Zeppelin：用于区块链应用的开源安全智能合约架构

摘要：开源项目Zeppelin作为一个旨在自动化执行任务和协议的智能合约架构，其目标是提供一个用于审核代码并确保代码安全的社区驱动框架。鉴于以太坊是最广为使用的智能合约开发平台，Zeppelin项目在初期是侧重于为Solidity语言构建工具。在近期发布的Zeppelin路线图建议中，给出了对期望功能模块的具体描述。

作者：Jeevak Kasarkod

正文：

9月15日，Zeppelin的路线图建议发布。Zeppelin是一种构建安全智能合约的开源架构，遵循MIT许可。该建议的推出正是时候，从DevCon2大会上围绕着智能合约形式验证的报告和讨论的次数上就可以证实这一点。

智能合约解决方案的创建者Demian Brener和Manuel Aráoz是Zeppelin相关工作的先行者。Zeppelin是一个社区驱动项目，目的在于实现安全的、经测试的且经审计的智能合约代码开发。到目前为止最大规模的智能合约应用“DAO”，在今年早期由于在其智能合约中所存在的一个漏洞而被攻击，造成了六千万美元的损失。这个事件说明了社区中的许多关注是合理的，这将形式验证问题置于了一个重要位置。

鉴于以太坊是最广为使用的智能合约开发平台，Zeppelin项目在初期是侧重于为Solidity语言构建工具。在发布的建议中，Brener提及将为Solidity语言构建下列的模块：

• 拉动式支付（Pull payment）辅助模块：使用拉动式支付（起名源于其工作方式与需要发送操作的推动式支付相反）策略可避免许多的安全问题（包括臭名昭著的“DAO被破解”事件）。我们已经具有了简易的PullPaymentCapable.sol合约，但是仍需要更全面的工具、文档和实例。
• 合约生命周期工具：当前在没有过多考虑未来将会发生什么的情况下，大部分的合约就被部署到区块链中。我们需要构建能更好地去管理合约终结策略、合约属主转变、合约暂停及恢复、合约升级等的工具。
• 容错和自动挑错奖励：其中包括对漏洞的自动检测、从不一致状态恢复的工具、限定合约所管理资金规模的简易工具。我们也在致力于漏洞奖励合约，并期望去改进该合约，这样可实现自动去支付可攻破我们合约固定部分的安全研究者。
• 可重用的基础组件：对于每个新的项目，其中的一些通用模块依然是需要从零开发重新实现。我们希望能为代币发行、众筹、表决、投注、工资单、收益共享等构建标准的合约。
• 探究形式验证理念：合约的形式验证是一个活跃的研究领域。将这些研究工作成果集成到Zeppelin中，可为合约提供有意思的安全保障。形式验证意味着对合约代码做静态分析，以形式上验证合约的正确性以及存在的问题。
• 与oracle更好的接口：如何与离区块链数据源进行交互是智能合约发展中的一个重要部分。其中一个值得去探究的有意思想法就是做反向控制。这种方式中，oracle通过通用接口方法调用合约（用于在Truth外进行通信），并按所需去实现oracle逻辑，其中包括了值得信赖的专家、关闭的投票、开放投票、API包装器等。这样并非是合约从oracle请求数据，而是在数据发生了改变时由oracle去通知合约。
• 更好的重用代码工具：当前Solidity的代码重用是基于拷贝-复制的，或是通过从其它的代码库中下载已有的代码。一个成熟的生态系统应具有好的代码库管理系统，就像NodeJS的npm和Ruby的gems这样。对已部署到区块链中代码重用的可能性，构成了以太坊的一个有意思的变体。我们正规划去构建实现将合约轻易链接到已部署的程序库上的工具。

这些功能模块的设计都是基于通用合约安全模式的。Zeppelin是与以太坊开发者所使用的首要构建架构Truffle相集成的。先期采用者可在Zeppelin开发者协作群组（Slack channel)上提问并追踪进度，也可在BlockParty项目中学习如何使用Zeppelin。首个公共发布版本计划在11月发布，该发布将伴以基于Zeppelin构建的真正的DAO项目。

Zeppelin意图在将来支持更多的区块链平台，其中包括Bitcoin、Tendermint、Bloq Ora等。

查看英文原文：Zeppelin: a Secure Smart Contracts Open-Source Framework for Blockchain Applications