一文了解A16z領投的安全賽道新秀Forta Network
一級標題
投資概要
投資概要
正文
一級標題
一級標題投資概要投資概要
2009 到2022 年,區塊鏈高速發展的這13 年間,區塊鏈行業發生了無數因黑客攻擊、協議漏洞、私鑰洩漏、內部作案導致的多起資金損失事件。 2020 年損失超過5.1 億美金,2022 年僅前4 個月的損失就已超過2021 和2020 年的總和。隨著行業的發展,各種攻擊手法層出不窮,Web3 項目要想從現在的數十億美金發展為未來的數萬億規模,安全問題是不容怠慢的。安全標準除了現在的常規審計和漏洞懸賞之外,整個行業從認知到實踐都需要建立一套完整的解決方案。
雖然從2015 年以太坊主網上線以來,智能合約開發和安全實踐已經發生了重大變化,智能合約審計和可重用代碼庫已經成為標準實踐。然而儘管審計、代碼庫和其他技術在識別或預防代碼中的錯誤和漏洞方面很有幫助,但它們的有效性是有限的。智能合約一旦在區塊鏈上部署,風險狀況就會發生變化。合約如何管理,如何與其他合約交互以及如何響應意外的市場事件都增加了額外的不確定因素。換句話說:代碼可以工作,但智能合約仍然可能遇到問題,智能合約安全需要持續努力。
一般情況下,開發者通常在程序運行時被動地收到用戶反饋才會發現某些邏輯漏洞,這意味著有相當一部分漏洞只有在部署了以後才能被找到,而利用漏洞往往需要多筆異常交易才能完成。監控系統能夠在一系列的異常交易中剛完成第一筆或者第二筆時發出警報,那將會為項目減少巨額損失並且幫助團隊修復該漏洞。所以監控系統在Web3 世界中是必不可少的。
二級標題
二級標題
1. 基本概況
1.1 項目簡介
1.1 項目簡介
一級標題1. 基本概況二級標題
1.1 項目簡介1.1 項目簡介二級標題
2. 項目詳解
1.2 基本信息
2. 項目詳解
二級標題
1.2 基本信息一級標題2. 項目詳解
二級標題
二級標題
2.1 團隊Forta Network 是由OpenZeppelin 團隊內部一個創新和跨學科的個人團隊開發並引入社區的。 Forta 項目目前沒有過多透露團隊組成,但是從Forta 的核心項目forta-core-go 和forta-node 在GitHub 上的提交來看,大部分代碼提交者都隸屬於OpenZeppelin 組織下或提交過OpenZeppelin 相關代碼。可以理解為Forta 是OpenZeppelin 公司中的一個下屬團隊,所有人員實際上供職於OpenZeppelin
OpenZeppelin 建立了以太坊evm 中應用最廣泛的合約代碼庫,大多數現有的erc-20、erc-721、erc-1155 代幣都使用了OpenZeppelin 的產品來進行無代碼或者低代碼創建。 OpenZeppelin 也與AAVE、以太坊基金會、Coinbase 和The Graph 等知名項目或公司進行深度合作。
職業技能相對比較符合Forta 的技術產品定位
二級標題
Forta 背靠知名公司OpenZeppelin ,加上種子輪融資不俗的表現,在Web3 世界已經打出了知名度。 OpenZeppelin 作為以太坊上標準的代碼庫創建者以及審計公司,其開發水平更是毋庸置疑。相信在未來Forta 能帶給用戶更好的使用體驗。
二級標題
2.2 融資情況
2.3 代碼以及開發工具情況
二級標題
總體來說,OpenZeppelin 作為evm 上最大的開源代碼庫提供商,整體的開髮質量可以說是相當優秀,開發進展和項目可用性是可以獲得足夠保證的。美中不足是對內項目管理並沒有那麼嚴謹,但不影響整體項目質量。
正文
二級標題
二級標題Forta Network 中有兩個模塊、三個角色來維持網絡運行。要了解整個網絡的運行機制,我們需要了解這兩個模塊和三個角色正文
正文2.4.1 兩個模塊監控區塊鏈的安全攝像頭
正文
,作為開發人員可以對其進行編程並指定符合條件的內容進行監控。比如某合約更換治理的行為、更改合約某項關鍵設置、調用合約接口的某個方法中有異常的操作行為等。還可以對鏈上某個狀態進行監控,例如某個代幣在價格預言機中的價格變化監控,某個代幣異常交易量監控,監控全網所有賬戶餘額大額減少/增多。機器人開發者甚至可以在告警機器人中使用機器學習模型,利用機器學習來預測攻擊者行為,在攻擊開始前就阻止攻擊者。在Forta 開發人員的努力下,已經實現了無代碼編寫告警機器人,你不需要有任何編程背景,就可以對大多數合約設置監控條件,讓普通人就可以輕鬆完成監控目的。
掃描節點:負責掃描指定鏈的每個區塊中所有交易數據,可以被認為是
的角色。當掃描節點中的告警機器人匹配到數據中的特定條件或事件時,就會向網絡中發出警報,該警報將會儲存在IPFS 上,任何人可以通過Forta Explorer 或者API 訂閱相關警報。
