SACTESpotlight of NFT in August – CC0 Policy & Sudoswap
Written by @reffoNFT Although the crypto market had a temporary relief from the previous dip surrounded by the increased certainty of the Merge on Ethereum and declined CPI and unemployment rate, NFT market actually went on the opposite direction, unsurprisingly. As more liquidity being sucked out from NFT market, blue chip projects such as BAYC and Moonbirds were routed and failed to hold the battle line. However for Moonbirds the case is slightly different, as Kevin Rose announced the colle...
SACTENFT projects backed by VC funds, good or bad?
Author: @ReffoNFT Despite the fact that trading volume across Opensea has fallen below $50 million in August, it seems that capital is accelerating its footsteps into the market. From the earliest OG players to all in web3 entrepreneurs, to web2 entity industry looking for new business scenarios, and now more and more venture capital institutions choose to incubate NFT projects. The hotspot of NFT related investment seems to be no longer just infrastructure, or NFTFi protocols. And these capi...
SACTEForta Network Investment Research Report
Forta Network is a real-time monitoring network for blockchain security and operation surveillance. As one of the few decentralized projects in the Web3 monitoring sector, the overall design of Forta is innovative to a certain extent. So far, over $36 billion in TVL is monitored by Forta, which offers runtime monitoring and abnormality detection for blockchains like Ethereum, Avalanche, and Polygon. It is promising in future applications and comes with a good narrative. A $230 million investm...
An unique and irreplaceable institution dedicated to the emerging frontier of crypto.
SACTESpotlight of NFT in August – CC0 Policy & Sudoswap
Written by @reffoNFT Although the crypto market had a temporary relief from the previous dip surrounded by the increased certainty of the Merge on Ethereum and declined CPI and unemployment rate, NFT market actually went on the opposite direction, unsurprisingly. As more liquidity being sucked out from NFT market, blue chip projects such as BAYC and Moonbirds were routed and failed to hold the battle line. However for Moonbirds the case is slightly different, as Kevin Rose announced the colle...
SACTENFT projects backed by VC funds, good or bad?
Author: @ReffoNFT Despite the fact that trading volume across Opensea has fallen below $50 million in August, it seems that capital is accelerating its footsteps into the market. From the earliest OG players to all in web3 entrepreneurs, to web2 entity industry looking for new business scenarios, and now more and more venture capital institutions choose to incubate NFT projects. The hotspot of NFT related investment seems to be no longer just infrastructure, or NFTFi protocols. And these capi...
SACTEForta Network Investment Research Report
Forta Network is a real-time monitoring network for blockchain security and operation surveillance. As one of the few decentralized projects in the Web3 monitoring sector, the overall design of Forta is innovative to a certain extent. So far, over $36 billion in TVL is monitored by Forta, which offers runtime monitoring and abnormality detection for blockchains like Ethereum, Avalanche, and Polygon. It is promising in future applications and comes with a good narrative. A $230 million investm...
An unique and irreplaceable institution dedicated to the emerging frontier of crypto.
Subscribe to SACTE
Subscribe to SACTE
Share Dialog
Share Dialog
<100 subscribers
<100 subscribers
Forta Network 是一個實時檢測網絡,用於區塊鏈活動的安全和運營監控。Forta 作為 Web3 監控賽道中的為數不多的去中心化項目,整體項目設計具有一定創新性。目前,Forta 監控其用戶超過 360 億美元的 TVL,並為Ethereum、Avalanche、Polygon 等多條鏈上帶來運行時監控和異常檢測,未來應用相對較為廣泛,敘事性強。早前該項目完成了 2300 萬美元由 a16z 領投的融資,受到行業內廣泛關注。
