本文由“Fairyproof Tech”原創,授權“金色財經”獨家首發,轉載請注明出處。
一個數字貨幣、去中心化應用或服務(DAPP)和所有的商品一樣都有它的用戶,因此用戶對它也有一個最基本、最底線的要求----那就是質量要過關。和傳統商品一樣,數字貨幣、DAPP的質量如何不能自說自話,還需要用戶或第三方機構對其進行檢測。但和普通商品不同的是,這個商品一旦被用了,發現質量不行退貨都沒用,因為它可能已經對用戶造成了經濟上的損失。所以在區塊鏈領域,對DAPP質量的檢測就必須交給第三方審計機構在產品正式上線前先嚴格把關。而這個嚴格把關的檢測過程最后所形成的結果就是我們常說的智能合約的審計報告。
一份智能合約的審計報告對審計機構來說相當于一本書的讀后感,這本“書”是一套智能合約的源代碼;而對讀者尤其是合約的使用者來說又相當于一份“質量檢測報告”。
百度Apollo首發 “Apollo 001”系列紀念數字藏品:金色財經報道,據百度Apollo智能駕駛官方公眾號,百度Apollo全網首發首款 “Apollo 001”系列紀念數字藏品,以百度汽車機器人為主體形象,每款對應一個百度Apollo自動駕駛重要里程碑事件。據悉,該數字藏品將于2022年7月8日 09:55發布汽車機器人家族全家福空投款。[2022/7/7 1:58:19]
審計報告的這種雙重角色決定了它的作用就像是用戶和DAPP之間的一個橋梁,這個橋梁的制造者就是審計公司。這個橋造得好不好一方面決定了用戶能不能很好、很準確地把握這個DAPP的質量,放心地使用它;另一方面也決定了這個DAPP能不能走向更廣大的用戶,達到它的理想市場狀況。
首發 | 火幣集團全球業務副總裁:監管將決定區塊鏈技術和加密貨幣的落地速度:1月21日,火幣集團全球業務副總裁Ciara Sun在達沃斯世界經濟論壇上表示,對區塊鏈和數字貨幣的監管態度,2019年是重要的一年。在美國,到2019年底,針對加密貨幣和區塊鏈政策有21項法案,這些法案包括稅收問題,監管結構,跟蹤功能和ETF批準,哪些聯邦機構監管數字資產等。歐盟(EU)在2020年1月10日實施了一項新法律,要求加密貨幣平臺采取更嚴格的反洗錢做法。瑞士,日本,立陶宛,馬耳他和墨西哥通過法律,要求交易所必須根據KYC和AML準則獲得許可。中國,土耳其,泰國等國家正在計劃自己的中央銀行數字貨幣(CBDC)。而監管將決定區塊鏈技術和加密貨幣的落地速度。[2020/1/22]
所以一份審計報告一定要極盡所能的客觀公正,如實反映審計機構看到的合約的真實“質量”,并羅列出所有的問題。
首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊,近日,DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞,攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息,嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件,DVP安全團隊在收到該漏洞后,第一時間通知該平臺進行修復,但未收到回應。DVP提醒相關用戶關注個人信息安全,以免造成損失。[2019/8/13]
審計公司除了要把被審計合約的“讀后感”完整、真實地展現出來,還要想想怎么能讓讀者尤其是絕大多數非專業領域的讀者更容易地讀懂這份報告、很準確地把握這份報告的精髓和精華。
所以一份審計報告還要盡可能地讓讀者讀得懂、抓到重點、讀到精華。
既然一份報告既要客觀公正、準確詳實,又要通俗易懂、清晰明了,所以我們在寫一份審計報告時采取了提綱挈領、層層展開的方式。
首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》,經金色財經查證,游戲中玩家達到22級將會接觸到專屬貓的玩法,而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外,游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售,也無法進入市場與其他玩家配對;但是你可以使用這些貓與你的QQ/微信好友進行配對,產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后,這些貓就可以進入市場,通過配對賺取點券,或者出售賺取點券。專屬貓是否上鏈,并不影響它的增益效果。但只有上鏈后,它才能面對全服務器所有的玩家進行繁殖、交易。
?
