您当前的位置: 牛咯网 >   区块链 >   区块链知识 >   正文

深度 | 全面比较智能合约语言:Solidity仍是当前最佳选择

时间:2020-11-03 17:43:58 编辑:牛牛 来源: 浏览:96次

本文译者:币友_Anthony,首发于巴比特资讯

原文地址:https://www.researchgate.net/publication/344501038_Smart_Contract_Languages_A_Thorough_Comparison

年中时, IOSG博文有提到过,将会在形式化验证(Formal Verification)方向做一些布局。形式化验证是什么?

而前不久,Algorand发布的 smart contract language 不是图灵完备的。智能合约开发语言图灵完备重不重要?

突然,我发现不仅要对Solidity智能合约开发语言里函数有所了解,更需要了解整个智能合约开发语言生态全景。

本文就智能合约语言作一个比较,除了Solidity外,还有很多其它不为我们所熟知的智能合约语言 如Vyper、Mandala和Obsidian等在不同方向改善智能合约的编写。

然而,就像我们通常只记得第一名一样,目前开发者主要也是集中于使用Solidity进行开发,虽然可能不会是最好的.

智能合约语言,还是一个很早阶段,未来会是一个什么样的情况呢?值得我们畅想。

近年来,智能合约的发展越来越受欢迎。然而,这导致它成了恶意势力的新攻击对象。最近对智能合约的一些攻击已造成数千万美元的损失。由于智能合约本质上是不可变的,因此需要考虑新的方法来缓解这些攻击。检测软件缺陷的一种方法是使用静态代码分析工具。另一种方法是开发新的智能合约特定编程语言,通过设计,抑制已部署代码中某些类别的漏洞。像Solidity和Vyper这样的流行的智能合约语言正在迅速发展,但是研究人员也在用一些不太知名的语言来寻找新奇的改善灵感。

本文,我们将探讨智能合约语言设计的现状,并比较这些语言及其对智能合约发展的适用性。将特别关注这些语言如何解决智能合约开发中固有的安全问题。

智能合约的想法从上世纪90年代就已经出现了,但直到2009年区块链的出现,它们才得以实现。智能合约可以在不信任的环境中执行可信任的代码。这意味着参与者(用户、计算机应用程序和其他智能合约)可以确保智能合约已经执行,结果是合约执行情况的准确表示,而无需信任执行者或智能合约开发者。这完全是通过在分布式去中心化、全局和透明的区块链上托管智能合约来实现的。这种新的开发环境支持一种全新的应用程序,即去中心化应用程序(dApp),但给智能合约的开发者带来了一系列新的挑战。

因为智能合约部署在区块链上,所以每个人都可以查看它们的源代码。区块链也是不可变的,智能合约的含义是,一旦智能合约被部署,就不能在更改。开发人员必须确保他们正在部署的代码是正确的并且没有bug。因此,需要新的语言来满足这种新环境的具体需求。智能合约中的漏洞可能代价高昂,不仅是在安全漏洞方面,而且在实际资金方面也是如此,因为智能合约通常管理加密货币的持有和分发。

本文的其余部分安排如下:在第二节中,我们将介绍智能合约的背景和一些安全问题,在第三节中我们将讨论相关的工作,在第四节中我们将回顾当前的智能合约开发语言,在第五节中我们将讨论和比较这些语言,在第六节我们总结。

智能合约的概念最早由Nick Szabo在1996年提出[1]。直到2015年开发以太坊平台,开发真正的智能合约才变得可行。智能合约是一种自动执行的计算机应用程序,它执行合约时不需要来自第三方的验证。这意味着交易双方不需要相互信任就能进行交易。

以太坊是最受欢迎的智能合约平台[2]。它提供了一个称为以太坊虚拟机(EVM)的执行环境,它是一种基于堆栈的、图灵完备的语言。它类似于汇编,为离散操作提供操作码。因为它是图灵完备停止问题适用和执行可以永远运行。为了防止这种情况,为了执行智能合约,调用者向矿工支付费用。这被称为气体,以以太坊网络的货币支付,称为以太(ETH)。每笔交易都有一个最大的天然气成本。因此,如果一个事务试图执行比gas所允许的更多的操作,则抛出异常并回滚事务。

智能合约容易受到传统软件部署不易受到的特定安全漏洞类别的攻击。其中包括重入、锁定以太、未处理的异常和事务顺序依赖[3]。以太坊网络上最臭名昭著的安全漏洞之一是利用名为TheDAO的智能合约的重入漏洞[4]。攻击者使用另一个智能合约对DAO智能合约进行递归调用,捐失金额为5000万美元的ETH。

研究人员开发了多种方法来减轻这些漏洞。一种方法是使用静态分析工具,如Oyente[5],在编译字节码之后对其进行分析,以确定它是否包含任何缺陷。Perez等人回顾了分析智能合约的现有工具,发现这些工具检测特定漏洞的能力存在较低的重叠率[3]。例如,在分析774份合同中的重入缺陷时,Oyente和Securify[6](另一个静态分析工具)只有23.9%的合约重叠。在实践中,这意味着开发人员将无法依赖单一工具来一致地发现其应用程序中的漏洞实例。

另一种方法是开发新的智能合约语言,使编写具有已知漏洞的代码变得困难或不可能。除了solidity,还有其他智能合约编程语言,其中包括 Vyper[7]、Mandala[8]和Obsidian[9]。每种语言都采用不同的方法来改进现有的工具。在本文的其余部分,我们将分析智能合约语言,并比较它们减轻漏洞的方法。

Parizi等人[10]分析和比较三种不同区块链的三种不同语言。它们包括以太坊的Solidity,Kadena区块链的Pact,以及Tezos区块链的Liquidity。然后,他们进行了一个实验,招募开发人员学习这些语言,并实施了三个智能合约,以确定这些语言在新开发人员的可用性方面如何叠加。Solidity被认为是最容易学习的语言。另一方面,他们在以Pact和Liquidity编写的智能合约中没有发现已知的安全漏洞,而在以Solidity编写的智能合约中却发现了重入和拒绝服务漏洞。

Harz和Knottenbelt[11]研究智能合约语言和形式化验证方法。它们考虑每种语言的范式、语义、安全关注点、指令集和度量属性。他们还回顾了其中一些语言的形式化验证工具,并描述了这些工具如何很好地检测智能合约中的漏洞。他们指出,语言的设计会对验证工具的有效性产生影响。

Jansen等人 问了一个问题,智能合约语言是否需要图灵完备。他们分析了以太坊区块链上部署的智能合约,发现只有35.3%的合约使用while循环、for循环或递归。他们的结论是,非图灵完备语言对于智能合约开发的大多数场景都是有效的。

智能合约语言的开发仍处于早期研究阶段。少数语言已经很少被使用了。其他的,如Mandala[8]和Obsidian[9],仍处于概念化和实现阶段。在这项研究中,我们考虑了可以被视为死亡了的语言、正在被开发的语言和正在被创造的语言。表中我展示了这里考虑的所有语言和一些相关的细节。

免责声明:本网部分内容为网络转载,非牛咯网的作品,并不代表本网赞同其观点和对其真实性负责。只为传播网络信息为目的,若有任何不当请联系我们,将会在24小时内删除。

为您推荐

  • 期货
  • 外汇
  • 股票
  • 基金
  • 期权
  • 保险
  • 黄金
  • 信托
  • 银行
  • 区块链
  • 债券
  • 理财
  • 娱乐
  • 体育
  • 汽车
  • 热点新闻

友情链接

股票配资 股票大盘 股票入门基础知识 558财经网 股票学习网 股票网 牛股庄 股票配资

暂无