火星链 火星链
Ctrl+D收藏火星链
首页 > Coinw > 正文

TEC:独家 | Fairyproof Tech在审计报告中会罗列哪些风险?我们该如何读审计报告

作者:

时间:1900/1/1 0:00:00

本文由“Fairyproof Tech”原创,授权“金色财经”独家首发,转载请著名出处。

审计机构在审计合约风险时,通常会对发现的每个风险进行评级,评级的目的是为了让项目方对风险引起重视并对需要处理的风险及时采取行动;让读者尤其是用户对项目的风险有所了解,以便对投资进行客观地评估和决策。?

Fairyproof Tech在审计报告中通常根据风险的危险程度和需要解决的紧急程度将风险分为四级,分别为:致命风险、高危风险、中度风险和低风险。

致命风险是所有风险中等级最高的、最危险的,它需要项目方即刻解决,不能拖延。

高危风险在危险程度上仅次于致命风险,它极有可能给项目带来严重问题,也需要项目方解决。

独家 | 欧科云链李炼炫:央行下发的区块链金融应用评估规则,消除了潜在非市场因素的影响:金色财经报道,对于“央行近日下发区块链金融应用评估规则,银行、券商、保险公司等金融机构进行区块链技术金融应用的产品设计、软件开发、系统评估,迎来统一标准。这会对传统金融带来怎样的改变?对于区块链行业有怎样的推进作用?”记者提问,欧科云链研究院首席研究员李炼炫接受采访时表示,金融行业属于国民经济的核心,强调风险防范。央行下发的这份文件,主要是针对区块链技术标准和规范的制定,在产品设计、软件开发和系统运营都给出了具体的技术指标、评估方法和标准,这有利于防止出现技术和运营风险。当然,这份文件也消除了潜在非市场因素的影响---只要满足《规则》的相关规范和标准,那么该技术应用是可以继续推进的。

对区块链行业而言,目前区块链技术尚处于发展初期,尚未形成统一的标准和规则,而央行的这份文件是在国内甚至是全球的第一份区块链技术标准和规范文件;制定统一的标准规范,可以促进区块链行业的健康发展。[2020/7/22]

中度风险相较于高危风险等级又次一级,它有可能给项目带来潜在问题,最终还是要项目方解决。

独家 | 金色财经2月15日矿币数据播报:金色财经报道,据币印矿池数据显示:

主流币挖矿日收益分别为:BTC(¥1.18/T)、ZEC(¥0.53/T)、LTC(¥24.61/G)、BSV(¥1.19/T)、BCH(¥1.18/T)、DASH(¥0.13/G)。

当前热门矿机数据及净收益分别为:神马M20S(BTC,¥50.56)、蚂蚁Z11(ZEC,¥57.16)、芯动A4+(LTC,¥8.42)。[2020/2/15]

低风险是所有风险中级别最低的,通常它表现为一些细节问题、警告信息等,暂时来说这个等级的问题可以不用解决,但项目方最后在未来某个新版本中解决这类问题。

Fairyproof Tech在审计合约的过程中,对上述四个等级的风险都会进行严格的排查并密切和项目方合作,重点督促并要求项目方必须解决致命风险和高危风险,并对中度风险和低风险给出详实地反馈和改进计划,不过我们在审计报告中关于如何描述上述四个等级的风险经历了一个演变过程。

独家 | 李炼炫:暂未观察到中国市场利率变化会对比特币价格产生明显影响:2月4日,针对“央行开展1.2万亿元公开市场逆回购对市场的影响”问题,OKEx高级研究员李炼炫在接受金色财经专访时表示,逆回购可以增加市场流动性,降低市场利率,从而刺激经济增长。中国市场利率的变化目前暂未观察到会对比特币价格产生明显影响。[2020/2/4]

之所以我们在报告描述中有这个演变过程是和Fairyproof Tech的审计方法及流程密切相关的。Fairyproof Tech的审计过程不仅是我们的工程师自己审阅代码的过程,更是我们工程师与项目方深度交流,密切合作的过程。

Fairyproof Tech会和每个合约项目方进行多个来回的交流及互动。每一次我们审完代码都会给项目方罗列所有的风险并给出整改建议。当项目方拿到我们的建议后需要对我们的建议给出反馈及修改结果。然后我们再对项目方修改过的合约进行重新审计。

独家 | 游戏Token被盗事件初步调查 ?:据成都链安科技消息,8月22日游戏God.game遭黑客攻击,合约内所有Token被攻击者席卷一空。成都链安科技团队立即展开安全排查。

疑似攻击地址:0x3abc8325a9ff36d78844ea8281b8c190c66c3d44根据此地址异常情况分析出的疑似攻击手段:1.攻击者先通购买了部分token;2.然后通过sell卖出token;3.导致账户dividends异常增加;4.最终通过调用reinvest()函数使用dividends购买大量token,

体现在Etherscan上的具体交易信息:

https://etherscan.io/tx/0x38c5499e8c8be5af32d6207fdaf088103cabaad05563915a21fb2f8aedce9618