正文
Forta Network 中有三個角色:警報訂閱者、告警機器人開發人員和掃描節點運營商
二級標題
警報訂閱者:任何人都可以使用Forta 來監控交易活動,並接受指定鏈上的安全、財務、運營和治理相關事件的警報。通常發佈在Forta Network 上的公用告警機器人都是開源的,每個人都可以自由訂閱這些機器人以獲得告警。告警的推送方式支持Email、Slack 消息推送、Discord webhook 推送、Telegram 機器人推送以及自定義webhook 推送。訂閱者可以利用自定義webhook 方式來在告警觸發的時候自動對合約進行防禦性措施,達到防止損失的目的。假設訂閱者需要隱藏告警機器人策略,防止攻擊者閱讀告警機器人代碼後通過惡意觸發告警的自動防禦措施來擾亂項目正常運行,那麼可以搭建一個私有網絡,將機器人部署在私有網絡上。該網絡完全獨立於Forta 主網,並不參與公共告警機器人的分配。
告警機器人開發人員:任何開發人員都可以在Forta Network 上編寫並質押一部分$FORT 來發佈告警機器人。由於基礎的鏈上狀態檢測情況種類不是特別多,所以早期的公用基礎檢測機器人是由Forta 基金會發布懸賞,獎勵那些為Forta Network編寫基礎機器人的開發者。隨著時間的推移網絡上基礎機器人模板逐漸完善,之後網絡上發佈告警機器人的基本會是有特定檢測需求的協議、DAO或者機構。為了防止開發者編寫惡意機器人通過郵件訂閱發送垃圾郵件或濫用Forta Network 節點資源,開發人員需要在啟動機器人時質押至少100$FORT。
Forta 自2021 年9 月上線以來,社區就已經部署了超過650 個檢測機器人,並有2000 個掃描節點參與到該網絡,不間斷掃描7 條鏈(包括Layer1 和Layer2)的Dapp。截止到2022 年8 月,社區已經部署了超過1200 個檢測機器人,並有超過9000 個掃描節點參與到該網絡,增⻓勢頭可謂強勁。
二級標題
二級標題
2.5 運行機制和代幣經濟學
我們將會從告警機器人的視角來詳細闡述整個工作流程以及代幣經濟學:
告警機器人檢查掃描節點註冊的鏈上每個區塊數據,當告警機器人策略匹配上區塊中的數據,將會利用Graphql 向Forta Network 服務器發送告警內容。
圖片描述目前代幣的分配情況如下:和和
圖片描述圖片描述社區分配
和和社區分配:
二級標題
3.2 現狀
3.2 現狀
正文
3.2 現狀
正文
正文正文400,正文
正文
3.2.2 網絡節點收益狀況
000$FORT 代幣中分配給每條鏈的額度是不同的,但會根據網絡情況來對每條節點進行不同分配以達到每條鏈上都有足夠節點可用,防止某些鏈節點數量過低或資源溢出。截止2022 年9 月5 日,單台SLA 分數為1 的節點能夠每週獲取大約57$FORT。按照官方對節點的最低要求配置在Contabo 上租用服務器的每月費用為$12,加上當前幣價為$0.23,粗略可以算出目前單台節點Apr 為242.9% 左右。在2022 年9 月30 日後單台節點的最小質押量將會提升至2500$FORT,根據統計,當前全網質押加上提款凍結期的$FORT 為700 萬個,假設當前所有幣在9 月30 日之後都仍然是有效質押,那麼全網節點最大數量為2800。假設每條鏈上節點數量比例與獎勵分配比例一致,那麼單台SLA 分數為1 的節點能夠每週獲取大約142$FORT,Apr 粗略估計為218% 左右。
去中心化交易所:Uniswap、Curve、Dodo、dYdX、PancakeSwap、Balancer、Perpetual Finance、ApeSwap
正文
3.2.3 使用情況
去中心化交易所:Uniswap、Curve、Dodo、dYdX、PancakeSwap、Balancer、Perpetual Finance、ApeSwap
一級標題
正文
4.1 行業概述
正文
監控系統一般指有監控程序和收集資料能力的電腦控制系統。多用於工業程序、基礎設施或設備中。在軟件工程中,較常使用一些中心化的監控系統來對自己的程序進行監控和錯誤告警。類似於Prometheus 這樣的標準化監控系統已廣泛應用在互聯網行業中,Web3 行業中一些前沿項目也時常會用Prometheus 這種標準的監控系統來進行節點的監控。
正文
正文
正文
正文
正文
4.1.3 監控如何防止資產流失
一般來說監控檢測到一個用戶關注的事件後,將會觸髮用戶指定的行為。一般用戶可能會指定的行為是郵件通知,但實際上這個行為可以被自定義化。假設使用了一個外部監控,用戶可以利用webhook 作為指定行為,當告警檢測到事件後,可以通過webhook 來觸髮用戶事先設定好的防禦性措施。下面是一個監控防止資產流失的簡單例子:
