去中心化交易所WhaleEx鲸交所智能合约——多重签名——安全层

声明：本文转载自币乎作者TVB

写在前面

2018年跑路的交易所不在少数。

交易所是数字货币交易的地方（有点废话），我们最关心的就是一个问题就是数字资产的安全问题。

也不整什么太煽动性的语言，TVB就从自己的理解上聊一聊。尽量就是用实实在在、最通俗、最朴实的语言来讲一讲这个鲸交所的安全性。

鲸交所

EOS主网在2018年上线了，在EOS公链上有很多项目在开发中，或者已经开发完成上线使用了。这些项目的通证也是需要流通的。

所以在EOS公链上落地了几个EOS的交易所，在这里只有EOS上的数字货币和通证。

鲸交所就是这样一个EOS公链上的去中心化交易所。

去中心化交易所

鲸交易所是一个去中心化交易所：

安全一：资产在链上

首先，我们的资产都是存在我们的EOS账号中：

image

在这里可以看见自己的EOS账号。然后到EOS区块浏览器中去搜索这个账户号里的资产。说白了，就是可以看见有哪些币，各种币具体有多少：

image

我们的资产是在EOS公链上的，只属于我们的EOS账号。这就是去中心化交易所的安全性所以，交易所跑了就跑了，币都还在自己的EOS账号中。所以去中心化交易所没有跑路的必要。

交易所中的交易，都是靠程序来摄合的。说白了，买方和卖方各出一个价，程序会找到价格匹配的双方进行交易的。

在中心交易所里呢，程序找到了双方以后，然后在交易所的数据中写入记录，买方A卖了某币XXX个，卖方B买了某币XXX个。

安全二：智能合约摄合交易

在鲸交所里呢，这个程序是智能合约。

智能合约的呢还是程序。不同的是：

第一，智能合约的代码是写在区块链上的，每个人都可以看到代码。

第二，智能合约的执行也是在区块链上，在交易时，智能合约的执行，会真的把XXX个某币从B的账号转到A的账号中。

鲸交易所的交易撮合就是通过智能合约来实现的。

智能合约的风险

智能合约的确很智能。可是，问题来了，智能合约的代码就保存在公链上，人人可以看见。这个人人，就包括你、我，也包括黑客……

攻击者就可以看到智能合约的代码，可以发现其中的代码问题或逻辑问题，然后可以利用这个问题对智能合约进行攻击。

虽然中心化的程序也存在风险，但是智能合约的风险相对更高一些，因为它是时刻曝光的状态。

多重签名

写了半天，终于进入了主题。

智能合约的安全问题，是一个必须要面对的问题。鲸交易所在这个问题也是下了不少的功夫。

鲸交所智能合约的安全保障是简单的说是多重签名机制，但事实上不止是多重签名。TVB觉得，鲸交易所智能合约是通过专业化审计+多重签名的形式。

TVB觉得如果把风险看成是脏东西，那鲸交易智能合约的安全保障就像是那个自来水的滤水器的滤芯：

第一重过滤——专业的代码审计：

鲸交易所的智能合约代码，要经过慢雾科技的专业化审计，如果鲸交所的智能合约有什么安全漏洞，首先就会被慢雾科技发现。

说到这里就要简单介绍一下慢雾科技，慢雾科学是一个专注区块链安全的公司：

image

以上来自慢雾科技官网哈，这个我偷个懒。

慢雾科技的的客户包括有imtoken、OKEX、火币、meetone、TrueUSD等很多我们熟悉的知名区块链项目与平台，所以这个公司在代码安全方面的专业性是非常权威的。

目前，目前在EOS天眼十大热门合约中，鲸交所是唯一一家经过审计合格并对核心合约代码开源的交易所。

第二重过滤——多重签名：

鲸交所智能合约的第二重安全过滤才是多重签名。

目前，有授权了以下8个节点参与了鲸交所智能合约的多重签名：

EOS Asia、EOSBeijing、EOS Bixin、EOS Cannon、MEET.ONE、EOS Laomao、EOSStore、JEDA。

由EOS主节点与鲸交所共同参与多重签名，鲸交所官方权限40，每个主节点权限2，而执行智能合约的权限最低需要权限42。

也就是说，至少有1家EOS主节点认可智能合约的改动，再加上鲸交所的签名，这个智能合约的改动才能执行。

安全三：代码安全审计——动态安全保障

实际上，鲸交所的智能合约在改动以后，代码和逻辑上存在漏洞，会被慢雾科技发行其中的问题，会提交报告给鲸交所官方，如果风险不达标，这个智能合约的改动是不能执行的。

而且，审计时，慢雾科技也会对代码中存在漏洞，提出一些建议。

即使是代码审计通过，慢雾科技也会提出意见，这些意见将在鲸交所未来的工作中进行完善。

所以说，这个代码安全审计可以成为鲸交所智能合约安全性的动态保障。它会促进鲸交所的智能合约不断地提高安全性，减少风险事件发生可能。

安全四：多重签名——EOS安全治理

虽然说慢雾科技在审计时，可以发现智能合约的漏洞。这是从编程安全的专业角度出发的。

但是，即使是安全的智能合约，也存在可能，被利益相关者利用。而多重签名，需要EOS主节点来参与。

首先来说，EOS主节点不乏技术大神，多个主节点可以共同对鲸交所智能合约的安全性进行检查 。

其次，EOS主节点可以从利益相关者的角度，去发现这个智能合约中是否存在一些危害EOS生态的问题，从而进一步保障鲸交所智能合约在EOS生态中的安全性。

代码安全了，同时，被相关利益者作恶的风险也极低。

写在最后

最后我想说，鲸交所是我非常看好的一个EOS交易所。

第一，他是真的去中心化交易所，不是伪装的哈哈哈。

第二，鲸交所智能合约的这个代码相要改动，就要经过慢雾科技对代码安全的专业审计，然后至少要由一名EOS主节点认可，才能执行。安全呀，选交易所，要选安全的。否则，挣再多钱，搞不好成了别人的钱哈哈哈哈。

无论是出于EOS生态安全的角度，还是用户数字资产的安全角度，鲸交所的考虑都非常全面。

第三，我还是那句话，问题就像身上的灰，总搓总有，何况还有新的灰尘沾到身上，重要的是一直搓！

鲸交所的发展速度非常快，他2018年底才上线，就可以实现智能合约撮合交易，很快就又把多重签名引入了智能合约的执行……非常勤奋地不停搓澡哈哈。

鲸交所这个专业审计+多重签名的机制，相当于许多专业搓澡工一起给智能合约搓澡，真的是能把鲸交所智能合约的风险搓干净了哈哈哈哈哈哈。