投資概要
2009 到 2022 年,區塊鏈高速發展的這 13 年間,區塊鏈行業發生了無數因黑客攻擊、協議漏洞、私鑰洩漏、內部作案導致的多起資金損失事件。2020 年損失超過 5.1 億美金,2022 年僅前 4 個月的損失就已超過 2021 和 2020 年的總和。隨著行業的發展,各種攻擊手法層出不窮,Web3 項目要想從現在的數十億美金發展為未來的數万億規模,安全問題是不容怠慢的。安全標準除了現在的常規審計和漏洞懸賞之外,整個行業從認知到實踐都需要建立一套完整的解決方案。
雖然從 2015 年以太坊主網上線以來,智能合約開發和安全實踐已經發生了重大變化,智能合約審計和可重用代碼庫已經成為標準實踐。然而儘管審計、代碼庫和其他技術在識別或預防代碼中的錯誤和漏洞方面很有幫助,但它們的有效性是有限的。智能合約一旦在區塊鏈上部署,風險狀況就會發生變化。合約如何管理,如何與其他合約交互以及如何響應意外的市場事件都增加了額外的不確定因素。換句話說:代碼可以工作,但智能合約仍然可能遇到問題,智能合約安全需要持續努力。
一般情況下,開發者通常在程序運行時被動地收到用戶反饋才會發現某些邏輯漏洞,這意味著有相當一部分漏洞只有在部署了以後才能被找到,而利用漏洞往往需要多筆異常交易才能完成。監控系統能夠在一系列的異常交易中剛完成第一筆或者第二筆時發出警報,那將會為項目減少巨額損失並且幫助團隊修復該漏洞。所以監控系統在 Web3 世界中是必不可少的。
目前多數監控方案都是基於中心化的系統來建立的,中心化監控系統的弊端在於無法以足夠快的速度來覆蓋新部署的智能合約。一旦一個去中心化的開源項目達到一個規模,它的發展勢頭將過於迅猛,中心化的監控方案在短時間只能夠覆蓋一小部分。為了解決這種問題,Forta 選擇使用去中心化的激勵監控系統來確保對智能合約監控的高效部署,確保能夠在第一時間對智能合約進行完備的監控。
目前 Forta 已經度過測試網階段並且正式啟動,總體狀況良好,並且在測試網階段時監控到了 InverseFinance 的操縱價格預言機攻擊並及時發出預警。但項目仍然有以下需要注意:
目前的監控機器人模板較少,即使對 InverseFinance 的攻擊發出預警,但警告模板並不是幣價變動警告而是大額 eth 轉賬警告,容易讓開發者忽略該警告。
雖然目前的 $FORT 代幣每週獎勵總數固定,但是不同鏈的監控獎勵份額仍然由團隊來進行分配。
$FORT 代幣賦能仍然不足,目前僅用於監控機器人啟動質押和監控節點質押。訂閱者目前可以免費使用 Forta 監控服務。
Forta Network 的機器人開發激勵目前由基金會捐贈,並未發揮出去中心化系統的激勵優勢。
1.基本情況
1.1項目簡介
Forta Network 是一個去中心化的實時安全和監控系統,適用於監控鏈上的DeFi、NFT、治理、跨鏈橋和其他 Web3 系統上的威脅和異常,通過為用戶提供有關其係統安全性和穩定性的及時和有用的信息,讓合約擁有者及時做出防禦和補救措施,最大限度減少損失。
Forta Network 採用了無許可的去中心化激勵模式。它利用 $FORT 代幣激勵來吸引節點供應商和監控機器人開發者加入該網絡,在此基礎上構建一個及時、完備、使用簡單且覆蓋廣的監控系統。通過現有的監控機器人模板,合約開發者可以很輕鬆地通過無代碼的方式來進行合約異常監控,或者使用 forta-sdk 自行編寫監控機器人來進行一系列自定義監控。Forta Network 還支持 webhook 通知方式,合約開發者可以利用該方式來進行自動化異常防禦。
Forta Network 的最出色的亮點是將合約監控模塊化、標準化、無代碼化,讓合約開發者無需耗費大量精力來單獨做監控,可以將精力集中在防禦措施的部署上。這讓 Web3 世界更加安全,保護了大量用戶的資產。
Forta Network 目前在 Ethereum、Avalanche、Polygon 等多條鏈上進行監控,同時與 Lido、Compound、MakerDAO、dYdX 和 Balancer 等多家知名 Dapp 達成合作,為其用戶資產安全保駕護航。
1.2基本信息
2.項目詳解
2.1團隊
Forta Network 是由 OpenZeppelin 團隊內部一個創新和跨學科的個人團隊開發並引入社區的。Forta 項目目前沒有過多透露團隊組成,但是從 Forta 的核心項目 forta-core-go 和 forta-node 在 GitHub 上的提交來看,大部分代碼提交者都隸屬於 OpenZeppelin 組織下或提交過 OpenZeppelin 相關代碼。**可以理解為 Forta 是 OpenZeppelin 公司中的一個下屬團隊,所有人員實際上供職於 OpenZeppelin。**可以查到的公開信息是:OpenZeppelin 的CTO Jonathan Alexander 為Forta 的聯合創始人。
OpenZeppelin 建立了以太坊 evm 中應用最廣泛的合約代碼庫,大多數現有的 erc-20、erc-721、erc-1155 代幣都使用了 OpenZeppelin 的產品來進行無代碼或者低代碼創建。OpenZeppelin 也與 AAVE、以太坊基金會、Coinbase和 The Graph 等知名項目或公司進行深度合作。
Jonathan Alexander,OpenZeppelin 的 CTO,同時擔任 Forta Network 的聯合創始人。1984 年畢業於美國加州大學洛杉磯分校,2010.04 – 2016.03 期間擔任Vonage(美國最大的寬帶電話服務商)的 CTO,負責Vonage 的云通信平台的架構。2016.03 – 2020.03 期間擔任 QASymphony / Tricentis(兩家公司於 2018 年合併,兩家都為軟件測試公司)的 CTO,2020.04 加入 OpenZeppelin 擔任 CTO。
從 Jonathan Alexander 履歷可以看出,創始人有著豐富的軟件管理,技術平台構建經歷,職業技能相對比較符合 Forta 的技術產品定位,並且帶領過前兩家公司從小於 500 萬美元到超過1 億美元的快速增長。
Forta 背靠知名公司 OpenZeppelin ,加上種子輪融資不俗的表現,在 Web3 世界已經打出了知名度。OpenZeppelin 作為以太坊上標準的代碼庫創建者以及審計公司,其開發水平更是毋庸置疑。相信在未來 Forta 能帶給用戶更好的使用體驗。
2.2 融資情況
2.3 代碼以及開發工具情況
Forta 在 GitHub 上的代碼貢獻者多為 OpenZeppelin 團隊人員,從OpenZeppelin 的開源項目質量來看,團隊對開發人員的篩選相當嚴格。
forta-node 項目為 Forta Network 節點運營商所運行的軟件,需要團隊進行預編譯以及生成 docker 鏡像後直接運行在運行商服務器中,代碼並不會直接面對用戶。該項目的單元測試比較完備,同時還進行了性能測試,以防出現服務器資源不足或內存佔用過大的情況。但是該項目下仍然有幾個標記為 bug 的 issue 至今沒有被關閉。其中包括了 7 月 20 日 v0.5.1 版本自動更新沒有生效的問題。還有幾個在待辦看板上標記為已廢棄的問題但是沒有在 issue 中關閉,體現出小團隊對項目管理不夠嚴謹的問題。
forta-bot-sdk 項目為 Forta Network 編寫告警機器人的工具包,其中包含了 cli 和 sdk 兩個模塊。該項目的面向對象主要為 JavaScript/TypeScript 和 Python 開發者,開發者需要引用這個工具包來進行開發。由於該項目的代碼會直接面向用戶,所以該項目的文檔以及 changelog 都相對更完備。但該項目中單元測試用例覆蓋不足,僅僅只簡單測試了 cli 部分,而對於 sdk 部分並未測試。issue 中顯示該項目在4 月就計劃增加 Golang 和 Rust 的版本,但可能由於開發人手不足至今並未上線。還有一些用戶提出的 issue 已經有一段時間不活躍也並未進行關閉操作。
總體來說,OpenZeppelin 作為 evm 上最大的開源代碼庫提供商,整體的開髮質量可以說是相當優秀,開發進展和項目可用性是可以獲得足夠保證的。美中不足是對內項目管理並沒有那麼嚴謹,但不影響整體項目質量。
2.4 技術詳情
Forta Network 中有兩個模塊、三個角色來維持網絡運行。要了解整個網絡的運行機制,我們需要了解這兩個模塊和三個角色
