独家 | 如何读审计报告之每个风险等级的实际案例

前面我们和大家介绍了Fairyproof Tech对风险等级的划分，有读者看了一定会好奇：每种风险分别都是什么样的呢？

在这篇文章里我们就每个等级的风险具体举出一些案例来说明致命风险、高危风险、中度风险和低风险分别是什么样的。

致命风险是所有风险中等级最高的、最危险的，它需要项目方即刻解决，不能拖延。

这类风险最常见的就是合约中一些明显可能导致编译无法成功、或者在逻辑中出现明显错误导致代码的运行逻辑无法正确完成的地方。这种风险不处理，项目方的合约几乎不可能通过编译运行或不可能正常运行。

举例来说，在合约实现中，变量赋值类型的不匹配，编译器版本定义导致的编译问题等都属于这类风险。

独家 | Bakkt期货合约数据一览:金色财经报道，Bakkt Volume Bot数据显示，10月8日，Bakkt比特币月度期货合约日交易额为4750万美元，同比下降29%，未平仓合约量为1466万美元，同比持平。[2020/10/9]

由于Fairyproof Tech在后期的报告中已经很少把这类风险写在报告中，而是一旦发现就要求项目方立即解决，所以在我们后期的报告中很难直接看到这类风险，只在我们早期的报告中有这类风险的罗列。

高危风险在危险程度上仅次于致命风险，它极有可能给项目带来严重问题，也需要项目方解决。

这类风险最常见的就是合约实现中的逻辑错误，比如计算错误等。

独家 | 金色财经2月23日矿币数据播报:金色财经报道，据币印矿池数据显示：

主流币挖矿日收益分别为：BTC（￥1.13/T）、ZEC（￥0.46/T）、LTC（￥21.99/G）、BSV（￥1.14/T）、BCH（￥1.17/T）、DASH（￥0.13/G）。

当前热门矿机数据及净收益分别为：神马M20S（BTC，￥47.09）、蚂蚁Z11（ZEC，￥48.81）、芯动A4+（LTC，￥6.79）。[2020/2/23]

举例来说，质押挖矿是很多DeFi合约中都有的功能，质押挖矿的基本逻辑是用户将某个数字资产抵押进矿池，然后合约会根据用户抵押的资产占总抵押资产的比例来核算用户该拿到多少奖励。如果这个比例计算错误或者实现有误，用户无法拿到正确的奖励，就会严重影响项目的声誉。

高危风险现在也很少会被我们罗列在报告中，而是我们一旦发现这类风险就会要求项目方立即修正。读者可以在我们早期出具的报告中看这类风险的详细举例。

独家 | 减产主线继续，比特币剑指1万美元大关:据Huobi数据显示，BTC现报9667美元，日内涨幅1.93%。针对当前走势，金色盘面特邀分析师姥爷解盘表示：本轮核心主线不变，大势也不存在改变。本人一直认为走势良好且健康，虽然过程中有回调，但是上升趋势还在，那么自然持仓看多。恰巧昨天文中还说，比特币回调是买入时机。晚间时刻，减产币系数表演。从盘面上看第一轮涨幅略小的BCH承担了龙头责任，带领减产再度活跃，进而限制比特币的回调力度。比特币反弹新高，整体盘面的做多情绪被激活，下一步就要看比特币打破10000美元关口带来的市场增量变化。短期可能震荡，但是中期格局依然看好。[2020/2/6]

中度风险相较于高危风险等级又次一级，它有可能给项目带来潜在问题，最终还是要项目方解决。

这类风险比较常见的有管理员权限控制的问题。

独家 | 郭宏才：区块链项目估值过高现状不会一直持续:区块链企业与传统企业在融资方面有何不同？区块链项目是否存在估值过高的问题？金色财经针对这一话题邀请币圈知名天使投资人郭宏才 (宝二爷)进行独家专访，郭宏才指出：在2013-2015年之间耕耘于币圈的从业者更容易获得融资，项目本身的背景反而显得不是十分重要，能否成功吸引更多融资还是要看创始人本身的经验和知名度。