该账户异常dividends如下图中左上角(1)部分所示;异常余额token总量如下图中右上角(2)部分所示;整套操作在Etherscan上体现为下图左下角(3)部分。针对真正产生异常的具体原因需要在代码层面进行排查,严谨论证结果报告需要更多的时间。

除了上述异常操作现象之外,成都链安科技还发现其“后门”,如下图中右下角(4)所示,这段代码给予合约创建者一个特殊权限,即能“随意更改指定地址上的账户余额”。其中_identifier是欲指定的地址,value为设置的账户代币余额。这两点是否都与此次攻击事件联系密切,亦或两者之间有联系。成都链安科技团队正进行合约代码安全漏洞排查并形成系统的分析报告。[2018/8/22]

通过这样递进、深入、多次地审计,最终我们才出具一份完整的报告。

在这个过程中,我们实际上审阅了项目方一路修订过程中的所有合约版本,并且会记录所有这些版本中出现的所有风险。

对此,在我们早期的报告中,我们会将审计过程中所有记录的风险无一例外地罗列,这其中就包括致命风险和高危风险。我们会要求所有被审计的项目方严格改进代码移除这两类风险,并会在所罗列的这两类风险后面备注项目方的改进方案和结果,项目方不消除这两类风险,我们是不会出具报告的。

但是我们发现很多读者在读这样描述的报告时会产生两个问题:

一是用户往往不注意看项目方对致命风险和高危风险的处理,误认为项目方的合约对存在的问题置之不理,由此判断项目为高风险。

二是当用户拿到这份冗长的报告时,没有耐心看完,如果不仔细读,看不出哪些问题是已经处理,哪些问题是待处理的,从而导致对项目产生更大的疑惑。

根据读者的上述反馈,我们逐步改进了报告的撰写方式如下:

一是对致命风险及高危风险不解决的项目,我们不出具报告;对中度风险和低风险无知悉、不反馈的项目我们不出具报告。

二是如果Fairyproof Tech出具审计报告,只在报告中罗列中度风险和低风险,并且项目方要对这两类风险有所反馈和改进计划。

我们这么处理主要的原因就是希望简化报告内容、突出报告重点,让用户一目了然,直击要害。

所以在后期Fairyproof Tech出具的审计报告中,读者通常只会看到中度风险和低风险的罗列而看不到致命风险和高危风险。

这并不表明合约从来没有致命风险和高危风险,而是表明即便有,项目方也在Fairyproof Tech地督促和建议下修改去除了这两类不能出现在合约中的风险。

作者:

Fairyproof TechCEO 谭粤飞

美国弗吉尼亚理工大学(Virginia Tech, Blacksburg, VA, USA) 工业工程(Industrial Engineering) 硕士(Master)。曾任美国硅谷半导体公司 AIBT Inc(San Jose, CA, USA) 软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事 。个人拥有4项区块链相关专利、3本出版著作。

关于Fairyproof Tech:

Fairyproof Tech科技有限公司是一家专注区块链生态安全的公司。Fairyproof Tech科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。

团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569 被以太坊团队正式收入。?

团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目, 并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。

标签:区块链ECHTECHTEC区块链工程专业学什么课程的Leprechaun FinanceTechshare TokenQTECH币

Coinw热门资讯
加密货币:比特币衍生品再添生力军 CME将推出迷你比特币期货

美国金融市场将增添一只比特币衍生品,它来自全球最大期货和期权交易所芝加哥商品交易所(CME)。CME美东时间30日周二公布,计划今年5月3日正式上线一款名为迷你比特币(Micro Bitcoin.

1900/1/1 0:00:00
SYNC:金色观察 | 三分钟速览zkSync 2.0路线图

以太坊Layer2项目zkSync北京时间3月30日凌晨向用户发邮件,更新zkSync 2.0的路线图以及时间线,表示将在2021年5月发布公开测试网,力争在2021年8月上线主网.

1900/1/1 0:00:00
加密货币:华尔街日报:中国的数字人民币领先世界

一千年前,中国发明了纸币。现在,中国政府正在以数字方式铸造现金,这是对货币的重新构想。 华尔街日报一篇文章指出,随着信用卡和支付应用(如美国的Apple Pay和中国的微信支付)减少了对纸币或硬.

1900/1/1 0:00:00
HUSD:晚间必读5篇 | 看涨投资者缘何爆仓不断?

1.以太坊2021年大事件时间线本文整理了以太坊 2021 年大事件时间表,进展将在 WeETH Staker 论坛持续更新.

1900/1/1 0:00:00
CEB:5.33亿Facebook用户数据被泄露 发言人:2年前的旧消息

雷锋网消息,据外媒《The Record》报道,5.33亿Facebook用户的个人数据在一个黑客论坛上被泄露,包括用户的个人信息.

1900/1/1 0:00:00
COIN:Coinbase上市记:被罚650万美元?接着DPO

3月19日,美国合规加密货币交易所巨头Coinbase与CFTC(美国商品期货交易委员会)就不当报告交易量和“自我交易”的指控达成和解,被罚款650万美元。同时,公司宣布将推迟到4月份上市.

1900/1/1 0:00:00