2.4.1 兩個模塊
Forta Network 有兩個模塊:告警機器人和掃描節點
告警機器人:告警機器人是一段邏輯(腳本),用於在任何受支持的鏈上查找智能合約的某些交易特徵或狀態變化(例如異常檢測),也可通俗理解為是監控區塊鏈的安全攝像頭,作為開發人員可以對其進行編程並指定符合條件的內容進行監控。比如某合約更換治理的行為、更改合約某項關鍵設置、調用合約接口的某個方法中有異常的操作行為等。還可以對鏈上某個狀態進行監控,例如某個代幣在價格預言機中的價格變化監控,某個代幣異常交易量監控,監控全網所有賬戶餘額大額減少/增多。機器人開發者甚至可以在告警機器人中使用機器學習模型,利用機器學習來預測攻擊者行為,在攻擊開始前就阻止攻擊者。在 Forta 開發人員的努力下,已經實現了無代碼編寫告警機器人,你不需要有任何編程背景,就可以對大多數合約設置監控條件,讓普通人就可以輕鬆完成監控目的。
掃描節點:負責掃描指定鏈的每個區塊中所有交易數據,可以被認為是負責運行告警機器人並為它們從目標區塊鏈獲取數據的角色。當掃描節點中的告警機器人匹配到數據中的特定條件或事件時,就會向網絡中發出警報,該警報將會儲存在 IPFS 上,任何人可以通過 Forta Explorer 或者 API 訂閱相關警報。
2.4.2 三個角色
Forta Network 中有三個角色:警報訂閱者、告警機器人開發人員和掃描節點運營商
警報訂閱者:任何人都可以使用 Forta 來監控交易活動,並接受指定鏈上的安全、財務、運營和治理相關事件的警報。通常發佈在 Forta Network 上的公用告警機器人都是開源的,每個人都可以自由訂閱這些機器人以獲得告警。告警的推送方式支持 Email、Slack 消息推送、Discord webhook 推送、 Telegram 機器人推送以及自定義 webhook 推送。訂閱者可以利用自定義 webhook 方式來在告警觸發的時候自動對合約進行防禦性措施,達到防止損失的目的。假設訂閱者需要隱藏告警機器人策略,防止攻擊者閱讀告警機器人代碼後通過惡意觸發告警的自動防禦措施來擾亂項目正常運行,那麼可以搭建一個私有網絡,將機器人部署在私有網絡上。該網絡完全獨立於 Forta 主網,並不參與公共告警機器人的分配。
告警機器人開發人員:任何開發人員都可以在 Forta Network 上編寫並質押一部分 $FORT 來發佈告警機器人。由於基礎的鏈上狀態檢測情況種類不是特別多,所以早期的公用基礎檢測機器人是由 Forta 基金會發布懸賞,獎勵那些為 Forta Network 編寫基礎機器人的開發者。隨著時間的推移網絡上基礎機器人模板逐漸完善,之後網絡上發佈告警機器人的基本會是有特定檢測需求的協議、DAO 或者機構。為了防止開發者編寫惡意機器人通過郵件訂閱發送垃圾郵件或濫用 Forta Network 節點資源,開發人員需要在啟動機器人時質押至少 100 $FORT。
掃描節點運營商:Forta Network 的節點提供商,這些節點會針對每個區塊所有數據來運行告警機器人腳本。為了確保網絡中節點的穩定運行來使告警機器人能正常工作,目前節點運營商需要為每個節點質押至少 500 個 $FORT 代幣。由於現階段網絡中節點數遠遠超過網絡所需,Forta 基金會已經通過提案,將在2022 年9 月30 日左右將每個節點的質押量提升到至少 2500 $FORT 代幣。同時為了提高網絡利用率,Forta 基金會發起了將每台節點運行的告警機器人數量納入節點獎勵分配指標中的提案。
Forta 自 2021 年 9 月上線以來,社區就已經部署了超過 650 個檢測機器人,並有 2000 個掃描節點參與到該網絡,不間斷掃描 7 條鏈(包括 Layer1 和 Layer2)的 Dapp。截止到 2022 年 8 月,社區已經部署了超過 1200 個檢測機器人,並有超過 9000 個掃描節點參與到該網絡,增⻓勢頭可謂強勁。
2.5 運行機制和代幣經濟學
我們將會從告警機器人的視角來詳細闡述整個工作流程以及代幣經濟學:
在告警機器人被發布之前,Forta 網絡上會存在一系列掃描節點,這些節點將承載告警機器人的運行任務。這些節點的創建需要至少 500 $FORT 的質押(在 2022 年 9 月 30 日後將會變為至少 2500 $FORT)。
機器人開發者將質押 100 $FORT 來發佈告警機器人。告警機器人發布後,網絡會將機器人打包成一個 Docker 鏡像來發送給網絡中一個或多個優質節點,優質節點將會根據節點 SLA 分數來評判,一般當SLA 分數高於0.9 時就可以判斷為優質節點。(SLA 分數是資源得分、數據質量得分和正常運行時間得分的加權平均值之間的最小值)
告警機器人檢查掃描節點註冊的鏈上每個區塊數據,當告警機器人策略匹配上區塊中的數據,將會利用 Graphql 向 Forta Network 服務器發送告警內容。
Forta Network 服務器收到告警後,首先將會把內容存放於IPFS 中,然後再向訂閱者預設的告警渠道發起告警通知(E-mail、Telegram 機器人、webhook 等)。
Forta Network 每週將分配 400,000 $FORT 代幣用於獎勵網絡中符合要求的掃描節點,這也是目前代幣產出的主要方式。
$FORT 代幣除了用於質押掃描節點和告警機器人之外,還可以用於整個網絡的治理投票,直接決定項目未來的走向。
目前代幣的分配情況如下:
社區分配:**社區分配包括早期網絡測試階段的獎勵、早期測試空投以及未來的一系列獎勵分配,目前由基金會持有。**原則上社區分配的部分並不會有強制鎖定或轉讓限制,但為了保證社區長期利益一致,某些社區分配的接收者需要同意一些限制條款。例如在已分配的 2.2% 中,有大約 1.2% 的代幣將會有 2 至 4 年的限制。為了公平原則,社區分配部分將不會與早期貢獻者有任何交集。也就是獲得早期貢獻者的人將不會擁有社區分配。
早期貢獻者:早期貢獻者主要有支持者、初始核心貢獻者和 OpenZeppelin。支持者是指在項目早期為 Forta 提供包括但不限於資金、網絡以及節點支持的社區成員。核心貢獻者是指最早供職於 OpenZeppelin 並且參與到 Forta Network 的開發者,他們已獲得了總量 20% 的代幣。OpenZeppelin 作為孵化 Forta Network 的母公司,將獲得總量 10% 的代幣。所有的早期貢獻者將接受一年懸崖限制和四年線性解鎖,這將於 2021 年 9 月 1 日開始計算,直到 2025 年 9 月 1 日這些代幣將完全解鎖。
3. 發展
3.1歷史
3.2 現狀
3.2.1 網絡狀況
截止 2022 年 9 月 9 日,Forta Network 全完節點數量共計 9949 個,機器人共 1243 個,監控包括 Ethereum、Polygon、BSC 等 7 條鏈。
3.2.2 網絡節點收益狀況
Forta Network 中節點收益為 $FORT 流通量釋放的一大來源。**Forta 基金會每週從預留的社區分配代幣中提取 400,000 $FORT 來獎勵給網絡中的所有符合要求的激勵節點。**400,000 $FORT 代幣中分配給每條鏈的額度是不同的,但會根據網絡情況來對每條節點進行不同分配以達到每條鏈上都有足夠節點可用,防止某些鏈節點數量過低或資源溢出。截止 2022 年 9 月 5 日,單台 SLA 分數為 1 的節點能夠每週獲取大約 57 $FORT。按照官方對節點的最低要求配置在 Contabo 上租用服務器的每月費用為 $12,加上當前幣價為 $0.23,粗略可以算出目前單台節點 Apr 為 242.9% 左右。在 2022 年 9 月 30 日後單台節點的最小質押量將會提升至 2500 $FORT,根據統計,當前全網質押加上提款凍結期的 $FORT 為 700 萬個,假設當前所有幣在 9 月 30 日之後都仍然是有效質押,那麼全網節點最大數量為 2800。假設每條鏈上節點數量比例與獎勵分配比例一致,那麼單台 SLA 分數為 1 的節點能夠每週獲取大約 142 $FORT,Apr 粗略估計為 218% 左右。
3.2.3 使用情況
在 Forta 基金會的激勵下,Forta Network 已有了一系列構建完成並發佈在網絡上的機器人。這些機器人都可以直接被使用者訂閱,並且相當一部分項目已經採用了 Forta Network 來保證自己的安全,例如 dYdX、Lido、Maker DAO、Polygon、Gnosis 和 Balancer。同時 Forta Network 還可以監控很多知名 Dapp,以下將列出部分可直接訂閱監控的項目(數據來源:Forta 官方網站)
