Amrit Kumar博士：Zilliqa联合创始人谈智能合约安全，dApp使用，功能性编程语言

 
我们最近遇到了Zilliqa的总裁兼首席科学官Amrit Kumar博士。Zilliqa是一个高吞吐量的区块链平台，最近宣布与专注于增强区块链安全性的公司ChainSecurity进行合作。
新加坡大学的研究员Kumar讨论了与改善智能合约安全性相关的最佳实践。他还解释了Zillqa如何计划开发安全扫描程序和静态分析框架。
BitcoinExchangeGuide：向我们详细介绍Zilliqa团队与ChainSecurity合作之后计划开发的静态分析框架和安全扫描程序。
Amrit Kumar博士：“通过我们500万美元的Zilliqa生态系统拨款计划提供的资金，我们与ChainSecurity的合作证明了Zilliqa在协议和应用程序级别对安全性的承诺。
在下一阶段的增长中，随着我们的网络不断成熟，至关重要的是，我们必须为开发人员和用户提供更好的安全工具和资源。
两项主要目标强调了这一倡议：
1)通过努力减少开发人员可能遇到的漏洞和利用的数量来提高基于Scilla的智能合约的安全性;
2)通过提供更大的安全保证来促进基于Scilla的智能合约的采用。
ChainSecurity的安全扫描程序将使开发人员能够识别通用安全漏洞以及由于不良编码实践而引起的设计问题。这些问题包括不安全的交易目标，锁定的ZIL(无法从合同中撤回ZIL)，不受限制的ZIL流程(其中进行ZIL转移而没有进行适当的检查)，交易订单相关性以及缺少输入验证，不受限制的存储写入等
另一方面，可扩展的静态分析框架将使开发人员可以检查由安全扫描程序标识的属性。该框架支持验证非平凡的安全属性所需的关键先决条件，例如最新的控制流，数据流，信息流和静态污点分析。该框架将用于对扫描程序中所有已识别的漏洞进行编码。通过设计扩展，开发人员和用户将能够随时间轻松添加更多相关的安全检查和漏洞模式，从而建立智能合约开发的最佳实践。
BitcoinExchangeGuide：
请说明您打算如何建立最佳实践以确保智能合约安全。
Amrit Kumar博士：“作为一个团队，我们始终将安全性放在我们的区块链平台和按设计安全的智能合约语言Scilla的核心位置。早期，我们积极选择了第1层(链上)扩展解决方案，以确保网络可由区块链本身保护。此外，Scilla的开发(在下面有关Scilla的更多详细信息)将安全放在首位，最终使我们在行业中与众不同。
保持公共区块链的弹性对于确保开发人员可以构建其产品并维护其数据的完整性至关重要。
这部分是为了持续监视最新的安全风险，提供新的修复程序以及在能够抵御任何威胁的技术基础架构中实施防御性工具。我们遵循严格的流程，以确保达到最高的安全标准：
实施定期的，定期的修复，改进和升级：我们的平台和语言团队采用的协议是在合并之前先对代码进行同行评审。在版本管理上，我们采用语义版本控制(https://semver.org/)，其中版本分为主要版本，次要版本和补丁版本。这使我们能够系统，及时地推出新版本。
将测试和高质量编码作为优先事项：严格的测试是我们开发实践的核心部分。每个错误修复和功能实现均经过独立测试，并进行了端到端集成测试以检查回归。为了达到较高的代码质量标准，我们在军械库中使用了各种工具，并一直致力于采用良好的编码实践。首先，我们的开发基础结构确保我们解决编译器报告的所有警告和错误。我们还使用各种静态分析工具来诊断和修复问题，例如样式冲突，接口滥用和其他错误。
开发人员工具：除了我们的基本编辑工具(例如Emacs和Vim的Scilla模式(以及VS Code的社区贡献插件))之外，这些工具还将scilla-checker集成到集成开发环境(IDE)中，从开发阶段就可以确保安全性，我们目前正在努力建立一套参考合同，以及Scilla风格指南以及设计模式和反模式指南，以确保开发人员采用最佳实践设计以避免设计缺陷。
定期安全审核：自成立以来，我们一直与各种专业的安全审核团队合作，包括行业领先的网络安全和渗透测试公司，如Cure53，Kudelski Group以及NCC Group。此类审核可从安全角度独立审查我们的实施情况。通过这些活动，我们收到了有关如何最好地增强我们的平台以及减轻潜在攻击和漏洞的宝贵建议和反馈。
错误赏金计划：优先考虑安全性也是一项社区工作，其范围超出了我们的核心技术团队。随着时间的流逝，我们发现通过漏洞赏金计划进行的众包安全非常有益。过去，我们使用Bugcrowd等平台来帮助我们管理漏洞赏金。我们还允许对任何已识别的漏洞进行协调披露，这使安全研究人员有机会协调对该漏洞的公开披露。这可以为社区提供有关安全性问题的有用见解。”
BitcoinExchangeGuide：诸如LISP之类的函数式编程语言是几十年前创建的。卡尔达诺的开发人员还使用一种称为Haskell的功能编程语言。请告诉我们您认为Scilla(也是一种功能编程语言)和其他类似的编码语言对于启用智能合约的区块链网络的长期发展和安全性有多重要?
