宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 瑞波币 > 正文

独家 | 审计机构审计合约的流程

作者:

时间:1900/1/1 0:00:00

本文由“Fairyproof Tech”原创,授权“金色财经”独家首发,转载请注明出处。

在Fairyproof Tech的审计报告中,我们会交代对每一份合约的审计流程。大体上来说,这个流程主要包括两个步骤:一是标准化审计步骤,二是人工审计步骤。

实际上这也是目前业内比较通行的步骤。不同审计机构可能在审计流程中的具体步骤和细节上存在差异,但归纳起来也都会包含这两个大的步骤。 

在Fairyproof Tech前面发布的文章中,我们特别强调过智能合约和传统工业流水线上批量产出的标准化产品不同,它不是按流水线、标准化作业生产出来的,而是人为编写出来的。即便是照抄现有的合约,合约的编写者通常也会在照抄的合约上做一些小的改动。因此,两份合约哪怕是功能上一样、逻辑一样、特点一样,在具体的编写方式上都会存在差异。而这个差异往往就是漏洞、风险的来源。但这个差异又很难用机器大工业中常见的标准工具检测出来。但如果无法用工具检测,单凭人力检测,不仅工作量大,而且效率低,并且时常还会出人为方面的错漏。这看似矛盾的两方面交织在一起,一直贯穿着整个审计过程的始终,也是推进行业前进和革新的根本动力。

独家 | Bakkt期货合约数据一览:金色财经报道,Bakkt Volume Bot数据显示,3月9日,Bakkt比特币月度期货合约单日交易额为1078万美元,环比上升219%,未平仓合约量为715万美元,环比下降16%。[2020/3/10]

对Fairyproof Tech来说,我们对合约的检测一方面会尽量使用工具进行验证以提高效率并减轻人为验证时可能出现的差异和错漏;而另一方面我们又特别强调人工检测的重要性,并强调人工检测对合约质量的最后把关,因为人工检测不仅是用来检测工具无法检测出来的问题,更是用来预判和发现业界未曾记录的风险、做到防患于未然的保证。

Fairyproof Tech自成立以来便一直致力于对合约审计标准化工具的使用和开发。在这方面,我们大胆借鉴了业界前辈已经积累的经验,对目前市面上已经存在的合约检测工具(如Security、Mythril、Oyente、ECF、Maian、Lem等)都进行了细致的研究和测试。但我们发现这些工具或多或少都存在一定的局限,并且在我们具体的使用过程中还存在各种不便之处,因此我们也在前辈研发的基础上大力开发自己的自动化检测工具,并将我们的工具投入到合约的审计工作中。这一方面提高Fairyproof Tech的工作效率,另一方面将我们不断积累的经验优化、集成到这些工具中,让它们更好地服务于Fairyproof Tech的合约审计。 

独家 | Bakkt期货合约数据一览:金色财经报道,Bakkt Volume Bot数据显示,3月3日,Bakkt比特币月度期货合约单日交易额为1719万美元,环比上涨72%;未平仓合约量为865万美元,环比下降8%。[2020/3/4]

对标准化检测工具的研发及推进将始终是Fairyproof Tech开发工作的重点和必须攻克的难点。我们认为这也是业界未来发展的方向和制高点。把握这个方向、占据这个制高点不仅对Fairyproof Tech本身的发展,更对整个行业的发展都将起到重要的推进作用。

 对工具的研发和使用是Fairyproof Tech工作的重点,而对人工审查的强调及对审计工程师的培养、培训则是Fairyproof Tech工作的重心和核心。

Fairyproof Tech认为人工审计不仅是对工具审计的查漏补缺,人工审计所积累的经验和技能也是改进和提升工具最好的素材和动力,人工审计本身更是对整个审计过程的最后把关。所以无论从哪方面说,人工审计的重要性都不言而喻。