去中心化交易所:Uniswap、Curve、Dodo、dYdX、PancakeSwap、Balancer、Perpetual Finance、ApeSwap
借貸類:AAVE、Alpaca Finance、Benqi Finance、Compound、Maker DAO、Umee
資產類:Lido、Polygon、pSTAKE、Stader labs、Yearn
其他:以太坊合併、Poly Network
4. 競爭
4.1 行業概述
4.1.1 監控系統是什麼
監控系統一般指有監控程序和收集資料能力的電腦控制系統。多用於工業程序、基礎設施或設備中。在軟件工程中,較常使用一些中心化的監控系統來對自己的程序進行監控和錯誤告警。類似於 Prometheus 這樣的標準化監控系統已廣泛應用在互聯網行業中,Web3 行業中一些前沿項目也時常會用 Prometheus 這種標準的監控系統來進行節點的監控。
4.1.2 Web3的監控與Web2有何不同
Web3 的監控與 Web2 的監控最大的不同就是 Web3 更需要監控及時覆蓋應用。Web3 需要及時覆蓋的原因究其根本還是在於區塊鏈上數據的不可篡改性。假設 Web2 中的服務出現一個漏洞被利用,但數據庫和業務邏輯代碼都託管在項目所有人自己可控的服務器上,一般來說並不會發生不可挽回的資產流失,因為項目所有人發現故障後可以自行更改數據,阻止資產損失。但 Web3 應用一般是建立在去中心化網絡上,網絡中節點達成回滾數據的共識是非常困難的。類似於 2016 年 DAO 事件被盜以太坊直接回滾數據的事情幾乎不可能再次發生,這意味著理論上在去中心化網絡上資產流失將是永久性的。所以 Web3 應用對監控的及時性要求遠遠高於 Web2 應用。
4.13 監控如何防止資產流失
一般來說監控檢測到一個用戶關注的事件後,將會觸髮用戶指定的行為。一般用戶可能會指定的行為是郵件通知,但實際上這個行為可以被自定義化。假設使用了一個外部監控,用戶可以利用 webhook 作為指定行為,當告警檢測到事件後,可以通過 webhook 來觸髮用戶事先設定好的防禦性措施。下面是一個監控防止資產流失的簡單例子:
假設一個項目對自己的合約 owner 地址設定了監控,當檢測到公共內存池中有改變合約 owner 地址的交易時,將會觸發警報。這時該項目內部人員臨時竊取了當前 owner 地址的權限,並試圖通過發送交易的方式來將合約 owner 地址改為自己持有的某個地址。這時監控系統在公共內存池中掃描到了該交易,並且該交易尚未包含在區塊中,此時監控就會觸發一個項目持有者預設的 webhook 行為,自動通過 owner 地址發送一個更高 gas 的交易,將 owner 地址提前改為一個備用地址,這樣攻擊者將 owner 地址修改的交易就會失敗,在攻擊發生之前就進行阻止。
雖然上述例子總體闡述了監控系統是如何工作並且進行防禦措施的,雖然實際情況將會比例子中復雜的多,但也繞不開這個基礎框架。
4.1.4 監控系統的分類
目前 Web3 行業監控系統大致可以分為中心化和去中心化兩種模式
中心化監控的優勢在於維護中資金成本相對較小,管理較為靈活。但缺點就是需要大量人力來進行監控的覆蓋,在實際操作的時候很容易出現監控部署滯後或監控覆蓋不全面的情況。
用去中心化模式搭建的監控系統優點在於從網絡層面上可以對監控機器人開發者進行激勵,促使更多的開發者自發地來一同構建生態,實現監控需求的及時覆蓋。但缺點在於網絡層面上的激勵方式製定較為困難。
4.2 競品分析
對於監控系統來說,通常有幾個核心要點進行產品橫向對比:
功能完備性:監控類型是否全面
可配置性:監控閾值的可配置性(特指現成可用的監控類型)
擴展性:是否可以單獨針對某個合約或功能監控,是否可以方便地添加相同類型的監控
時效性:對於最新機制覆蓋的及時性
可用性:監控系統的高可用性
4.2.1 知名鏈上監控產品優缺點對比
這裡挑選了幾款具有特點並且廣泛使用的鏈上監控產品來進行對比
Epns、Hal、Tenderly
上圖能較為清晰反映出不同產品的側重點
Forta:好處是監控功能比較完備,0 基礎用戶根據現有模板進行監控定制較為簡易。受益於去中心化網絡上的激勵機制,針對不同類型鏈上行為的監控類型開發非常及時。同樣由於網絡模式為去中心化模式,系統可用性得到了一定保證。缺點是告警機器人無法進行參數配置,諸如“大額”“異常”這些字眼的具體閾值完全由告警機器人開發者定義,訂閱者可配置的地方很少,整體較為傻瓜式。Forta Network 雖然網絡模式是去中心化,但仍然有某些功能需要通過中心化服務器完成,給系統的高可用性埋下隱患。
Epns:Epns 更為註重個人錢包的監控,優點是訂閱各大應用時可以直接通過查看個人錢包的關注內容來發送相關提醒,例如訂閱 Snapshot 就會直接根據錢包的關注列表來提醒新提案,省去用戶單獨配置的成本。缺點是監控內容較少,功能更新不及時。
Hal:優點是已經將現有的 DeFi、NFT 監控基本功能開發完畢,並且對於流動性、貸款/ 存款利率、代幣價格、大額成交量、鏈上借款抵押率等一系列指標都有現成監控。Hal 還可以對上述指標進行一些參數配置,相比起 Forta Network 訂閱者無法修改“大額”“異常”的具體閾值來說是一大亮點。缺點是 Hal 較為依賴自己的開發者來進行各類監控的開發,時效性欠佳。
Tenderly:Tenderly 的特點是可以對合約的任意方法任意條件進行監控,監控的自由度極高。優點在於訂閱者可以完全根據自己所想來配置一個監控機器人。缺點就是需要訂閱者對監控的合約有深入了解,並不適合普通用戶來使用。Tenderly 同時也缺少合約監控以外的功能,例如 flashbot 檢測,擴展性僅僅只體現在對合約的監控。
產品角度來說,Forta Network 雖然存在訂閱者難以配置監控,現有的告警機器人閾值可能不適合一些項目擁有者來進行自定義監控。但由於去中心化網絡激勵的存在,勢必會有一批開發者願意根據訂閱者的需求來進行參數定制
4.3 總結
雖然 Web3 安全已被提及了許多年,合約審計、代碼開源等一系列關乎資產安全的行為越來越被用戶重視,但目前 Web3 安全賽道仍然處於非常早期的階段。諸如 dYdX、Lido 這些知名項目都已採用了 Forta 說明了 Web3 的安全防禦在未來的區塊鏈合規化中一定是無法繞過的話題。同時還有大量的項目並未採用監控的方式來保證合約安全,也側面說明了安全賽道的增量市場是一個非常龐大的數量,OpenZeppelin 在 2021 年就推出了 Forta 說明已經瞄準了這片藍海。正如 OpenZeppelin 在過去四年中引領了以太坊 evm 的合約開發標準,相信憑藉著 Forta 的前瞻性 OpenZeppelin 也能在未來引領 Web3 行業安全方案的標準。
5.風險
1)去中心化網絡對告警機器人激勵不足
目前網絡上對告警機器人的開發暫時還沒有激勵,目前的激勵來源是基金會舉辦的機器人開發競賽和 Gitcoin 捐贈。從這個角度來看 Forta Network 的去中心化網絡並未發揮它的長處,但近幾個月社區也有關於機器人開發激勵的討論,Forta 的開發人員也很重視該提案,相信在不久就會推出詳細的激勵機制。
2)行業對於安全重要性認知不足
有別於 DeFi、公鏈、Layer 2 這些直接或間接提升普通用戶使用體驗上限的賽道,安全是一個提升下限的賽道。當整個行業都處於狂熱狀態時,大家都更關注區塊鏈的上限在哪裡,而不是關注它的下限。安全賽道的重要性很有可能還需要很長一段時間來等待行業來發掘。
3)社區相反意見對抗激烈
在 9 月 17 日結束的 FP-3 投票中顯示,大約有 51.03% 的 $FORT 被投到了反對票,導致了 FP-3 提案被拒絕。這在大型社區中並不常見,多數的投票都會以一方佔有 70% 以上票數結束。雖然這一定程度上反映了社區對於該項目的關注,但同時也表明社區不同意見的兩方利益衝突較大,這在一定程度上可能會阻礙項目進度以及發展。
參考文獻列表
Forta Network 官方資料
團隊 GitHub 主頁:https://github.com/forta-network
歷史大事件:https://twitter.com/FortaNetwork/status/1567591457531527170?s=20&t=LbAJO2Tv7TWOqtBibinhKQ
Forta 網絡數據統計:https://dune.com/Sector920/forta
Forta 社區提案:https://snapshot.org/#/forta.eth
SACTE:
A unique and irreplaceable institution dedicated to the emerging frontier of crypto.
