运用Quantstamp进行了半自动审计。报告不仅给出了整体意见：Request Network除了一些小的纰漏，整体完善而安全，也对其提出了具体到代码的修改意见。整体而言，规范而充实，对智能合约开发者具有参考价值。具体的审计报告可参见文末的链接。

▲ Request Network

团队背景

Quantstamp团队目前有8位成员。CEO Richard Ma毕业于康奈尔大学计算机工程专业。在Tower Research和Archelon Group有6年的算法交易策略师的经验。团队共有4名phd成员，过去分别就职于亚马逊、巴克莱、三星、加拿大国防部。

整体而言，团队背靠滑铁卢大学，成员有丰富的相关开发经验，技术实力强大。

顾问涵盖互联网圈，学术界和区块链圈。顾问团队中Evan Cheng现任Facebook的工程总裁，他也是诸多知名项目的顾问，拥有广袤的人脉资源。Vajih博士是滑铁卢大学的计算机工程的教授，论文被引用总数高达3527。Min Kim是Civic的人力总裁。

(New!)对话CEO

Quantstamp的CEO Richard Ma有着技术出身CEO的特点：实干家气质。Richard在Telegram社区中称自己为“首席关怀官”(Chief caring officer)，截至发稿，Quantstamp的telegram人数已超过11000

船长：Hi Richard，能探讨几个问题吗

Richard Ma：Hey Allen，非常乐意

船长：Quantstamp的自动审查和人工审查有何不同？

Richard Ma: 自动审查可以很快完成，所需的仅是节点达成共识，完成程序化计算。人工审查是一个赏金系统，并且要花去更长的时间。比如说，开发者支付1万美元作为赏金，并设置审查周期为1个月。任何在网络上bug寻找者找出bug后，都可以分到一部分赏金。

船长：假设我是开发者，上传代码后我可以很快获得一份自动审查报告。除此之外，我还可以选择是否支付赏金，进行人工审查？

Richard Ma: You got it!

船长：Request Network的报告看起来很详细,审查报告是自动编写的吗？

Richard Ma：是的，是自动的，一般而言自动审查报告告知是否通过了审查。Request Network的审查报告是我们团队人工写的。

船长：Quantstamp如何保证自己的智能合约是安全的？

Richard Ma：我们会用自身技术确保Quantstamp的安全，同时我们几个月的Bounty Program也激励开发者帮我们查找漏洞。

船长：Thanks Richard!

Richard Ma: Thank you.

总结

项目优势

需求巨大

智能合约漏洞一直是区块链行业的顽疾。如像Quantstamp所言，未来通过自动审查技术，把智能合约审查的门槛大幅降低，将有巨大的市场潜力。

社区火热

Quantstamp是当之无愧的近期最热项目。其Telegram的人数超过11000人，在所有的区块链项目中，仅次于前段时间爆火的Kyber Network。

成功案例

Quantstamp已为Request Network进行了智能合约审计，Request Network的众筹也顺利完成。此成功案例为Quantstamp的实用性奠定了基础。

无SEC监管风险

项目通过了Howey Test，Quantstamp的代币QST不符合证券属性，因此不会被纳入SEC的证券监管范围内，因此不会有类似Tezos的证券监管风险。

项目风险

技术限制

目前自动审查技术只适用于常见的漏洞类型。据Richard Ma所言，目前约有20多类可自动审计的类型。技术限制可能对自动审查的结果产生影响，比如一个项目通过了自动审查，但却依然有非常规型漏洞。

短期抛盘

预售轮的参与者最多可收到100%的奖励，这意味着这批参与者的成本只有常规轮参与者的50%。上线交易后，这些低成本者短期可能造成抛盘压力。

总结

智能合约审查之于区块链公司，就像财务审计之于上市公司。而Quantstamp的出现，相当于审计机器人的出现，取代会计师事务所。它让所有智能合约开发者，可以低成本地用诊断器自动进行一个全身检查。如果还不满意，可以给出赏金，请全网的好大夫为他们人工看病。同时，对于投资者而言，一份完整的审查报告也能让他们更能确信，至少自己投出去的资金不会无缘无故被黑客卷走。

Quantstamp的代币QSP与以太币类似，与系统的结合性良好。虽然目前自动审查技术还有一定限制，但随着技术的进步和成熟，审查质量有望逐步提升。除此之外，Quantstamp推出了关爱证明(Proof of caring)和持有证明(proof of hold)，获取了很多长期支持者，Telegram的关注者仅次于Kyber，位居所有项目第二。最后，团队成员大多技术出身，加分。(一点主观的题外话，对于底层和协议层的项目，船长个人很喜欢技术出身的ceo带队，我们可以看到像Ethereum, Polkadot, Wanchain这些优质项目，CEO都是技术出身)

基于项目团队和前景，船长认为：长期而言，如果Quantstamp能保持其先发优势，随着网络效应，Quantstamp的代币价值有望大幅提升。短期来看，Quantstamp有很高的市场热度，硬顶3000万美元中规中矩，船长认为值得参与。但由于现在一级市场整体还比较低迷，需要做好仓位控制。

短期测评：B+

长期测评：A

官网：https://quantstamp.com/

众筹时间：预售轮已结束，正式轮11/18/2017

中文白皮书：https://github.com/yajiya/quantstamp-summary/blob/master/whitepaper-simplified.md

Request Network审计报告：

https://github.com/quantstamp/RequestNetwork_Review

参与方式：订阅Quantstamp公告，正式轮细则待公布(订阅网址：http://quantstamp.us16.list-manage.com/subscribe?u=af3c667063fe348e58a150ce8&id=f9f9e07e5f)

关注我们

船长与你共同发掘下一个百倍方舟

防止失踪 请加小编