Quantstamp 是一种加密货币。它于 2017 年 9 月 17 日首次宣布，开发团队位于不列颠哥伦比亚省。截至 2017 年 12 月 28 日，流通供应量为 617,314,171 QSP。^[1]

什么是 Quantstamp？

Quantstamp 是一种智能合约的安全审计协议。作为一个 dapps 平台，以太坊已经一次又一次地证明了它的安全性。然而，以太坊之上的 dapps 和智能合约可能仍然存在漏洞，恶意玩家可能会对网络造成严重破坏。其中两个最著名的例子是 5500 万美元的 DAO 黑客攻击和 3000 万美元的 Parity 钱包漏洞。这些问题不仅影响了资金被盗的人，而且还降低了整个生态系统的可信度。^[2]

编写智能合约已经是一项艰巨的工作。像任何其他计算机编程一样，编写没有任何错误的代码几乎是不可能的。更糟糕的是，智能合约的编写速度（估计到年底为 1000 万个）超过了审计它们所需的资源。即使有强大的安全审计，一个小错误也可能会被忽略，从而在未来造成灾难。^[3]

Quantstamp 如何运作？

尽管该团队现在专注于以太坊 (ETH)，但他们正在以一种与平台无关的方式构建 Quantstamp 协议。这意味着它最终可以用于其他智能合约平台，如 Lisk 和 NEO。Quantstamp 协议采用双管齐下的安全审计方法：

1. 自动化软件验证系统。
2. 自动化赏金支付系统。

软件验证：

Quantstamp 的验证节点应用由贡献者提交的形式化方法的审计技术。这些技术包括安全检查，如具体符号测试、静态分析和符号执行，以及自动化推理工具，如 SAT 和 SMT。作为提交验证软件的奖励，贡献者（主要是安全专家）将获得 Quantstamp 协议 (QSP) 代币。^[1]

为了确保没有不良行为者提交恶意验证软件，必须根据治理机制（稍后会详细介绍）对贡献者进行投票。^[3]

运行验证节点需要大量的计算能力。因此，“验证者”也会因向网络提供计算能力而获得 QSP 支付。为了确保验证者不会恶意行事，他们必须质押他们的 QSP 代币才能获得奖励。^[2]

一个例子

作为一名开发人员，您想在以太坊上部署智能合约。考虑到您不想成为历史上损失数百万人资金的人，您需要对您的合约进行审计。为此，您可以将您的智能合约（源代码位于数据字段中）直接从您的钱包发送到 Quantstamp，并在交易中包含 QSP 代币。在下一个以太坊区块上，“验证者”执行安全检查。在他们达成共识后，他们会将审计证明和报告数据附加到下一个区块。^[1]

您可以选择您的安全报告是公开还是私有。

赏金支付

当您提交智能合约进行审计时，您还会包含一组用于赏金奖励的 QSP 代币，以及错误查找者可以提交问题的时间限制。赏金截止日期奖励金额由您决定。如果在截止日期过去后没有发现错误，QSP 赏金奖励将退还给您。^[3]

Quantstamp 不保证在此过程之后代码是完美的，但他们向用户保证，自动化测试和众包错误查找大大减少了问题。^[2]

协议治理：

QSP 代币持有者控制协议、验证智能合约和验证节点升级。治理模型使用时间锁定的多重签名，任何代币持有者都可以提出更改。更改获得的投票越多，发生的速度就越快。所有成员批准的更改会在一小时内发生。对于每 5% 的未投票成员，此时间会加倍，对于每 5% 的反对投票成员，此时间会增加四倍。^[1]

关怀证明：

Quantstamp 使用内部创建的“关怀证明”系统来奖励社区成员和忠实的 QSP 代币持有者。一旦您提交了您的证明，您将收到来自 Quantstamp 审计过的 ICO 的空投。此证明包括将您的代币保存在钱包（而不是交易所）中一段时间、为社交媒体推广做出贡献和/或任何其他社区活动。^[3]

Quantstamp 团队和进展

Quantstamp 团队由 22 名成员和顾问组成，拥有超过 500 次 Google Scholar 引用。Steven Stuart（CTO）和 Richard Ma（CEO）于 2017 年 6 月创立了该团队。Stuart 在加拿大国防部密码机构工作了 5 年，此前创立了 Many Trees，这是一家使用 GPU 进行大数据分析和机器学习的初创公司。Ma 在 Bitcoin HFT Fund 构建了生产级集成和验证测试软件。在那里工作期间，他的交易系统没有出现任何重大问题，并处理了数百万美元的投资资本。^[2]

自成立以来，Quantstamp 团队已经执行了四次半自动审计——其中一次是在战略合作伙伴 Request Network 上进行的。该团队还与滑铁卢大学合作，并获得了世界排名第一的初创公司加速器 Y Combinator 的支持。^[1]

在自动化智能合约审计方面，Quantstamp 是先行者。Bounty0xproject 正在提供一个类似于 Quantstamp 赏金奖励的赏金平台，但没有软件验证服务。Quantstamp 最接近的竞争对手是市场上已有的安全审计公司，如 ConsenSys Diligence。由于 Quantstamp 协议是自动化的，因此它应该比其手动竞争对手更好地扩展。^[1]