Forta Network 是一個實時檢測網絡,用於區塊鏈活動的安全和運營監控。Forta 作為 Web3 監控賽道中的為數不多的去中心化項目,整體項目設計具有一定創新性。目前,Forta 監控其用戶超過 360 億美元的 TVL,並為Ethereum、Avalanche、Polygon 等多條鏈上帶來運行時監控和異常檢測,未來應用相對較為廣泛,敘事性強。早前該項目完成了 2300 萬美元由 a16z 領投的融資,受到行業內廣泛關注。
投資概要
2009 到 2022 年,區塊鏈高速發展的這 13 年間,區塊鏈行業發生了無數因黑客攻擊、協議漏洞、私鑰洩漏、內部作案導致的多起資金損失事件。2020 年損失超過 5.1 億美金,2022 年僅前 4 個月的損失就已超過 2021 和 2020 年的總和。隨著行業的發展,各種攻擊手法層出不窮,Web3 項目要想從現在的數十億美金發展為未來的數万億規模,安全問題是不容怠慢的。安全標準除了現在的常規審計和漏洞懸賞之外,整個行業從認知到實踐都需要建立一套完整的解決方案。
雖然從 2015 年以太坊主網上線以來,智能合約開發和安全實踐已經發生了重大變化,智能合約審計和可重用代碼庫已經成為標準實踐。然而儘管審計、代碼庫和其他技術在識別或預防代碼中的錯誤和漏洞方面很有幫助,但它們的有效性是有限的。智能合約一旦在區塊鏈上部署,風險狀況就會發生變化。合約如何管理,如何與其他合約交互以及如何響應意外的市場事件都增加了額外的不確定因素。換句話說:代碼可以工作,但智能合約仍然可能遇到問題,智能合約安全需要持續努力。
一般情況下,開發者通常在程序運行時被動地收到用戶反饋才會發現某些邏輯漏洞,這意味著有相當一部分漏洞只有在部署了以後才能被找到,而利用漏洞往往需要多筆異常交易才能完成。監控系統能夠在一系列的異常交易中剛完成第一筆或者第二筆時發出警報,那將會為項目減少巨額損失並且幫助團隊修復該漏洞。所以監控系統在 Web3 世界中是必不可少的。
目前多數監控方案都是基於中心化的系統來建立的,中心化監控系統的弊端在於無法以足夠快的速度來覆蓋新部署的智能合約。一旦一個去中心化的開源項目達到一個規模,它的發展勢頭將過於迅猛,中心化的監控方案在短時間只能夠覆蓋一小部分。為了解決這種問題,Forta 選擇使用去中心化的激勵監控系統來確保對智能合約監控的高效部署,確保能夠在第一時間對智能合約進行完備的監控。
目前 Forta 已經度過測試網階段並且正式啟動,總體狀況良好,並且在測試網階段時監控到了 InverseFinance 的操縱價格預言機攻擊並及時發出預警。但項目仍然有以下需要注意:
目前的監控機器人模板較少,即使對 InverseFinance 的攻擊發出預警,但警告模板並不是幣價變動警告而是大額 eth 轉賬警告,容易讓開發者忽略該警告。
雖然目前的 $FORT 代幣每週獎勵總數固定,但是不同鏈的監控獎勵份額仍然由團隊來進行分配。
$FORT 代幣賦能仍然不足,目前僅用於監控機器人啟動質押和監控節點質押。訂閱者目前可以免費使用 Forta 監控服務。
Forta Network 的機器人開發激勵目前由基金會捐贈,並未發揮出去中心化系統的激勵優勢。
1.基本情況
1.1項目簡介
Forta Network 是一個去中心化的實時安全和監控系統,適用於監控鏈上的DeFi、NFT、治理、跨鏈橋和其他 Web3 系統上的威脅和異常,通過為用戶提供有關其係統安全性和穩定性的及時和有用的信息,讓合約擁有者及時做出防禦和補救措施,最大限度減少損失。
Forta Network 採用了無許可的去中心化激勵模式。它利用 $FORT 代幣激勵來吸引節點供應商和監控機器人開發者加入該網絡,在此基礎上構建一個及時、完備、使用簡單且覆蓋廣的監控系統。通過現有的監控機器人模板,合約開發者可以很輕鬆地通過無代碼的方式來進行合約異常監控,或者使用 forta-sdk 自行編寫監控機器人來進行一系列自定義監控。Forta Network 還支持 webhook 通知方式,合約開發者可以利用該方式來進行自動化異常防禦。
Forta Network 的最出色的亮點是將合約監控模塊化、標準化、無代碼化,讓合約開發者無需耗費大量精力來單獨做監控,可以將精力集中在防禦措施的部署上。這讓 Web3 世界更加安全,保護了大量用戶的資產。
Forta Network 目前在 Ethereum、Avalanche、Polygon 等多條鏈上進行監控,同時與 Lido、Compound、MakerDAO、dYdX 和 Balancer 等多家知名 Dapp 達成合作,為其用戶資產安全保駕護航。
1.2基本信息
2.項目詳解
2.1團隊
Forta Network 是由 OpenZeppelin 團隊內部一個創新和跨學科的個人團隊開發並引入社區的。Forta 項目目前沒有過多透露團隊組成,但是從 Forta 的核心項目 forta-core-go 和 forta-node 在 GitHub 上的提交來看,大部分代碼提交者都隸屬於 OpenZeppelin 組織下或提交過 OpenZeppelin 相關代碼。**可以理解為 Forta 是 OpenZeppelin 公司中的一個下屬團隊,所有人員實際上供職於 OpenZeppelin。**可以查到的公開信息是:OpenZeppelin 的CTO Jonathan Alexander 為Forta 的聯合創始人。
OpenZeppelin 建立了以太坊 evm 中應用最廣泛的合約代碼庫,大多數現有的 erc-20、erc-721、erc-1155 代幣都使用了 OpenZeppelin 的產品來進行無代碼或者低代碼創建。OpenZeppelin 也與 AAVE、以太坊基金會、Coinbase和 The Graph 等知名項目或公司進行深度合作。
Jonathan Alexander,OpenZeppelin 的 CTO,同時擔任 Forta Network 的聯合創始人。1984 年畢業於美國加州大學洛杉磯分校,2010.04 – 2016.03 期間擔任Vonage(美國最大的寬帶電話服務商)的 CTO,負責Vonage 的云通信平台的架構。2016.03 – 2020.03 期間擔任 QASymphony / Tricentis(兩家公司於 2018 年合併,兩家都為軟件測試公司)的 CTO,2020.04 加入 OpenZeppelin 擔任 CTO。
從 Jonathan Alexander 履歷可以看出,創始人有著豐富的軟件管理,技術平台構建經歷,職業技能相對比較符合 Forta 的技術產品定位,並且帶領過前兩家公司從小於 500 萬美元到超過1 億美元的快速增長。
