TEC:独家 | Fairyproof Tech在审计报告中会罗列哪些风险？我们该如何读审计报告

本文由“Fairyproof Tech”原创，授权“金色财经”独家首发，转载请著名出处。

审计机构在审计合约风险时，通常会对发现的每个风险进行评级，评级的目的是为了让项目方对风险引起重视并对需要处理的风险及时采取行动；让读者尤其是用户对项目的风险有所了解，以便对投资进行客观地评估和决策。?

Fairyproof Tech在审计报告中通常根据风险的危险程度和需要解决的紧急程度将风险分为四级，分别为：致命风险、高危风险、中度风险和低风险。

致命风险是所有风险中等级最高的、最危险的，它需要项目方即刻解决，不能拖延。

高危风险在危险程度上仅次于致命风险，它极有可能给项目带来严重问题，也需要项目方解决。

独家 | 欧科云链李炼炫：央行下发的区块链金融应用评估规则，消除了潜在非市场因素的影响:金色财经报道，对于“央行近日下发区块链金融应用评估规则，银行、券商、保险公司等金融机构进行区块链技术金融应用的产品设计、软件开发、系统评估，迎来统一标准。这会对传统金融带来怎样的改变？对于区块链行业有怎样的推进作用？”记者提问，欧科云链研究院首席研究员李炼炫接受采访时表示，金融行业属于国民经济的核心，强调风险防范。央行下发的这份文件，主要是针对区块链技术标准和规范的制定，在产品设计、软件开发和系统运营都给出了具体的技术指标、评估方法和标准，这有利于防止出现技术和运营风险。当然，这份文件也消除了潜在非市场因素的影响---只要满足《规则》的相关规范和标准，那么该技术应用是可以继续推进的。

对区块链行业而言，目前区块链技术尚处于发展初期，尚未形成统一的标准和规则，而央行的这份文件是在国内甚至是全球的第一份区块链技术标准和规范文件；制定统一的标准规范，可以促进区块链行业的健康发展。[2020/7/22]

中度风险相较于高危风险等级又次一级，它有可能给项目带来潜在问题，最终还是要项目方解决。

独家 | 金色财经2月15日矿币数据播报:金色财经报道，据币印矿池数据显示：

主流币挖矿日收益分别为：BTC（￥1.18/T）、ZEC（￥0.53/T）、LTC（￥24.61/G）、BSV（￥1.19/T）、BCH（￥1.18/T）、DASH（￥0.13/G）。

当前热门矿机数据及净收益分别为：神马M20S（BTC，￥50.56）、蚂蚁Z11（ZEC，￥57.16）、芯动A4+（LTC，￥8.42）。[2020/2/15]

低风险是所有风险中级别最低的，通常它表现为一些细节问题、警告信息等，暂时来说这个等级的问题可以不用解决，但项目方最后在未来某个新版本中解决这类问题。

Fairyproof Tech在审计合约的过程中，对上述四个等级的风险都会进行严格的排查并密切和项目方合作，重点督促并要求项目方必须解决致命风险和高危风险，并对中度风险和低风险给出详实地反馈和改进计划，不过我们在审计报告中关于如何描述上述四个等级的风险经历了一个演变过程。

独家 | 李炼炫：暂未观察到中国市场利率变化会对比特币价格产生明显影响:2月4日，针对“央行开展1.2万亿元公开市场逆回购对市场的影响”问题，OKEx高级研究员李炼炫在接受金色财经专访时表示，逆回购可以增加市场流动性，降低市场利率，从而刺激经济增长。中国市场利率的变化目前暂未观察到会对比特币价格产生明显影响。[2020/2/4]

之所以我们在报告描述中有这个演变过程是和Fairyproof Tech的审计方法及流程密切相关的。Fairyproof Tech的审计过程不仅是我们的工程师自己审阅代码的过程，更是我们工程师与项目方深度交流，密切合作的过程。

Fairyproof Tech会和每个合约项目方进行多个来回的交流及互动。每一次我们审完代码都会给项目方罗列所有的风险并给出整改建议。当项目方拿到我们的建议后需要对我们的建议给出反馈及修改结果。然后我们再对项目方修改过的合约进行重新审计。

独家 | 游戏Token被盗事件初步调查 ?:据成都链安科技消息，8月22日游戏God.game遭黑客攻击，合约内所有Token被攻击者席卷一空。成都链安科技团队立即展开安全排查。