独家 | USDT目前占比特币交易比重为73.85%:据cryptocompare数据显示,目前比特币交易情况按照交易币种排名,排在第一的是USDT,占比为73.85%;排在第二的是USDC,占比为10.01%;排在第三的是美元,占比为5.91%;排在第四的是日元,占比为5.35%;排在第五的是韩元,占比为1.17%。[2020/2/23]

 人工审计所进行的是非标准化的活动。所谓的非标准化活动就是因人而异,难以绝对统一。因为每个审计工程师都有自己的习惯和自己的思路。在这种情况下如何既发挥人工审计的灵活性和创造性又避免人工审计中人为因素导致的错漏则是Fairyproof Tech在人工审计过程中关注的重点和难点。

独家 | 于佳宁:国家对于矿机芯片的研发 毫无疑问应该是鼓励的:金色财经报道,对于“虚拟货币挖矿”条目从淘汰产业中被删除,火币大学校长、中国通信工业协会区块链专委会副主任于佳宁说明了自己的看法,主要有3点。

首先,挖矿产业是区块链行业中的枢纽产业,紧密连接上下游,上游是矿机制造商,而中国的矿机厂商处于世界领先地位。现在,全世界都在从通用芯片转向专用芯片,随着5G、Web3.0、人工智能等的不断发展,专用芯片的研发能力也是未来整个国家技术工业的一个重要能力,国家对于矿机芯片的研发,毫无疑问应该是鼓励的。

其次,需要全面理解挖矿行为。矿场从本质来讲是专用的高性能计算中心,提供网络安全服务,构建基础设施,矿工的运转为区块链应用落地提供了重要的支撑和载体。

最后,虽然挖矿的用电体量大,但实际使用的都是过去可能浪费掉的风电等电能,挖矿行业加强了能源的利用效率。同时,矿场所在的区域为低电费区,大部分在落后地区,挖矿产业其实对当地的人才培养、产业转型等都有帮助。

虽然发改委将“虚拟货币挖矿”从淘汰产业中移除,但不能因此就说国家开放挖矿,也不能说国家对其完全否定,整个行业未来的监管将何去何从呢?于佳宁认为,首先,监管趋严,在国家重视挖矿行业发展的情况下,肯定会把其纳入监管中,而矿场作为数据中心,其运营行为要符合数据中心运营规范,这是必然的要求。其次,在整个区块链行业逐渐规范、逐渐法制化的过程中,挖矿行业的纳税、反等问题会慢慢得到解决。[2019/11/6]

我们对此采取的主要措施是流程统一和交叉审计。这两点也是Fairyproof Tech在人工审计这个大步骤中重点进行的两个细分步骤 

独家 | 币链云算负责人邓智:挖矿行业被正规化管理是一个极大的利好:今日,中国政府网发布《产业结构调整指导目录(2019年本)》,文件显示“虚拟货币挖矿”从“淘汰产业”中删除。就此,金色财经采访了币链云算负责人邓智。邓智表示,从多年挖矿的从业经验来看,我个人的看法主要有两点。

首先,这个文件对于挖矿行业的现在和未来都是一个极大的利好。对于挖矿,国家不再针对这种行为,不再认为它是一个淘汰产业,不再是抵触的情绪。国家后续可能会出台一些相关性政策,来管控挖矿行业,将其从灰色地带移出,进行监管、修边等,把它罗列为一个相对比较正规的产业,来促进发展。

其次,结合近期国家以及习总书记对区块链的一些讲话、精神来看,我觉得国家的态度从之前的抵触转为现在的大力发展。对于区块链肯定是大力支持,但是对于挖矿行业可能会进行一些调控,或者是小范围性的调控。中国挖矿业位居全球前列,若国家将挖矿行业进行正规化处理,电费方面会为国家带来增收,从这方面来说对国家是一件好事。