Forta 背靠知名公司 OpenZeppelin ,加上種子輪融資不俗的表現,在 Web3 世界已經打出了知名度。OpenZeppelin 作為以太坊上標準的代碼庫創建者以及審計公司,其開發水平更是毋庸置疑。相信在未來 Forta 能帶給用戶更好的使用體驗。
2.2 融資情況
2.3 代碼以及開發工具情況
Forta 在 GitHub 上的代碼貢獻者多為 OpenZeppelin 團隊人員,從OpenZeppelin 的開源項目質量來看,團隊對開發人員的篩選相當嚴格。
forta-node 項目為 Forta Network 節點運營商所運行的軟件,需要團隊進行預編譯以及生成 docker 鏡像後直接運行在運行商服務器中,代碼並不會直接面對用戶。該項目的單元測試比較完備,同時還進行了性能測試,以防出現服務器資源不足或內存佔用過大的情況。但是該項目下仍然有幾個標記為 bug 的 issue 至今沒有被關閉。其中包括了 7 月 20 日 v0.5.1 版本自動更新沒有生效的問題。還有幾個在待辦看板上標記為已廢棄的問題但是沒有在 issue 中關閉,體現出小團隊對項目管理不夠嚴謹的問題。
forta-bot-sdk 項目為 Forta Network 編寫告警機器人的工具包,其中包含了 cli 和 sdk 兩個模塊。該項目的面向對象主要為 JavaScript/TypeScript 和 Python 開發者,開發者需要引用這個工具包來進行開發。由於該項目的代碼會直接面向用戶,所以該項目的文檔以及 changelog 都相對更完備。但該項目中單元測試用例覆蓋不足,僅僅只簡單測試了 cli 部分,而對於 sdk 部分並未測試。issue 中顯示該項目在4 月就計劃增加 Golang 和 Rust 的版本,但可能由於開發人手不足至今並未上線。還有一些用戶提出的 issue 已經有一段時間不活躍也並未進行關閉操作。
總體來說,OpenZeppelin 作為 evm 上最大的開源代碼庫提供商,整體的開髮質量可以說是相當優秀,開發進展和項目可用性是可以獲得足夠保證的。美中不足是對內項目管理並沒有那麼嚴謹,但不影響整體項目質量。
2.4 技術詳情
Forta Network 中有兩個模塊、三個角色來維持網絡運行。要了解整個網絡的運行機制,我們需要了解這兩個模塊和三個角色
2.4.1 兩個模塊
Forta Network 有兩個模塊:告警機器人和掃描節點
告警機器人:告警機器人是一段邏輯(腳本),用於在任何受支持的鏈上查找智能合約的某些交易特徵或狀態變化(例如異常檢測),也可通俗理解為是監控區塊鏈的安全攝像頭,作為開發人員可以對其進行編程並指定符合條件的內容進行監控。比如某合約更換治理的行為、更改合約某項關鍵設置、調用合約接口的某個方法中有異常的操作行為等。還可以對鏈上某個狀態進行監控,例如某個代幣在價格預言機中的價格變化監控,某個代幣異常交易量監控,監控全網所有賬戶餘額大額減少/增多。機器人開發者甚至可以在告警機器人中使用機器學習模型,利用機器學習來預測攻擊者行為,在攻擊開始前就阻止攻擊者。在 Forta 開發人員的努力下,已經實現了無代碼編寫告警機器人,你不需要有任何編程背景,就可以對大多數合約設置監控條件,讓普通人就可以輕鬆完成監控目的。
掃描節點:負責掃描指定鏈的每個區塊中所有交易數據,可以被認為是負責運行告警機器人並為它們從目標區塊鏈獲取數據的角色。當掃描節點中的告警機器人匹配到數據中的特定條件或事件時,就會向網絡中發出警報,該警報將會儲存在 IPFS 上,任何人可以通過 Forta Explorer 或者 API 訂閱相關警報。
2.4.2 三個角色
Forta Network 中有三個角色:警報訂閱者、告警機器人開發人員和掃描節點運營商
警報訂閱者:任何人都可以使用 Forta 來監控交易活動,並接受指定鏈上的安全、財務、運營和治理相關事件的警報。通常發佈在 Forta Network 上的公用告警機器人都是開源的,每個人都可以自由訂閱這些機器人以獲得告警。告警的推送方式支持 Email、Slack 消息推送、Discord webhook 推送、 Telegram 機器人推送以及自定義 webhook 推送。訂閱者可以利用自定義 webhook 方式來在告警觸發的時候自動對合約進行防禦性措施,達到防止損失的目的。假設訂閱者需要隱藏告警機器人策略,防止攻擊者閱讀告警機器人代碼後通過惡意觸發告警的自動防禦措施來擾亂項目正常運行,那麼可以搭建一個私有網絡,將機器人部署在私有網絡上。該網絡完全獨立於 Forta 主網,並不參與公共告警機器人的分配。
告警機器人開發人員:任何開發人員都可以在 Forta Network 上編寫並質押一部分 $FORT 來發佈告警機器人。由於基礎的鏈上狀態檢測情況種類不是特別多,所以早期的公用基礎檢測機器人是由 Forta 基金會發布懸賞,獎勵那些為 Forta Network 編寫基礎機器人的開發者。隨著時間的推移網絡上基礎機器人模板逐漸完善,之後網絡上發佈告警機器人的基本會是有特定檢測需求的協議、DAO 或者機構。為了防止開發者編寫惡意機器人通過郵件訂閱發送垃圾郵件或濫用 Forta Network 節點資源,開發人員需要在啟動機器人時質押至少 100 $FORT。
掃描節點運營商:Forta Network 的節點提供商,這些節點會針對每個區塊所有數據來運行告警機器人腳本。為了確保網絡中節點的穩定運行來使告警機器人能正常工作,目前節點運營商需要為每個節點質押至少 500 個 $FORT 代幣。由於現階段網絡中節點數遠遠超過網絡所需,Forta 基金會已經通過提案,將在2022 年9 月30 日左右將每個節點的質押量提升到至少 2500 $FORT 代幣。同時為了提高網絡利用率,Forta 基金會發起了將每台節點運行的告警機器人數量納入節點獎勵分配指標中的提案。
Forta 自 2021 年 9 月上線以來,社區就已經部署了超過 650 個檢測機器人,並有 2000 個掃描節點參與到該網絡,不間斷掃描 7 條鏈(包括 Layer1 和 Layer2)的 Dapp。截止到 2022 年 8 月,社區已經部署了超過 1200 個檢測機器人,並有超過 9000 個掃描節點參與到該網絡,增⻓勢頭可謂強勁。
2.5 運行機制和代幣經濟學
我們將會從告警機器人的視角來詳細闡述整個工作流程以及代幣經濟學:
在告警機器人被發布之前,Forta 網絡上會存在一系列掃描節點,這些節點將承載告警機器人的運行任務。這些節點的創建需要至少 500 $FORT 的質押(在 2022 年 9 月 30 日後將會變為至少 2500 $FORT)。
