【深度测评】Quantstamp：黑客，离我的智能合约远点儿

THE DAO事件还历历在目，黑客盗取了价值5500万美元的代币。以太坊被迫强制回滚，分裂成ETH和ETC。Quantstamp的出现，可能会为黑客帝国划上句号。

01

—

众筹信息

02

—

项目概述

智能合约从来都不安全。

2016年6月，黑客从DAO项目中盗取了价值5500万美元的币，只因智能合约中的一个 bug。2017年7月，黑客盗取了价值超过3000万美元的以太币，只因为Parity钱包的智能合约代码中的一个单词错误。

很多智能合约的编写者来自传统编程领域，其编写的智能合约常常存在漏洞。任何一个细微的漏洞都有可能成为黑客攻击的目标。

2017年6月到10月，智能合约的数量从50万增长到了200万。预计一年内会增长为1000万，审计工作也相应有指数级的增长。同时，人工审核不仅开销巨大，平均约5,000美元。

第三方主体难以信赖，要承受潜在的欺诈风险。 想象一下，一家安全审计公司的坏人完全可能故意放过了一个几百万美元的bug，然后等合约上线之后攻击并获取利益。

Quantstamp方案

Quantstamp是一个智能合约安全审计协议。它通过分布式网络，自动审计智能合约，返回审计报告，保障了智能合约的安全性。网络成熟后，整个过程自动且高效，且有望将智能合约的审计成本，从原来的5000美元降至10美元。

路线图

03

—

Quantstamp机制

Quantstamp的协议包含两部分：

1.一个自动且可升级的软件验证系统，用于检查Solidity程序。

2.一个自动的赏金支付系统，用于奖励查找合约bug的人工参与者。

可以理解为前者帮助帮助自动审查常见类型的漏洞，后者通过赏金，激励网络各节点参与者进行人工审查。

代币用途

Quantstamp分布式的每一个参与者都使用QSP代币来支付，接收，或者提高验证服务。下面是不同类型的参与者。

贡献者

为Solidity验证程序贡献软件，获得QSP代币。绝大部分的贡献者将会是安全专家。

验证者

验证者就和比特币的矿工一样，需要运行验证节点软件，而收取令牌作为回报。验证者只贡献计算资源，不需要是安全专家。

bug寻找者

提交智能合约bug，获得QSP代币作为赏金。

合约创建者

支付QSP令牌验证以审查其智能合约。

合约使用者

可以查看智能合约的安全审计结果。

投票者

对Quantstamp的升级进行投票，是去中心化系统中的决议者。

为什么防止攻击者利用Quantstamp作为查找现有智能合约漏洞的工具， 审查报告只有智能合约拥有者有权访问 ，当他选择公开报告时，这些漏洞肯定已经被修复了。

▲ Quantstamp审查流程图

一个通俗的例子

Quantstamp审查智能合约就像用智能诊断器检查身体一样。

Allen要去参加奥运会跳高比赛，需要筹款。Allen的支持者们确信他是金牌的有力竞争者，但资助他前，必须要确认他身体健康，状态良好，不会在跳高时闪着腰。在过去，Allen需要飞去美国最好的医院，进行一项5000美元的全身检查。

而现在，他只用把自己的身体信息上传到Quantstamp诊断器，诊断器阅历其病例系统，就能在10分钟内给Allen出具一项身体诊断报告，将身体状态分成1-10各个等级，1为状态良好，10位重大疾病。Allen得到报告后，可以将其公开，让支持者相信他的身体能胜任奥运会。整个诊断过程只花了10分钟，Allen只需要支付诊断器价值10美元的代币。

但诊断器只能遍历二十几类常规疾病，如果Allen不放心，还可以发布价值300美元代币的赏金，请Quantstamp网络上的专家帮其人工会诊。全网的专家都能帮Allen看病，整个过程也高效而便捷。

过往案例：Request Network

Request Network是一个支付领域的区块链项目，于今年10月完成众筹。Request作为第一个案例，运用Quantstamp进行了半自动审计。报告不仅给出了整体意见：Request Network除了一些小的纰漏，整体完善而安全，也对其提出了具体到代码的修改意见。 整体而言，规范而充实，对智能合约开发者具有参考价值。 具体的审计报告可参见文末的链接。

▲ Request Network

04

—

团队背景

Quantstamp团队目前有8位成员。CEO Richard Ma毕业于康奈尔大学计算机工程专业。在Tower Research和Archelon Group有6年的算法交易策略师的经验。团队共有4名phd成员，过去分别就职于亚马逊、巴克莱、三星、加拿大国防部。

整体而言，团队背靠滑铁卢大学，成员有丰富的相关开发经验，技术实力强大。

顾问涵盖互联网圈，学术界和区块链圈。 顾问团队中Evan Cheng现任Facebook的工程总裁，他也是诸多知名项目的顾问，拥有广袤的人脉资源。Vajih博士是滑铁卢大学的计算机工程的教授，论文被引用总数高达3527。Min Kim是Civic的人力总裁。

05

—

(New!)对话CEO

Quantstamp的CEO Richard Ma有着技术出身CEO的特点：实干家气质。Richard在Telegram社区中称自己为“首席关怀官”(Chief caring officer)，截至发稿，Quantstamp的telegram人数已超过11000

船长： Hi Richard，能探讨几个问题吗

Richard Ma： Hey Allen，非常乐意

船长： Quantstamp的自动审查和人工审查有何不同？

Richard Ma: 自动审查可以很快完成，所需的仅是节点达成共识，完成程序化计算。人工审查是一个赏金系统，并且要花去更长的时间。比如说，开发者支付1万美元作为赏金，并设置审查周期为1个月。任何在网络上bug寻找者找出bug后，都可以分到一部分赏金。

船长： 假设我是开发者，上传代码后我可以很快获得一份自动审查报告。除此之外，我还可以选择是否支付赏金，进行人工审查？

Richard Ma: You got it!

船长： Request Network的报告看起来很详细,审查 报告是自动编写的吗？

Richard Ma： 是的，是自动的，一般而言自动审查报告告知是否通过了审查。Request Network的审查报告是我们团队人工写的。

船长： Quantstamp如何保证自己的智能合约是安全的？

Richard Ma： 我们会用自身技术确保Quantstamp的安全，同时我们几个月的Bounty Program也激励开发者帮我们查找漏洞。

船长： Thanks Richard!

Richard Ma: Thank you.

05

—