前面我们和大家介绍了Fairyproof Tech对风险等级的划分,有读者看了一定会好奇:每种风险分别都是什么样的呢?
在这篇文章里我们就每个等级的风险具体举出一些案例来说明致命风险、高危风险、中度风险和低风险分别是什么样的。
致命风险是所有风险中等级最高的、最危险的,它需要项目方即刻解决,不能拖延。
这类风险最常见的就是合约中一些明显可能导致编译无法成功、或者在逻辑中出现明显错误导致代码的运行逻辑无法正确完成的地方。这种风险不处理,项目方的合约几乎不可能通过编译运行或不可能正常运行。
举例来说,在合约实现中,变量赋值类型的不匹配,编译器版本定义导致的编译问题等都属于这类风险。
独家 | 比特币链上活跃度上升,未确认交易数22240笔:金色财经报道,据欧科云链OKLink链上数据显示,BTC链上活跃度上升。截至上午11时,BTC全网难度为16.95T,全网算力为121.30EH/s,较前日下降3.62EH/s,全网算力呈上升趋势。未确认交易数近22240笔。[2020/8/11]
由于Fairyproof Tech在后期的报告中已经很少把这类风险写在报告中,而是一旦发现就要求项目方立即解决,所以在我们后期的报告中很难直接看到这类风险,只在我们早期的报告中有这类风险的罗列。
高危风险在危险程度上仅次于致命风险,它极有可能给项目带来严重问题,也需要项目方解决。
这类风险最常见的就是合约实现中的逻辑错误,比如计算错误等。
独家 | 淘宝商家“区块链技术产品”类目半年前已上线:金色财经报道,12月19日有消息称淘宝新增加了“区块链技术产品”二级类目,金色财经第一时间向部分淘宝卖家求证此事,淘宝卖家表示,在几个月前卖硬件钱包的时候已经发现有这个分类了。随后金色财经记者向阿里相关人士求证后证实,“淘宝上‘区块链技术产品’类目半年前即已上线,新增该类目主要是为了便于管理。”[2019/12/19]
举例来说,质押挖矿是很多DeFi合约中都有的功能,质押挖矿的基本逻辑是用户将某个数字资产抵押进矿池,然后合约会根据用户抵押的资产占总抵押资产的比例来核算用户该拿到多少奖励。如果这个比例计算错误或者实现有误,用户无法拿到正确的奖励,就会严重影响项目的声誉。
高危风险现在也很少会被我们罗列在报告中,而是我们一旦发现这类风险就会要求项目方立即修正。读者可以在我们早期出具的报告中看这类风险的详细举例。
独家 | 天风证券李炼炫:稳定币都存在一个“三角不可能”:针对“USDT信任危机是否会在其他稳定币上会重演”一事,金色财经独家采访到天风证券李炼炫,他表示,会的,无论稳定币的稳定机制如何设计,也需遵循客观经济规律。稳定币面临的最大风险是信用风险,即当人们对一款稳定币丧失信心时,就会发生挤兑现象。只不过根据信用风险程度大小划分,信用程度最高的是数字资产抵押发行的稳定币,其次是以法币抵押发行的稳定币,最差的是无抵押算法发行的稳定币。
对于所有的稳定币而言,都存在一个“三角不可能”,即在货币政策的独立性,货币的自由流动以及价格的稳定性三者之间只能选择其中的两者,第三者必须放弃。具体而言,稳定币选择了数字货币的自由流动和币值的稳定,就必须放弃货币超发的权利,这里会产生一个矛盾:如果稳定币的项目方不超发货币,就很难盈利;如果超发了货币,那么就会产生信用危机,投资者会怀疑稳定币是否能及时兑付而出现挤兑,最终被市场抛售;正如现实中我们所观察到的,USDT正是因为人们对其丧失信心发生了挤兑,进而出现暴跌。[2018/10/25]
中度风险相较于高危风险等级又次一级,它有可能给项目带来潜在问题,最终还是要项目方解决。
金色独家 中高会区块链产业联盟理事长朱涛:司法监管滞后是通病:美国证券交易委员会(SEC)将于北京时间6月14日凌晨两点在佐治亚州亚特兰大州立大学举行一次市民会议(Town Hall Meeting),就加密货币行业、网络安全等投资者关心的问题展开讨论。针对此次会议,金色财经邀请中高会区块链产业联盟理事长朱涛对本次会议作出解读,朱涛表示:司法监管滞后是通病。我前天参加中美的一个交流会,他们说美国除了联邦法律规定的电子白条合法外,政客们也没有研究出完善的新的法律。之所以有的地方有宣布,也是为了引领人们去做事。[2018/6/13]
这类风险比较常见的有管理员权限控制的问题。
比如在DeFi协议中通常都会有发行代币的功能。而通常控制代币发行的地址就是管理员,所以在这类合约中,管理员的权限是相当大的。在一些代码实现中,由于项目功能复杂以及运维方面的需要,管理员不仅自己有权决定是否发行代币甚至还有权力决定是否赋予其它的地址这样的权力,让其它地址也能发行代币。
