QuantStamp：一個可以推動 ICO募資走向主流的新嘗試

最近無意中發現一隻ICO，叫做QuantStamp。先撇開它的融資目的，這個項目最令人印象深刻的大概是CEO所採取的口碑營銷策略。按CEO自己的說法，這個機制叫作Proof-Of-Caring。投資者如果想參與預售的話，必須先掌握項目的基本資料，並用自己的方式把項目介紹給更多人。直接套用Telegram群組管理員的文字：

Only those that show they actually care about the project get to buy in. We don't want a bunch of pump and dumpers. We want real people who care.

具體要怎麼做，全憑個人的想像力，譬如上傳Youtube、Steemit發文等等。

接下來談一談項目本身。從事資訊科技的朋友相信對代碼審計並不感到陌生。 隨着ICO這個募資渠道的崛起，其中一個應運而生的行業就是智能合約的安全審計(smart contract security audit)。 所謂智能合約就是募資的組織賴以整合投資者金流的工具。當代幣發行者在以太坊的區塊鏈上發佈智能合約，參與者便可藉着呼叫該智能合約把資金傳送到發行者的合約地址。

可以想像，如果智能合約代碼存在漏洞，不論是刻意為之或無心之失，投資者把款項傳到相關地址必然要承受巨大風險。而最廣為人知的以太坊被盜事件 - 發生於2016年的The DAO，正正是駭客瞅準了合約的漏洞成功提取了約5000萬美元的以太幣。

前車可鑑，現時越來越多的ICO項目在發佈智能合約前均會聘請專業的代碼審計團隊來完善智能合同。當中比較著名的團隊有：

ConsenSys Diligence
Zeppelin Solutions
New Alchemy
Hosho Group

我沒有找到多少關於這些服務的收費，但根據一些網上的道聽塗說，動輒要花超過二萬美元 (https://www.reddit.com/r/ethdev/comments/6pdgvd/how_much_does_a_smart_contract_audit_cost/)，大牌的公司還不只這數目。

說到這裡，終於可以進入正題。QuantStamp的宗旨，不單是提供代碼審計服務，而是乾脆建立一個平台，利用群眾的力量來發掘智能合約中存在的保安漏洞。就算你不懂得編程，不知智能合約為何物，只要你把電腦連到QuantStamp的網絡，成為一個節點 (node)，就可以對QuantStamp網絡上的智能合約進行審計運算，原理跟挖比特幣的工作量證明機制 (Proof of Work) 一樣。然而，總有自動審計系統無法察覺的漏洞。因此QuantStamp還設有一個懸賞機制 (bounty)，平台的用家可以利誘白帽或黑帽駭客來發掘並修正這些漏洞。

目前市面上也不是沒有類似的智能合約審計平台，Solidified就是一個例子 (Solidified.io)。QuantStamp的獨特定位在於它是一個半自動的平台，同時結合自動運算和人手操作的方式，可擴展的空間大大提升。

其實我解釋得非常片面，想更深入了解此項目建議可從下面的英文文章入手。