对于今日发布的文件,我觉得对整个行业来说有两条路,一条是归到正规化,为国家产生税收,且数额不小。第二条是依旧放置于灰色地带,现状是除了税收外,矿工的利润会被压榨,但可能还是会有人冒着巨大的风险进入此行业。[2019/11/6]

所谓的流程统一就是我们为合约人工审计的流程制定了一个统一的框架和流程,这个框架和流程确保我们每个审计工程师都要延这个大方向走,不出方向性错误,这也是企业战略中常说的目标一致、路径一致,在合约审计中,我们也需要这种一致。

在这种一致框架和流程的规制下,每个审计工程师可以发挥自己的主观能动性和创造性,按自己的习惯和特点审计合约,我们不予具体地干预。

但是即便方向一致,每个工程师在具体的进度、能力、判断上还是会出现差异,而这些差异就有可能导致风险、漏洞逃过审计。

这时我们就需要第二个手段----交叉审计来防范这个问题。

所谓的交叉审计就是一份合约我们会由多个工程师审计。这个过程是将不同工程师的不同的思路和理解进行汇总的过程,也就是我们常说的“集思广益”。通过这种方式,我们能尽量大地覆盖风险的范围和种类,尽量小地减少个人理解偏差在审计中造成的误判。

所以Fairyproof Tech的审计报告中所提到的审计流程归纳起来就是利用工具的标准化审计和依赖工程师经验的人工审计。

作者:

Fairyproof TechCEO 谭粤飞

美国弗吉尼亚理工大学(Virginia Tech, Blacksburg, VA, USA) 工业工程(Industrial Engineering) 硕士(Master)。曾任美国硅谷半导体公司 AIBT Inc(San Jose, CA, USA) 软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事 。个人拥有4项区块链相关专利、3本出版著作。

关于Fairyproof Tech:

Fairyproof Tech科技有限公司是一家专注区块链生态安全的公司。Fairyproof Tech科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。

团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569 被以太坊团队正式收入。

团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目, 并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。

标签:TECHTECECHFAIREther TechIntelligent Trading TechPEPECHAIN价格FAIRLIFE

瑞波币热门资讯
一览基于 IPFS 和 Arweave 去中心化存储项目

原文标题:《去中心化存储将会如何发展?》 撰文:?0xrabby 随着 Web3 的发展,去中心化的存储一直都是资本和创业者关注的一个重点,大多数 NFT 项目选择仅将 NFT 所有权数据存储在区块链上,以确保所有权是不可篡改.

1900/1/1 0:00:00
区块链安全入门笔记(一) | 慢雾科普

虽然有着越来越多的人参与到区块链的行业之中,然而由于很多人之前并没有接触过区块链,也没有相关的安全知识,安全意识薄弱,这就很容易让攻击者们有空可钻.

1900/1/1 0:00:00
Libra是什么?|金色百科

Libra是Facebook发行的基于区块链的稳定币,北京时间6月18日下午5时,Facebook旗下加密项目Libra正式发布白皮书.

1900/1/1 0:00:00
区块链与文创产业丨区块链关键名词:智能合约

主讲人:资深文化产业投资人,千程投资CEO,动态 | 区块链风险投资公司BVCI推出加拿大首家合法美元稳定币CUSD:据BeIncrypto今日消息.

1900/1/1 0:00:00
以太坊硬分叉大戏愈演愈烈 交易所、项目方都是如何站队的?

文:Levi 随着以太坊合并的临近 (预计今年9月10日进行),以太坊即将从工作量证明(PoW)过渡到权益证明(PoS),关于以太坊硬分叉为PoS和PoW两条链的争论不绝于耳.

1900/1/1 0:00:00
区块链从业者所说的“1024讲话”指什么丨金色百科

1024在网络上有许多不同的含义(或者说是“梗”),而在区块链行业里,最近从业者常常说的“1024讲话”,又是什么意思?2019年10月24日,中共中央局就区块链技术发展现状和趋势进行第十八次集体学习.

1900/1/1 0:00:00