这就产生了安全隐患:如果项目管理员的权限被盗或者管理员自己出现道德风险、滥用这个权力,那代币的发行就不受控制了。
这类风险是由合约逻辑引入的,但逻辑的实现又不得不如此,并且有时在合约部署初期,为了让项目能高效运转,还要保持这种管理员权限运作一段时间,这都给项目带来了潜在的风险。
项目方带着这种风险进行操作也是小心翼翼、如履薄冰,它就像达摩克里斯剑一样悬在项目方和用户的头顶,随时有掉落的风险。
对这类风险我们会强烈建议项目方在运作一段时间后,将管理员权限转交社区(比如DAO)或者多签钱包,以规避这类风险。
低风险是所有风险中级别最低的,通常它表现为一些细节问题、警告信息等,暂时来说这个等级的问题可以不用解决,但项目方最后在未来某个新版本中解决这类问题。
这类风险涉及的细节和具体问题比较零散和琐碎,我们常见的有函数或变量命名方面的问题。
对函数或变量的命名如何通常普通用户是不会感知的,但对项目方自己维护代码或其它(比如第三方)合约调用这些函数在某些情况下会产生一定困扰。
通常函数或便令命名出现的问题就是“词不达意”,即命名和它实际在合约中起的逻辑作用不同,比如一个函数是要设置某个变量的值,我们通常会将这个函数命名为“setXXX”(设置XXX),但由于笔误或其它原因,项目方将其命名为“getXXX”(读取XXX),这就让函数的名字和它的真实作用读起来南辕北辙了。
这样的代码时间一久,当项目方自己再回头来维护或修改时,如果不仔细看代码就会误解函数的功能,从而错误地调用它。
因此Fairyproof Tech对这类风险也建议项目方在方便的时间修改。
作者:
Fairyproof TechCEO 谭粤飞
美国弗吉尼亚理工大学(Virginia Tech, Blacksburg, VA, USA) 工业工程(Industrial Engineering) 硕士(Master)。曾任美国硅谷半导体公司 AIBT Inc(San Jose, CA, USA) 软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事 。个人拥有4项区块链相关专利、3本出版著作。
关于Fairyproof Tech:
Fairyproof Tech科技有限公司是一家专注区块链生态安全的公司。Fairyproof Tech科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。
团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569 被以太坊团队正式收入。
团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目, 并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。
从比特币、以太坊到 Maker、Fei,理解中心化银行到去中心化银行的演化。我们到底该怎么赚钱呢?这是一个让我花了不少时间思考的有趣问题.
1900/1/1 0:00:00如今以太坊的问题在于,用户越多,以太坊的速度就越低,使用成本越高。不断恶化的用户体验吸引了来自诸如币安智能链BSC,Solana和Polkadot等重要竞争者争夺智能合约平台宝座.
1900/1/1 0:00:00在《奇葩说》曾经的一道辩题辩论中,李诞曾说,「比蒙娜丽莎更美的,是燃烧中的蒙娜丽莎。」李诞的话本来就是是舞台上的演戏台词,没人当真,但在 NFT 领域,烧画这个动作,似乎真的成了某种流行.
1900/1/1 0:00:00Vitalik?在《正统性是最重要的稀缺资源》一文中提出了Legitimacy(正统性、合法性、认受性)这个概念,随着对该概念的探讨,我发现从现象入手来认识正统性是一条便捷的道路.
1900/1/1 0:00:004月10日,以“共建生态 智链未来——开启可信商业积分新时代”为主题的中国商业积分联盟成立启动发布会暨区块链技术创新应用高峰论坛在重庆举行.
1900/1/1 0:00:00在昨天的文章中,我谈到了美国国债收益率的下降给行情带来的助推,并且谈到比特币即将再创新高。结果不久比特币就超过了6万美元,尽管后来有所回落没有站稳,但站稳6万美元只是时间的问题.
1900/1/1 0:00:00