機器人開發者將質押 100 $FORT 來發佈告警機器人。告警機器人發布後,網絡會將機器人打包成一個 Docker 鏡像來發送給網絡中一個或多個優質節點,優質節點將會根據節點 SLA 分數來評判,一般當SLA 分數高於0.9 時就可以判斷為優質節點。(SLA 分數是資源得分、數據質量得分和正常運行時間得分的加權平均值之間的最小值)
告警機器人檢查掃描節點註冊的鏈上每個區塊數據,當告警機器人策略匹配上區塊中的數據,將會利用 Graphql 向 Forta Network 服務器發送告警內容。
Forta Network 服務器收到告警後,首先將會把內容存放於IPFS 中,然後再向訂閱者預設的告警渠道發起告警通知(E-mail、Telegram 機器人、webhook 等)。
Forta Network 每週將分配 400,000 $FORT 代幣用於獎勵網絡中符合要求的掃描節點,這也是目前代幣產出的主要方式。
$FORT 代幣除了用於質押掃描節點和告警機器人之外,還可以用於整個網絡的治理投票,直接決定項目未來的走向。
目前代幣的分配情況如下:
社區分配:**社區分配包括早期網絡測試階段的獎勵、早期測試空投以及未來的一系列獎勵分配,目前由基金會持有。**原則上社區分配的部分並不會有強制鎖定或轉讓限制,但為了保證社區長期利益一致,某些社區分配的接收者需要同意一些限制條款。例如在已分配的 2.2% 中,有大約 1.2% 的代幣將會有 2 至 4 年的限制。為了公平原則,社區分配部分將不會與早期貢獻者有任何交集。也就是獲得早期貢獻者的人將不會擁有社區分配。
早期貢獻者:早期貢獻者主要有支持者、初始核心貢獻者和 OpenZeppelin。支持者是指在項目早期為 Forta 提供包括但不限於資金、網絡以及節點支持的社區成員。核心貢獻者是指最早供職於 OpenZeppelin 並且參與到 Forta Network 的開發者,他們已獲得了總量 20% 的代幣。OpenZeppelin 作為孵化 Forta Network 的母公司,將獲得總量 10% 的代幣。所有的早期貢獻者將接受一年懸崖限制和四年線性解鎖,這將於 2021 年 9 月 1 日開始計算,直到 2025 年 9 月 1 日這些代幣將完全解鎖。
3. 發展
3.1歷史
3.2 現狀
3.2.1 網絡狀況
截止 2022 年 9 月 9 日,Forta Network 全完節點數量共計 9949 個,機器人共 1243 個,監控包括 Ethereum、Polygon、BSC 等 7 條鏈。
3.2.2 網絡節點收益狀況
Forta Network 中節點收益為 $FORT 流通量釋放的一大來源。**Forta 基金會每週從預留的社區分配代幣中提取 400,000 $FORT 來獎勵給網絡中的所有符合要求的激勵節點。**400,000 $FORT 代幣中分配給每條鏈的額度是不同的,但會根據網絡情況來對每條節點進行不同分配以達到每條鏈上都有足夠節點可用,防止某些鏈節點數量過低或資源溢出。截止 2022 年 9 月 5 日,單台 SLA 分數為 1 的節點能夠每週獲取大約 57 $FORT。按照官方對節點的最低要求配置在 Contabo 上租用服務器的每月費用為 $12,加上當前幣價為 $0.23,粗略可以算出目前單台節點 Apr 為 242.9% 左右。在 2022 年 9 月 30 日後單台節點的最小質押量將會提升至 2500 $FORT,根據統計,當前全網質押加上提款凍結期的 $FORT 為 700 萬個,假設當前所有幣在 9 月 30 日之後都仍然是有效質押,那麼全網節點最大數量為 2800。假設每條鏈上節點數量比例與獎勵分配比例一致,那麼單台 SLA 分數為 1 的節點能夠每週獲取大約 142 $FORT,Apr 粗略估計為 218% 左右。
3.2.3 使用情況
在 Forta 基金會的激勵下,Forta Network 已有了一系列構建完成並發佈在網絡上的機器人。這些機器人都可以直接被使用者訂閱,並且相當一部分項目已經採用了 Forta Network 來保證自己的安全,例如 dYdX、Lido、Maker DAO、Polygon、Gnosis 和 Balancer。同時 Forta Network 還可以監控很多知名 Dapp,以下將列出部分可直接訂閱監控的項目(數據來源:Forta 官方網站)
去中心化交易所:Uniswap、Curve、Dodo、dYdX、PancakeSwap、Balancer、Perpetual Finance、ApeSwap
借貸類:AAVE、Alpaca Finance、Benqi Finance、Compound、Maker DAO、Umee
資產類:Lido、Polygon、pSTAKE、Stader labs、Yearn
其他:以太坊合併、Poly Network
4. 競爭
4.1 行業概述
4.1.1 監控系統是什麼
監控系統一般指有監控程序和收集資料能力的電腦控制系統。多用於工業程序、基礎設施或設備中。在軟件工程中,較常使用一些中心化的監控系統來對自己的程序進行監控和錯誤告警。類似於 Prometheus 這樣的標準化監控系統已廣泛應用在互聯網行業中,Web3 行業中一些前沿項目也時常會用 Prometheus 這種標準的監控系統來進行節點的監控。
4.1.2 Web3的監控與Web2有何不同
Web3 的監控與 Web2 的監控最大的不同就是 Web3 更需要監控及時覆蓋應用。Web3 需要及時覆蓋的原因究其根本還是在於區塊鏈上數據的不可篡改性。假設 Web2 中的服務出現一個漏洞被利用,但數據庫和業務邏輯代碼都託管在項目所有人自己可控的服務器上,一般來說並不會發生不可挽回的資產流失,因為項目所有人發現故障後可以自行更改數據,阻止資產損失。但 Web3 應用一般是建立在去中心化網絡上,網絡中節點達成回滾數據的共識是非常困難的。類似於 2016 年 DAO 事件被盜以太坊直接回滾數據的事情幾乎不可能再次發生,這意味著理論上在去中心化網絡上資產流失將是永久性的。所以 Web3 應用對監控的及時性要求遠遠高於 Web2 應用。
4.13 監控如何防止資產流失
一般來說監控檢測到一個用戶關注的事件後,將會觸髮用戶指定的行為。一般用戶可能會指定的行為是郵件通知,但實際上這個行為可以被自定義化。假設使用了一個外部監控,用戶可以利用 webhook 作為指定行為,當告警檢測到事件後,可以通過 webhook 來觸髮用戶事先設定好的防禦性措施。下面是一個監控防止資產流失的簡單例子:
