HUB:独家 | 审计报告怎么记录审计文件的存证? 又该如何去审读

本文由“灵踪安全”原创，授权“金色财经”独家首发，转载请注明出处。

?一份审计报告是对一套智能合约的“质量检测报告”，那报告就要告诉用户所审计的对象是谁。

?和普通的有形商品不同，智能合约这种特殊的商品是摸不着的，那怎么才能让用户知道它呢？

?区块链领域的绝大多数项目包括鼎鼎大名的比特币和以太坊都有一个共同的特点：它们的源代码都是”开源”的。所谓的“开源”就是它们的代码都是公开的，放在某个公开、所有人都可以访问的网站上，任何人都可以看到它的内容。

?我们所审计的智能合约绝大多数也是这样，它们都是开源的，放在一些知名的、供所有人存放文件的网站比如github等。

?如果我们所审计的智能合约是开源并且放在了github上，我们要让用户知道它、看到它的源代码，就会在审计报告中列出合约所存放的github的网址。这就好比一件商品存进了一个大仓库，存在仓库中的某个库房，我们要让用户能找到这件商品就要告诉用户仓库的地址和库房的门牌号码。存放合约的github网址就等于仓库地址+门牌号码。

独家 | Uniswap再现超高风险流动性池:金色财经报道，据DappBirds DeFi Data专题数据显示，Uniswap中PLT/ETH流动性池中代币价值超过20亿美元，但经DappBirds查证，PLT代币链上仅被9个账号持有，该流动性池风险极高，请用户务必注意自身资产安全，DeFi中锁定资产总价值达51.05亿美元，较昨日上涨0.31%，其中Maker，Compound，Aave，Synthetix，InstaDApp分别以13.40亿美元，8.04亿美元，5.28亿美元，4.78亿美元，3.25亿美元位列前五名[2020/8/4]

可是如果合约的编写者在给审计机构审计时用的是放在github上的一套合约，但审计后尤其是项目上线后，用户又修改了它的智能合约，我们怎么知道放在github上的合约就是审计时看到的合约而不是后来修改过或者其它“鱼目混珠”的合约呢？

独家 | BTC 24h 链上交易量下降12.76%:据欧科云链OKLink数据显示，BTC 24h 链上活跃地址数总计848169，较前日下降7.6% ；链上交易量总计532306.32 BTC，较前日下降12.76% ；链上交易笔数总计280603，较前日下降15.11% ；BTC链上活跃度下降。

截至上午10时，全网算力约为106.48EH/s，较前日下降3.64EH/s，全网算力呈下降趋势。[2020/6/19]

这就涉及到github这个仓库的一个特性了。

当项目方往github中存放代码时，github会给这次存放动作产生一个版本号。这就好比我们在比特币、以太坊中申请一个新钱包时，这个钱包会有一个独一无二的地址一样，这个版本号也是唯一的。

当项目方之后对任何文件有了任何改动：小到一个字的修改，大到文件的删除、添加等，当把这些改动提交到github中，github又会给这次动作产生一个新的版本号。

独家 | USDT目前占比特币交易比重为73.85%:据cryptocompare数据显示，目前比特币交易情况按照交易币种排名，排在第一的是USDT，占比为73.85%；排在第二的是USDC，占比为10.01%；排在第三的是美元，占比为5.91%；排在第四的是日元，占比为5.35%；排在第五的是韩元，占比为1.17%。[2020/2/23]

所以github中的版本号就是对所存放的文件的一份唯一存证，它保证了这个版本号所对应的文件就是某时某刻放进仓库中的文件，而不是之前或之后放进去的文件。

所以我们在审计报告中除了罗列被审计合约的github网址，还要罗列被审计合约在github中的版本号。

这两个要素就保证了读者看我们报告时能准确知道我们所审计的内容。

除了放在github上，还有的项目方在审计时已经把合约部署在区块链网络上了。由于智能合约一旦部署到区块链网络上，它就是无法篡改和撤销的，因此智能合约所部署的区块链地址也可以作为合约的存证地址。

独家 | TokenInsight分析师：区块链技术正逐步得到金融行业认可:随着区块链技术应用于越来越多的领域，区块链+金融也愈发博得关注。TokenInsight分析师接受金色财经独家专访，并指出：区块链作为金融科技的核心技术之一，自2008年比特币诞生以来，其底层技术逐步得到金融业界的认可，在银行、证券、保险等多类机构，跨境支付、风险信息共享、供应链金融、票据业务等具体领域取得初步成效。众多公司纷纷布局区块链的研究开发与应用落地，国际上诞生了如Circle、Ripple、Coinbase、Bitpay、Linq等巨头，国内亦有蚂蚁金服、同盾科技、壹诺金融、票据链等行业先锋。博链数据库显示，截至2017年4月底，全球455家区块链和比特币相关公司累计获得融资额为19.47亿美元。据赛迪顾问分析，未来区块链在金融领域的应用规模将破万亿元，预计到2018年末，我国区块链市场规模将达0.81亿元，2020年将达5.12亿元。

