獨家 | 審計報告怎么記錄審計文件的存證? 又該如何去審讀_ITH:數字貨幣

本文由“Fairyproof Tech”原創，授權“金色財經”獨家首發，轉載請注明出處。

 一份審計報告是對一套智能合約的“質量檢測報告”，那報告就要告訴用戶所審計的對象是誰。

 和普通的有形商品不同，智能合約這種特殊的商品是摸不著的，那怎么才能讓用戶知道它呢？

 區塊鏈領域的絕大多數項目包括鼎鼎大名的比特幣和以太坊都有一個共同的特點：它們的源代碼都是”開源”的。所謂的“開源”就是它們的代碼都是公開的，放在某個公開、所有人都可以訪問的網站上，任何人都可以看到它的內容。

 我們所審計的智能合約絕大多數也是這樣，它們都是開源的，放在一些知名的、供所有人存放文件的網站比如github等。

 如果我們所審計的智能合約是開源并且放在了github上，我們要讓用戶知道它、看到它的源代碼，就會在審計報告中列出合約所存放的github的網址。這就好比一件商品存進了一個大倉庫，存在倉庫中的某個庫房，我們要讓用戶能找到這件商品就要告訴用戶倉庫的地址和庫房的門牌號碼。存放合約的github網址就等于倉庫地址+門牌號碼。

獨家 | BTC24小時資金凈流出34.68億元:根據AICoin數據顯示，24小時資金凈流入排名中TRX排名第一， 24小時凈流入2.33億元人民幣；ROAD24小時資金凈流入排名第二，24小時凈流入1.64億元人民幣;SEELE24小時金凈流入排名第三，24小時凈流入1.64億元人民幣。NEO24小時資金凈流入排名第四，24小時資金凈流入1.23億元人民幣；PX24小時資金凈流入排名第五，24小時資金凈流入1.23億元人民幣。BTC24小時資金凈流出34.68億元人民幣。[2020/2/17]

可是如果合約的編寫者（通常我們稱為項目方）在給審計機構審計時用的是放在github上的一套合約，但審計后尤其是項目上線后，用戶又修改了它的智能合約，我們怎么知道放在github上的合約就是審計時看到的合約而不是后來修改過或者其它“魚目混珠”的合約呢？

獨家 | 蘋果應用商店中國區App審核限制使用關鍵詞“比特幣”:金色財經獨家報道，有消息人士對金色財經表示，蘋果應用商店中國區App提交版本審核限制使用“比特幣”關鍵字，該消息人士表示，之前其App使用帶有“比特幣”關鍵詞的標題以及描述2年來都沒改過，此次版本更新突然顯示標題和描述帶違規內容。在去掉關于“比特幣”關鍵字后，蘋果官方審核沒有再提示關鍵詞違規。

據金色財經昨日消息，新浪微博已限制發布同時帶有“區塊鏈”和“炒幣”字眼的內容。[2019/11/17]

這就涉及到github這個倉庫的一個特性了。

當項目方往github中存放代碼時，github會給這次存放動作產生一個版本號。這就好比我們在比特幣、以太坊中申請一個新錢包時，這個錢包會有一個獨一無二的地址一樣，這個版本號也是唯一的。

獨家 | Topfund總裁劉思宇：若市場持續走低 ETH仍有較大下降空間:針對近期以太坊價格跳水的現象，金色財經就此事獨家采訪到Topfund 總裁劉思宇，關于“以太坊低迷的態勢還會持續多久”這一問題，他表示：“ETH之前上漲的依托是基于智能合約的ICO，據最近的數據，7月份ICO總募資下降了90%以上，因此很難支撐ETH這么龐大的市值，ETH價格下跌是必然的。項目方募集的ETH貶值壓力大，為了維持團隊和項目的正常運行，拋壓壓力極大。上周ETH暴跌據統計項目方大概拋售了36%的ETH，還有64%的ETH在項目方手里。因此如果市場行情繼續走低的話，ETH的下降空間還有很大。”[2018/8/22]

當項目方之后對任何文件有了任何改動：小到一個字的修改，大到文件的刪除、添加等，當把這些改動提交到github中，github又會給這次動作產生一個新的版本號。

獨家 | 胡繼曄：發展區塊鏈金融 審慎監管與鼓勵創新并重:加密貨幣的屬性一直存在爭議，對此北京市法學會互聯網金融法治研究會副會長、中國政法大學金融系教授胡繼曄在接受金色財經采訪時指出，泰國將數字資產定義為貨幣和證券雙重屬性，具體取決于加密貨幣的目的，我個人認為是非常恰當的，應當說泰國政府對數字貨幣性質的認知比此前更進一步。泰國政府的相關立法體現了審慎監管與支持創新相結合的特點，如果某個數字貨幣傾向應用于間接融資市場，其貨幣屬性當然更強；而如果一個數字貨幣更多應用于直接融資市場，當然其證券屬性更強。日本將虛擬貨幣劃分為金融商品，受金融商品交易法約束，其監管理念比更進一步，同時提出了具體的監管措施。美國是金融體系最發達的國家，也是數字貨幣的主要發源地，美國商品期貨交易委員會（CFTC）和美國證券交易委員會（SEC）的官員曾經聯合討論以太坊和其他加密貨幣的監管分類，討論的重點是這些加密貨幣是否應該作為證券進行監管。現階段CFTC負責監管比特幣期貨交易，盡管CFTC無權監管交易平臺的日常活動，但該機構仍負責調查加密貨幣欺詐和操縱市場的行為。近期，該機構近期向投資者發布有關加密貨幣拉高出貨騙局的警告。同時，CFTC還為同類騙局的舉報者提供現金獎勵，這些措施明顯就是按照證券和期貨來進行監管的。