假設一個項目對自己的合約 owner 地址設定了監控,當檢測到公共內存池中有改變合約 owner 地址的交易時,將會觸發警報。這時該項目內部人員臨時竊取了當前 owner 地址的權限,並試圖通過發送交易的方式來將合約 owner 地址改為自己持有的某個地址。這時監控系統在公共內存池中掃描到了該交易,並且該交易尚未包含在區塊中,此時監控就會觸發一個項目持有者預設的 webhook 行為,自動通過 owner 地址發送一個更高 gas 的交易,將 owner 地址提前改為一個備用地址,這樣攻擊者將 owner 地址修改的交易就會失敗,在攻擊發生之前就進行阻止。
雖然上述例子總體闡述了監控系統是如何工作並且進行防禦措施的,雖然實際情況將會比例子中復雜的多,但也繞不開這個基礎框架。
4.1.4 監控系統的分類
目前 Web3 行業監控系統大致可以分為中心化和去中心化兩種模式
中心化監控的優勢在於維護中資金成本相對較小,管理較為靈活。但缺點就是需要大量人力來進行監控的覆蓋,在實際操作的時候很容易出現監控部署滯後或監控覆蓋不全面的情況。
用去中心化模式搭建的監控系統優點在於從網絡層面上可以對監控機器人開發者進行激勵,促使更多的開發者自發地來一同構建生態,實現監控需求的及時覆蓋。但缺點在於網絡層面上的激勵方式製定較為困難。
4.2 競品分析
對於監控系統來說,通常有幾個核心要點進行產品橫向對比:
功能完備性:監控類型是否全面
可配置性:監控閾值的可配置性(特指現成可用的監控類型)
擴展性:是否可以單獨針對某個合約或功能監控,是否可以方便地添加相同類型的監控
時效性:對於最新機制覆蓋的及時性
可用性:監控系統的高可用性
4.2.1 知名鏈上監控產品優缺點對比
這裡挑選了幾款具有特點並且廣泛使用的鏈上監控產品來進行對比
Epns、Hal、Tenderly
上圖能較為清晰反映出不同產品的側重點
Forta:好處是監控功能比較完備,0 基礎用戶根據現有模板進行監控定制較為簡易。受益於去中心化網絡上的激勵機制,針對不同類型鏈上行為的監控類型開發非常及時。同樣由於網絡模式為去中心化模式,系統可用性得到了一定保證。缺點是告警機器人無法進行參數配置,諸如“大額”“異常”這些字眼的具體閾值完全由告警機器人開發者定義,訂閱者可配置的地方很少,整體較為傻瓜式。Forta Network 雖然網絡模式是去中心化,但仍然有某些功能需要通過中心化服務器完成,給系統的高可用性埋下隱患。
Epns:Epns 更為註重個人錢包的監控,優點是訂閱各大應用時可以直接通過查看個人錢包的關注內容來發送相關提醒,例如訂閱 Snapshot 就會直接根據錢包的關注列表來提醒新提案,省去用戶單獨配置的成本。缺點是監控內容較少,功能更新不及時。
Hal:優點是已經將現有的 DeFi、NFT 監控基本功能開發完畢,並且對於流動性、貸款/ 存款利率、代幣價格、大額成交量、鏈上借款抵押率等一系列指標都有現成監控。Hal 還可以對上述指標進行一些參數配置,相比起 Forta Network 訂閱者無法修改“大額”“異常”的具體閾值來說是一大亮點。缺點是 Hal 較為依賴自己的開發者來進行各類監控的開發,時效性欠佳。
Tenderly:Tenderly 的特點是可以對合約的任意方法任意條件進行監控,監控的自由度極高。優點在於訂閱者可以完全根據自己所想來配置一個監控機器人。缺點就是需要訂閱者對監控的合約有深入了解,並不適合普通用戶來使用。Tenderly 同時也缺少合約監控以外的功能,例如 flashbot 檢測,擴展性僅僅只體現在對合約的監控。
產品角度來說,Forta Network 雖然存在訂閱者難以配置監控,現有的告警機器人閾值可能不適合一些項目擁有者來進行自定義監控。但由於去中心化網絡激勵的存在,勢必會有一批開發者願意根據訂閱者的需求來進行參數定制
4.3 總結
雖然 Web3 安全已被提及了許多年,合約審計、代碼開源等一系列關乎資產安全的行為越來越被用戶重視,但目前 Web3 安全賽道仍然處於非常早期的階段。諸如 dYdX、Lido 這些知名項目都已採用了 Forta 說明了 Web3 的安全防禦在未來的區塊鏈合規化中一定是無法繞過的話題。同時還有大量的項目並未採用監控的方式來保證合約安全,也側面說明了安全賽道的增量市場是一個非常龐大的數量,OpenZeppelin 在 2021 年就推出了 Forta 說明已經瞄準了這片藍海。正如 OpenZeppelin 在過去四年中引領了以太坊 evm 的合約開發標準,相信憑藉著 Forta 的前瞻性 OpenZeppelin 也能在未來引領 Web3 行業安全方案的標準。
5.風險
1)去中心化網絡對告警機器人激勵不足
目前網絡上對告警機器人的開發暫時還沒有激勵,目前的激勵來源是基金會舉辦的機器人開發競賽和 Gitcoin 捐贈。從這個角度來看 Forta Network 的去中心化網絡並未發揮它的長處,但近幾個月社區也有關於機器人開發激勵的討論,Forta 的開發人員也很重視該提案,相信在不久就會推出詳細的激勵機制。
2)行業對於安全重要性認知不足
有別於 DeFi、公鏈、Layer 2 這些直接或間接提升普通用戶使用體驗上限的賽道,安全是一個提升下限的賽道。當整個行業都處於狂熱狀態時,大家都更關注區塊鏈的上限在哪裡,而不是關注它的下限。安全賽道的重要性很有可能還需要很長一段時間來等待行業來發掘。
3)社區相反意見對抗激烈
在 9 月 17 日結束的 FP-3 投票中顯示,大約有 51.03% 的 $FORT 被投到了反對票,導致了 FP-3 提案被拒絕。這在大型社區中並不常見,多數的投票都會以一方佔有 70% 以上票數結束。雖然這一定程度上反映了社區對於該項目的關注,但同時也表明社區不同意見的兩方利益衝突較大,這在一定程度上可能會阻礙項目進度以及發展。
參考文獻列表
Forta Network 官方資料
團隊 GitHub 主頁:https://github.com/forta-network
歷史大事件:https://twitter.com/FortaNetwork/status/1567591457531527170?s=20&t=LbAJO2Tv7TWOqtBibinhKQ
Forta 網絡數據統計:https://dune.com/Sector920/forta
Forta 社區提案:https://snapshot.org/#/forta.eth
SACTE:
A unique and irreplaceable institution dedicated to the emerging frontier of crypto.
No activity yet