区块链作为分布式账本，其低交易成本、发挥共识价值、记录无法篡改、流程自动化等特征为其在金融领域获得广阔的发展空间提供了保障。在客户征信方面，可以通过区块链技术将个人不良信用记录下来，银行将不再花费大量成本去计算信用评分；在电子支付方面，交易者间不再有中介，资金中转可以真正实现点对点交易，减少中转成本；在证券发行与交易方面，账本可以实时监控交易中的暗箱操作、内幕交易等情况，使该过程实现市场化。[2018/7/18]

对这样的合约，我们通常也会记录下它在区块链上的地址作为唯一存证。

独家 | TokenPocket创始人：多中心化交易所应让用户掌握更多资产控制权:加密货币交易平台Bancor于7月9日因调查其“安全漏洞”停止运营，被盗代币的价值超过1200万美元。一时之间，中心化与去中心化交易所的争议又被推成了舆论热点，如何判别交易所是否为去中心化、去中心化化交易所的安全问题出在哪里等是不少人关心的话题，金色财经就此采访了TokenPocket钱包创始人付盼，以下是付盼观点。

bancor具体应该是指bancor算法，有人认为可以根据这个算法设计一套货币系统，也有人认为可以基于此设计一套去中心化的交易机制，因此关于bancor是不是去中心化的交易所的问题其实没有一个绝对的答案。我们可以通过资产是不是完全掌握在用户手中的方式来判断交易所是中心化的还是去中心化的。去中心化的交易所也不能完全避免盗币事件，该问题主要出在了智能合约以及与用户交互的过程，因为智能合约也是一段代码，若没有安全检查，也是存在漏洞的，若该漏洞涉及用户的资产安全，那么就很容易被黑客利用，因此去中心化的交易所也可能会发生盗币问题，个人认为，去中心化的交易所应该将用户资产的控制权返还给用户。对于去中心化的交易所而言，不仅要注重用户的资产管理安全，还要关注用户的资产交易安全，重中之重就是要对涉及到交易的合约代码做好安全审查、全面测试。[2018/7/10]

我们前面说绝大多数项目的智能合约是开源的，这也就意味着还有一些项目的合约在审计时是未开源的，在这种情况下，我们怎么记录这份合约的存证呢？

我们会用SHA-256的值来标记合约文件的存证。

有些读者尤其是数字货币的玩家看到“SHA-256”这个词会觉得很眼熟：这不是数字货币加密算法中常用的一个技术吗？

确实是这样，更准确的说，它是一种经过“哈希函数”运算得出的值，这个值也被称为“哈希值”，它有256位。

所谓的哈希函数又称散列函数，是一种从任何一种数据中创建小的数字“指纹”的方法。哈希函数把消息或数据压缩成摘要，使数据量变小，将数据的格式固定下来。该函数将原有的数据打乱混合，重新创建一个结果叫做哈希值。

我们为什么要用这个值来记录合约文件的存证呢？因为一个SHA-256的值所对应的文件内容是唯一的。这就和上面我们用github中的版本号来保证github中的文件是唯一的一样。

那我们怎么用这个值来记录合约文件的存证呢？

我们自己编写了一套这样的工具，对所审计的每个合约文件的内容都用这个工具进行一次运算，所得到的值就是一个SHA-256的值。这个值就代表了我们所审计的文件内容的唯一。

我们会罗列每个文件及其所对应的SHA-256值，这就记录了文件的存证。

当用户或读者要检测他看到的合约文件是否是我们所审计的合约时，将他看到的文件用我们的工具计算一下，将所得出的SHA-256值与我们所得到的值进行比较，如果一样就证明是，如果不一样就证明不是。

所以总结起来说，我们会用github网址+版本号、区块链地址或SHA-256值这三种方式中的一种或几种来记录文件的存证。

作者：

灵踪安全CEO谭粤飞

美国弗吉尼亚理工大学(VirginiaTech,Blacksburg,VA,USA)工业工程硕士(Master)。曾任美国硅谷半导体公司AIBTInc软件工程师，负责底层控制系统的开发、设备制程的程序实现、算法的设计，并负责与台积电的全面技术对接和交流。自2011至今，从事嵌入式，互联网及区块链技术的研究，深圳大学创业学院《区块链概论》课程教师，中山大学区块链与智能中心客座研究员，广东省金融创新研究会常务理事。个人拥有4项区块链相关专利、3本出版著作。

关于灵踪安全：

灵踪安全科技有限公司是一家专注区块链生态安全的公司。灵踪安全科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月，团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。

团队成员参与发起并提交了以太坊领域的多项标准草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569被以太坊团队正式收入。

团队参与了多项以太坊项目的发起及构建，包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目，并参与了多个项目的安全审计工作，在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。

标签：区块链ITHHUBSHA区块链技术通俗讲解中山大学PolkaSmithGHUB价格SHARBI

火币APP热门资讯