正文
二級標題
4.1.4 監控系統的分類
目前Web3 行業監控系統大致可以分為中心化和去中心化兩種模式。
用去中心化模式搭建的監控系統優點在於從網絡層面上可以對監控機器人開發者進行激勵,促使更多的開發者自發地來一同構建生態,實現監控需求的及時覆蓋。但缺點在於網絡層面上的激勵方式製定較為困難。
二級標題
二級標題
功能完備性:監控類型是否全面
正文
可用性:監控系統的高可用性
Epns、Hal、Tenderly
圖片描述
正文
正文
這裡挑選了幾款具有特點並且廣泛使用的鏈上監控產品來進行對比
圖片描述
Forta:好處是監控功能比較完備,0 基礎用戶根據現有模板進行監控定制較為簡易。受益於去中心化網絡上的激勵機制,針對不同類型鏈上行為的監控類型開發非常及時。同樣由於網絡模式為去中心化模式,系統可用性得到了一定保證。缺點是告警機器人無法進行參數配置,諸如“大額”“異常”這些字眼的具體閾值完全由告警機器人開發者定義,訂閱者可配置的地方很少,整體較為傻瓜式。 Forta Network 雖然網絡模式是去中心化,但仍然有某些功能需要通過中心化服務器完成,給系統的高可用性埋下隱患。
二級標題
產品角度來說,Forta Network 雖然存在訂閱者難以配置監控,現有的告警機器人閾值可能不適合一些項目擁有者來進行自定義監控。但由於去中心化網絡激勵的存在,勢必會有一批開發者願意根據訂閱者的需求來進行參數定制。同樣隨著Forta Network 的發展,告警機器人的參數配置也一定會被開發。
一級標題
二級標題
二級標題
雖然Web3 安全已被提及了許多年,合約審計、代碼開源等一系列關乎資產安全的行為越來越被用戶重視,但目前Web3 安全賽道仍然處於非常早期的階段。諸如dYdX、Lido 這些知名項目都已採用了Forta 說明了Web3 的安全防禦在未來的區塊鏈合規化中一定是無法繞過的話題。同時還有大量的項目並未採用監控的方式來保證合約安全,也側面說明了安全賽道的增量市場是一個非常龐大的數量,OpenZeppelin 在2021 年就推出了Forta 說明已經瞄準了這片藍海。正如OpenZeppelin 在過去四年中引領了以太坊evm 的合約開發標準,相信憑藉著Forta 的前瞻性OpenZeppelin 也能在未來引領Web3 行業安全方案的標準。
一級標題
一級標題
目前網絡上對告警機器人的開發暫時還沒有激勵,目前的激勵來源是基金會舉辦的機器人開發競賽和Gitcoin 捐贈。從這個角度來看Forta Network 的去中心化網絡並未發揮它的長處,但近幾個月社區也有關於機器人開發激勵的討論,Forta 的開發人員也很重視該提案,相信在不久就會推出詳細的激勵機制。
參考資料
參考資料
2)行業對於安全重要性認知不足https://docs.forta.network/en/latest/
有別於DeFi、公鏈、Layer 2 這些直接或間接提升普通用戶使用體驗上限的賽道,安全是一個提升下限的賽道。當整個行業都處於狂熱狀態時,大家都更關注區塊鏈的上限在哪裡,而不是關注它的下限。安全賽道的重要性很有可能還需要很長一段時間來等待行業來發掘。https://explorer.forta.network/network
在9 月17 日結束的FP-3 投票中顯示,大約有51.03% 的$FORT 被投到了反對票,導致了FP-3 提案被拒絕。這在大型社區中並不常見,多數的投票都會以一方佔有70% 以上票數結束。雖然這一定程度上反映了社區對於該項目的關注,但同時也表明社區不同意見的兩方利益衝突較大,這在一定程度上可能會阻礙項目進度以及發展。https://github.com/forta-network
參考資料https://twitter.com/FortaNetwork/status/1567591457531527170?s=20&t=LbAJO2Tv7TWOqtBibinhKQ
參考資料https://docs.forta.network/en/latest/governance/
《Forta》:https://blockchain.capital/forta/
Forta Network 官方資料https://a16z.com/2021/09/30/investing-in-forta/
官方文檔:https://dune.com/Sector920/forta
網絡情況統計:https://snapshot.org/#/forta.eth
團隊GitHub 主頁:
A unique and irreplaceable institution dedicated to the emerging frontier of crypto.
IOS
Android