Amrit Kumar博士：“我们今天看到的许多错误是由DAO或Parity钱包黑客等重大事件引起的，在这些情况下，编码错误和漏洞并不是智能合约所独有的。实际上，他们指出了当今我们编程语言中更大的语言不足。
在Zilliqa，我们开发Scilla的决定是出于对语言级别更高安全性保证的需求。通过编码准则和参数，我们可以确保不再犯这种编码错误。借助Scilla，我们可以确保我们的语言在特定于合同的计算(数学和状态更改)与整个区块链范围的交互之间进行清晰的区分，这有助于为潜在的合同构成和不变量提供合理的推理机制。
我们尽力创建一种语言，以期在表达性，安全性和易处理性之间取得良好的平衡。尽管Scilla只是当今行业中许多功能性编程风格语言中的一种，但我们希望按设计安全框架的益处在未来几年中只会继续对开发人员和用户一样明显。
话虽如此，一种语言仅与其所伴随的工具和资源一样好，并且可以进行不断的改进和审核。我们最近与ChainSecurity的合作伙伴关系建立在这种方法的基础上，允许开发人员利用从一开始就优先考虑安全性的语言，同时为他们提供减轻复杂性增加的安全风险和攻击的工具。”
BitcoinExchangeGuide：
Zillqa平台旨在提供哪些主要产品和服务?
Amrit Kumar博士：“我们重视安全性，因此我们将Zilliqa打造为对高价值交易需要高度安全性的企业的可行选择。但是，由于Zilliqa是一个开放的公共区块链平台，因此对我们的网络可以构建的内容没有任何限制。迄今为止，Zilliqa上的许多用例来自各个领域，包括金融，支付，数字广告和游戏。
迄今为止，我们在游戏行业中已有数个现有的合作伙伴关系。著名的基于以太坊的加密收藏游戏Etheremon的创始人EMONT Alliance最近在Zilliqa上发布了他们的新游戏，名为Ocean Rumble。 rypto今年夏天初在我们的主网上还发布了一款名为SuperPlayer的游戏。随之而来的是去中心化应用程序(Dapp)浏览器，Zilliqa Planet和不可替代令牌(NFT)市场。
我们还于2019年1月宣布了Hg Exchange，这是我们进入金融服务行业的大门，该交易所是与新加坡私人投资平台Fundnel和数字资产交易平台MaiCoin的合资企业。 Hg Exchange有望成为东南亚第一个由会员驱动的交易所，并将使初创公司的创始人和员工能够通过其股票获利，而现在不再受制于长期的禁售期。
另一方面，投资者将能够获得有前途的高增长风险企业。发布公告后，我们集体向新加坡金融科技监管局金融管理局提交了申请，正在等待批准。
除此之外，我们于今年夏天初与新加坡金融科技支付提供商Xfers建立了首个与支付相关的合作伙伴关系，以将区块链支持的支付解决方案带给该地区超过500,000个企业合作伙伴和用户。 Xfers被新加坡金融管理局认可为广泛接受的储值融资工具(WA SVF)，是首家获得该认可的金融科技初创公司。这种伙伴关系还有助于开拓b商务概念，该概念解决了对可以轻松且无缝地集成到现有金融基础架构中的区块链解决方案的需求。
最后，我们将继续在Proton项目的基础上继续发展。 Project Proton是与全球媒体和营销服务公司Mindshare，Mediamath，Rubicon和Integral Ad Science建立的程序化广告联盟。在2019年3月，我们成功完成了以百事可乐智能合约为动力的东南亚战役。
通过我们的智能合约，我们能够使用我们的本机联盟令牌(NAT)几乎实时地协调从多个数据源获得的广告印象。借助智能合约，可以显着减少广告欺诈和流程效率低下所引起的额外支出，从而确保广告客户只需要为已被确认为可见，品牌安全且无广告欺诈的展示次数付费。我们的百事可乐活动的结果显示，可见展示的成本效益提高了28%。
上个月，我们的姊妹公司Aqilliz正式成立。区块链解决方案提供商Aqilliz希望为分散的营销技术生态系统恢复透明度，公平性和成本效益。随着Zilliqa作为其技术基础设施提供商，Aqilliz希望在我们与他们合作构建针对数字供应链不同领域的解决方案的同时，使更多的企业采用我们的平台。 Aqilliz的诞生源于我们与Proton项目的合作，并将继续从我们从第一次竞选中获得的宝贵经验中汲取经验。”
BitcoinExchangeGuide：
去中心化应用程序的主要(合法)用例是什么(根据您的经验)?
Amrit Kumar博士：“如今，在新的’代币经济’上构建的应用程序不乏不足。这些应用程序提供的服务可以改变行业的运作方式，从而提高透明度，安全性和数据合法性。无论是在金融服务，医疗保健，安全管理还是治理方面，只要成功实施，这些应用程序就可以证明区块链不仅是解决问题的解决方案，而且实际上是技术和创新的一步。
通过使用抵押品(由Compound，InstaDapp和MakerDAO完成)和预测市场来进行贷款是一些特定的用例领域，这些领域为取得具体进展定下了基调，我个人非常希望看到其发展。 Zilliqa致力于开发此类有前途的dapp，致力于通过为开发人员提供工具，指南和孵化选项来支持开发人员，以促进创新和高级构建。毫无疑问，这将推动区块链技术的应用再上一个新台阶。”