传统企业融资之后，流程比较多，且基本都是项目方求着投资人去投资。但区块链企业的投资则不太一样，流程很简单，基本都是投资人急着给项目方打币。本质上存在买方市场和卖方市场的区别。

当前的区块链项目普遍存在估值过高的问题，但这样的现状不会一直持续，因为区块链项目会越来越多，且竞争会越来越激烈，估值终将回归理性。区块链项目估值过高主要是因为团队持有币的比例过大，导致筹码过于集中、估值过高。若筹码较为分散、Token更为分散，则将有利于降低估值。

虽然区块链项目的投资风险比传统项目的投资风险更高，但回报率也更高，风险与利润共存。区块链项目在高风险的同时，也更容易上市币圈的交易所；而传统的区块链项目虽然风险较低，但实际上，投资人很难退出，一般要等五年或者十年才会有IPO，且其成功率也往往低于币圈的项目。[2018/7/21]

比如在DeFi协议中通常都会有发行代币的功能。而通常控制代币发行的地址就是管理员，所以在这类合约中，管理员的权限是相当大的。在一些代码实现中，由于项目功能复杂以及运维方面的需要，管理员不仅自己有权决定是否发行代币甚至还有权力决定是否赋予其它的地址这样的权力，让其它地址也能发行代币。

这就产生了安全隐患：如果项目管理员的权限被盗或者管理员自己出现道德风险、滥用这个权力，那代币的发行就不受控制了。

这类风险是由合约逻辑引入的，但逻辑的实现又不得不如此，并且有时在合约部署初期，为了让项目能高效运转，还要保持这种管理员权限运作一段时间，这都给项目带来了潜在的风险。

项目方带着这种风险进行操作也是小心翼翼、如履薄冰，它就像达摩克里斯剑一样悬在项目方和用户的头顶，随时有掉落的风险。

对这类风险我们会强烈建议项目方在运作一段时间后，将管理员权限转交社区（比如DAO）或者多签钱包，以规避这类风险。

低风险是所有风险中级别最低的，通常它表现为一些细节问题、警告信息等，暂时来说这个等级的问题可以不用解决，但项目方最后在未来某个新版本中解决这类问题。

这类风险涉及的细节和具体问题比较零散和琐碎，我们常见的有函数或变量命名方面的问题。

对函数或变量的命名如何通常普通用户是不会感知的，但对项目方自己维护代码或其它（比如第三方）合约调用这些函数在某些情况下会产生一定困扰。

通常函数或便令命名出现的问题就是“词不达意”，即命名和它实际在合约中起的逻辑作用不同，比如一个函数是要设置某个变量的值，我们通常会将这个函数命名为“setXXX”（设置XXX），但由于笔误或其它原因，项目方将其命名为“getXXX”（读取XXX），这就让函数的名字和它的真实作用读起来南辕北辙了。

这样的代码时间一久，当项目方自己再回头来维护或修改时，如果不仔细看代码就会误解函数的功能，从而错误地调用它。

因此Fairyproof Tech对这类风险也建议项目方在方便的时间修改。

作者：

Fairyproof TechCEO 谭粤飞

美国弗吉尼亚理工大学(Virginia Tech, Blacksburg, VA, USA) 工业工程（Industrial Engineering） 硕士(Master)。曾任美国硅谷半导体公司 AIBT Inc（San Jose, CA, USA） 软件工程师，负责底层控制系统的开发、设备制程的程序实现、算法的设计，并负责与台积电的全面技术对接和交流。自2011至今，从事嵌入式，互联网及区块链技术的研究，深圳大学创业学院《区块链概论》课程教师，中山大学区块链与智能中心客座研究员，广东省金融创新研究会常务理事 。个人拥有4项区块链相关专利、3本出版著作。

关于Fairyproof Tech：

Fairyproof Tech科技有限公司是一家专注区块链生态安全的公司。Fairyproof Tech科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月，团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。

团队成员参与发起并提交了以太坊领域的多项标准草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊团队正式收入。

团队参与了多项以太坊项目的发起及构建，包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目， 并参与了多个项目的安全审计工作，在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。

标签：区块链TECECHTECH区块链域名谁在管理TectumTrade Tech AIArtificial Intelligence Technology Network

屎币热门资讯