疑似攻击地址：0x3abc8325a9ff36d78844ea8281b8c190c66c3d44根据此地址异常情况分析出的疑似攻击手段：1.攻击者先通购买了部分token；2.然后通过sell卖出token；3.导致账户dividends异常增加；4.最终通过调用reinvest()函数使用dividends购买大量token，

体现在Etherscan上的具体交易信息：

https://etherscan.io/tx/0x38c5499e8c8be5af32d6207fdaf088103cabaad05563915a21fb2f8aedce9618

该账户异常dividends如下图中左上角（1）部分所示;异常余额token总量如下图中右上角（2）部分所示;整套操作在Etherscan上体现为下图左下角（3）部分。针对真正产生异常的具体原因需要在代码层面进行排查，严谨论证结果报告需要更多的时间。

除了上述异常操作现象之外，成都链安科技还发现其“后门”，如下图中右下角（4）所示，这段代码给予合约创建者一个特殊权限，即能“随意更改指定地址上的账户余额”。其中_identifier是欲指定的地址，value为设置的账户代币余额。这两点是否都与此次攻击事件联系密切，亦或两者之间有联系。成都链安科技团队正进行合约代码安全漏洞排查并形成系统的分析报告。[2018/8/22]

通过这样递进、深入、多次地审计，最终我们才出具一份完整的报告。

在这个过程中，我们实际上审阅了项目方一路修订过程中的所有合约版本，并且会记录所有这些版本中出现的所有风险。

对此，在我们早期的报告中，我们会将审计过程中所有记录的风险无一例外地罗列，这其中就包括致命风险和高危风险。我们会要求所有被审计的项目方严格改进代码移除这两类风险，并会在所罗列的这两类风险后面备注项目方的改进方案和结果，项目方不消除这两类风险，我们是不会出具报告的。

但是我们发现很多读者在读这样描述的报告时会产生两个问题：

一是用户往往不注意看项目方对致命风险和高危风险的处理，误认为项目方的合约对存在的问题置之不理，由此判断项目为高风险。

二是当用户拿到这份冗长的报告时，没有耐心看完，如果不仔细读，看不出哪些问题是已经处理，哪些问题是待处理的，从而导致对项目产生更大的疑惑。

根据读者的上述反馈，我们逐步改进了报告的撰写方式如下：

一是对致命风险及高危风险不解决的项目，我们不出具报告；对中度风险和低风险无知悉、不反馈的项目我们不出具报告。

二是如果Fairyproof Tech出具审计报告，只在报告中罗列中度风险和低风险，并且项目方要对这两类风险有所反馈和改进计划。

我们这么处理主要的原因就是希望简化报告内容、突出报告重点，让用户一目了然，直击要害。

所以在后期Fairyproof Tech出具的审计报告中，读者通常只会看到中度风险和低风险的罗列而看不到致命风险和高危风险。

这并不表明合约从来没有致命风险和高危风险，而是表明即便有，项目方也在Fairyproof Tech地督促和建议下修改去除了这两类不能出现在合约中的风险。

作者：

Fairyproof TechCEO 谭粤飞

美国弗吉尼亚理工大学(Virginia Tech, Blacksburg, VA, USA) 工业工程（Industrial Engineering） 硕士(Master)。曾任美国硅谷半导体公司 AIBT Inc（San Jose, CA, USA） 软件工程师，负责底层控制系统的开发、设备制程的程序实现、算法的设计，并负责与台积电的全面技术对接和交流。自2011至今，从事嵌入式，互联网及区块链技术的研究，深圳大学创业学院《区块链概论》课程教师，中山大学区块链与智能中心客座研究员，广东省金融创新研究会常务理事 。个人拥有4项区块链相关专利、3本出版著作。

关于Fairyproof Tech：

Fairyproof Tech科技有限公司是一家专注区块链生态安全的公司。Fairyproof Tech科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月，团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。

团队成员参与发起并提交了以太坊领域的多项标准草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊团队正式收入。?

团队参与了多项以太坊项目的发起及构建，包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目， 并参与了多个项目的安全审计工作，在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。

标签：区块链ECHTECHTEC区块链工程专业学什么课程的Leprechaun FinanceTechshare TokenQTECH币

Coinw热门资讯