《一起來捉妖》中的專屬貓玩法,基于騰訊區塊鏈技術,游戲中的虛擬數字資產得到有效保護。此外,基于騰訊區塊鏈技術,貓也可以自由繁殖,并且運用區塊鏈技術存儲、永不消失。[2019/4/11]
所謂的提綱挈領就是用最簡單最概括性的語言把讀者最關注的重點和痛點首先寫出來,讓讀者直接從這部分內容看到整篇報告最重要、最精華的部分。所謂的層層展開就是讓讀者在讀完這部分內容后,如果還想更進一步了解審計機構的審計詳情以及被審計合約的詳細細節則可以隨著后續的章節一步步展開,進一步閱讀,進一步深入。
IMEOS首發 BM表示EOS合約具有整數溢出保護:據金色財經合作媒體IMEOS報道:近日ETH出現多個ERC20智能合約的處理溢出錯誤,BM在推特上發表評論:新的ETH契約Bug可能會破壞整個Token的供應,讓持有者留下無價值Token.這就算為什么代碼不能成為法律,隨即表示EOS erc合約不容易受到這種攻擊。而EOS官方群也有人表示擔憂EOS是否具有整數溢出保護?BM回應:有很多C ++模板類可以封裝類型并檢查溢出。[2018/4/25]
基于這個思路,我們對一份審計報告的內容布局就有了如下的安排:
我們的審計報告通常包含12章內容。
我們首先就會在第一章介紹所審計的合約文件,包括文件名、文件所能被公開查詢、訪問的位置、對文件內容的存證標識(這種標識保證了文件內容的唯一性)、審計機構的審計方式及流程、審計機構審計時所依賴的客觀材料及這些材料的出處、本審計報告的責任聲明、本次審計的最終結論(即被審計合約是否存在風險、風險的數量及等級)。
對于絕大多數讀者而言,當他只關注被審計合約的最終質量和風險評估時,他可以只看這一章內容,而略掉后續章節。這一章也可以說是我們審計報告的精華和重點。
接下來的章節則主要就是對審計過程和更多審計細節的披露和展開。
我們會在第二章介紹我們的公司、官網、背景、業務范圍等。
第三章介紹被審計項目的應用及服務。
第四章介紹本審計報告所審計的合約的主要功能。
第四章和第三章是相輔相成缺一不可的。對于第三章很多讀者能夠理解它的存在必要,但對第四章,有些讀者不理解。實際上在我們所審計的一些項目中,存在這樣的問題:項目方所開發的項目是個龐大的應用,它涉及諸多功能,而項目方給我們所審計的合約僅僅只是這諸多功能中的一個或幾個。
舉個例子:通常一個去中心化交易所,它有通證交易的功能、提供流動性的功能、發行治理代幣及分發治理代幣的功能等。而則個交易所的項目方可能只給審計機構審查了提供流動性的功能和發行治理代幣的的功能。
所以第四章是對第三章的進一步說明和對審計范圍的進一步細化。
第五章介紹了審計機構在本次審計過程中具體做了什么工作。
第六章介紹了審計機構在審計過程中可能涉及審查的風險種類。
第七章介紹了審計機構對每一個羅列的風險進行的等級評定。這些等級通常分為:致命風險(這是必須要立刻解決的)、高危風險(這是必須盡快解決的)、中度風險(這是由于條件限制暫時無法立刻解決,但最終還是要解決的)和低風險(這是建議要解決的)。
第八章介紹了審計機構在全面閱讀了項目代碼后根據項目的應用場景和功能特別關注的可能產生風險的領域和功能。
第九章羅列了根據風險等級,每個等級中審計機構所發現的風險數量。
第十章羅列了根據合約文件,每個文件中審計機構所發現的風險數量。
第十一章是第十章的細化,在第十章的基礎上對每個風險,詳細描述了這個風險的名稱、等級、產生的位置、風險描述、審計機構給出的修改建議以及項目方對此風險的回應(是否知曉,是否修改或是否有計劃修改等)。
第十二章是在第十一章的基礎上對項目方的進一步建議。這一章所羅列的不是風險,也不是項目方必須修改的問題,而是為了讓代碼有更好的可維護性、可讀性、可擴展性、抗風險性等特點審計機構額外提出的一些完善建議和質量提升建議。對此,項目方可采納也可不采納。
至此,一份審計報告就完成了。
作者:
Fairyproof TechCEO 譚粵飛
美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程(Industrial Engineering) 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc(San Jose, CA, USA) 軟件工程師,負責半導體設備程序的開發、負責與公司關鍵客戶---臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學 《區塊鏈概論》 課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事 。擁有4項區塊鏈相關專利四項。
關于Fairyproof Tech:
Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月,團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。
團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569 被以太坊團隊正式收入。
團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目, 并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。
審計報告:https://github.com/armors/armors_audits/blob/main/LambSwap_audit.pdfLambSwap (lambswap.
1900/1/1 0:00:00日本再次向世界展示了其在娛樂 IP 領域蘊藏的強大能量。日本歷史悠久且規模最大的電影公司東寶株式會社,進入區塊鏈 NFT 的首個動作就一鳴驚人,直接動用旗下的爆款 IP,也是日本最知名且最有分量.
1900/1/1 0:00:00當公共利益平行鏈啟動時,Polkadot和Kusama的用戶將從與Tether穩定幣USDT的直接集成中受益。周二,Tether宣布,USDT將在Polkadot和其兄弟網絡Kusama上推出.
1900/1/1 0:00:00眾所周知,幣圈朋友銀行賬戶常因不明原因被機關凍結。由于機關往往不會主動聯絡銀行賬戶的所有人(除非有明顯且重大的犯罪嫌疑),被凍賬戶的朋友在一頭霧水的同時,亦不知法律上的救濟渠道.
1900/1/1 0:00:00NFT在2021年迎來了其爆發式的發展,從基礎設施、到去中心化域名、再到交易市場、逐步涉及到虛擬市場、游戲場所、DeFi+NFT、收藏品等方面,可以說現階段NFT 生態已經初具規模.
1900/1/1 0:00:00加密貨幣網絡發展的這幾年,以擴容為特點的項目有很多,不過能作為“標志性解決方案”的并不多,例如以太坊2.0的同構分片,波卡構建的異構分片,Plasma的側鏈.
1900/1/1 0:00:00