我國未來在數字貨幣和ICO監管領域應當借鑒日本、美國、泰國的這些做法，審慎監管和鼓勵創新相結合，應當在央行、銀保監會、證監會之間建立關于區塊鏈金融、數字貨幣領域的統一的監管協調，防止監管不足和監管過度，從防范數字貨幣可能引發金融風險的角度來進行深入研究，并著手起草相關區塊鏈金融和數字貨幣監管方面的法規和規章，逐步建立完善我國的區塊鏈金融法治體系。我國的區塊鏈金融和數字貨幣產業發展潛力巨大，中國政法大學區塊鏈金融法治研究中心將盡最大努力，在產學研結合中發揮我們的獨特作用。[2018/7/3]

所以github中的版本號就是對所存放的文件的一份唯一存證，它保證了這個版本號所對應的文件就是某時某刻放進倉庫中的文件，而不是之前或之后放進去的文件。

金色獨家 北郵在線數字經濟研究院執行董事李立中：三個原因導致加密貨幣價格下跌:北郵在線數字經濟研究院執行董事、副院長李立中在接受金色財經采訪時被問及“加密貨幣價格下跌的原因”時他表示，“大概有三點原因：1、隨著區塊鏈技術研究的不斷深入研究，越來越多的國家意識到加密貨幣會帶來嚴重的洗錢問題，開始著手制定發布相關的監管條例。2、近期的公鏈51%攻擊問題凸現，人們開始發現節點數量不代表整個體系的安全質量，交易所的近期被盜事件和操縱事件也產生了市場的恐慌，用戶紛紛提幣到自己的錢包導致流動性下降進而引起價格下跌。3、隨著時間的推移真正做技術的應用場景項目開始浮出水面，使得整個行業開始價值回歸，原來的泡沫開始逐步褪去。”[2018/6/16]

所以我們在審計報告中除了羅列被審計合約的github網址，還要羅列被審計合約在github中的版本號。

這兩個要素就保證了讀者看我們報告時能準確知道我們所審計的內容。

除了放在github上，還有的項目方在審計時已經把合約部署在區塊鏈網絡上了。由于智能合約一旦部署到區塊鏈網絡上，它就是無法篡改和撤銷的，因此智能合約所部署的區塊鏈地址也可以作為合約的存證地址。

對這樣的合約，我們通常也會記錄下它在區塊鏈上的地址作為唯一存證。

我們前面說絕大多數項目的智能合約是開源的，這也就意味著還有一些項目的合約在審計時是未開源的，在這種情況下，我們怎么記錄這份合約的存證呢？

我們會用SHA-256的值來標記合約文件的存證。

有些讀者尤其是數字貨幣的玩家看到“SHA-256”這個詞會覺得很眼熟：這不是數字貨幣加密算法中常用的一個技術嗎？

確實是這樣，更準確的說，它是一種經過“哈希函數”運算得出的值，這個值也被稱為“哈希值”，它有256位（bit）。

所謂的哈希函數又稱散列函數（英語：Hash Function），是一種從任何一種數據中創建小的數字“指紋”的方法。哈希函數把消息或數據壓縮成摘要，使數據量變小，將數據的格式固定下來。該函數將原有的數據打亂混合，重新創建一個結果叫做哈希值（hash value、hash code、hash sum或hash）。

我們為什么要用這個值來記錄合約文件的存證呢？因為一個SHA-256的值所對應的文件內容是唯一的。這就和上面我們用github中的版本號來保證github中的文件是唯一的一樣。

那我們怎么用這個值來記錄合約文件的存證呢？

我們自己編寫了一套這樣的工具，對所審計的每個合約文件的內容都用這個工具進行一次運算，所得到的值就是一個SHA-256的值。這個值就代表了我們所審計的文件內容的唯一。

我們會羅列每個文件及其所對應的SHA-256值，這就記錄了文件的存證。

當用戶或讀者要檢測他看到的合約文件是否是我們所審計的合約時，將他看到的文件用我們的工具計算一下，將所得出的SHA-256值與我們所得到的值進行比較，如果一樣就證明是，如果不一樣就證明不是。

所以總結起來說，我們會用github網址+版本號、區塊鏈地址或SHA-256值這三種方式中的一種或幾種來記錄文件的存證。

作者：

Fairyproof TechCEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程（Industrial Engineering） 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc（San Jose, CA, USA） 軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學 創業學院《區塊鏈概論》 課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。

關于Fairyproof Tech：

Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目， 并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：區塊鏈ITHHUB數字貨幣區塊鏈技術適合女生嗎ZENITHLendHub數字貨幣背后的七大陰謀

LTC