TECH:獨家 | 審計機構審計合約的流程_TEC

本文由“Fairyproof Tech”原創，授權“金色財經”獨家首發，轉載請注明出處。

在Fairyproof Tech的審計報告中，我們會交代對每一份合約的審計流程。大體上來說，這個流程主要包括兩個步驟：一是標準化審計步驟，二是人工審計步驟。

實際上這也是目前業內比較通行的步驟。不同審計機構可能在審計流程中的具體步驟和細節上存在差異，但歸納起來也都會包含這兩個大的步驟。 

在Fairyproof Tech前面發布的文章中，我們特別強調過智能合約和傳統工業流水線上批量產出的標準化產品不同，它不是按流水線、標準化作業生產出來的，而是人為編寫出來的。即便是照抄現有的合約，合約的編寫者通常也會在照抄的合約上做一些小的改動。因此，兩份合約哪怕是功能上一樣、邏輯一樣、特點一樣，在具體的編寫方式上都會存在差異。而這個差異往往就是漏洞、風險的來源。但這個差異又很難用機器大工業中常見的標準工具檢測出來。但如果無法用工具檢測，單憑人力檢測，不僅工作量大，而且效率低，并且時常還會出人為方面的錯漏。這看似矛盾的兩方面交織在一起，一直貫穿著整個審計過程的始終，也是推進行業前進和革新的根本動力。

獨家 | FTX創始人SBF：流動性挖礦并非完全可持續:金色財經現場報道，9月20日，由金色財經主辦，水橋區塊鏈總冠名的“共為·創業者大會”在廈門舉辦。金色財經CEO安鑫鑫大會現場視頻連線FTX創始人SBF。連線過程中SBF表示，對于流動性挖礦，我認為這并非完全可持續，因為它的價值從發行起到現在在不斷地下降，這個價值下降會導致管理的缺失，我們需要再等一等，目前不能給出很確切的回答。[2020/9/20]

對Fairyproof Tech來說，我們對合約的檢測一方面會盡量使用工具進行驗證以提高效率并減輕人為驗證時可能出現的差異和錯漏；而另一方面我們又特別強調人工檢測的重要性，并強調人工檢測對合約質量的最后把關，因為人工檢測不僅是用來檢測工具無法檢測出來的問題，更是用來預判和發現業界未曾記錄的風險、做到防患于未然的保證。

Fairyproof Tech自成立以來便一直致力于對合約審計標準化工具的使用和開發。在這方面，我們大膽借鑒了業界前輩已經積累的經驗，對目前市面上已經存在的合約檢測工具（如Security、Mythril、Oyente、ECF、Maian、Lem等）都進行了細致的研究和測試。但我們發現這些工具或多或少都存在一定的局限，并且在我們具體的使用過程中還存在各種不便之處，因此我們也在前輩研發的基礎上大力開發自己的自動化檢測工具，并將我們的工具投入到合約的審計工作中。這一方面提高Fairyproof Tech的工作效率，另一方面將我們不斷積累的經驗優化、集成到這些工具中，讓它們更好地服務于Fairyproof Tech的合約審計。 

獨家 | 金色財經2月27日挖礦收益數據播報:金色財經報道，據印比特數據顯示，按照BTC參考價格61900元、電價0.38元/kWh計算，當前在售主流BTC礦機的市場價格及回本周期為：芯動T3+-57T（全新現貨9500元，361天回本）、神馬M20S-68T（全新現貨12100元，305天回本）、阿瓦隆1066-50T（全新現貨5900元，269天回本）、螞蟻S17+-67T（3月份期貨12800元，291天回本）。[2020/2/27]

對標準化檢測工具的研發及推進將始終是Fairyproof Tech開發工作的重點和必須攻克的難點。我們認為這也是業界未來發展的方向和制高點。把握這個方向、占據這個制高點不僅對Fairyproof Tech本身的發展，更對整個行業的發展都將起到重要的推進作用。

 對工具的研發和使用是Fairyproof Tech工作的重點，而對人工審查的強調及對審計工程師的培養、培訓則是Fairyproof Tech工作的重心和核心。

獨家 | 金色財經2月15日礦幣數據播報:金色財經報道，據幣印礦池數據顯示：

主流幣挖礦日收益分別為：BTC（￥1.18/T）、ZEC（￥0.53/T）、LTC（￥24.61/G）、BSV（￥1.19/T）、BCH（￥1.18/T）、DASH（￥0.13/G）。

當前熱門礦機數據及凈收益分別為：神馬M20S（BTC，￥50.56）、螞蟻Z11（ZEC，￥57.16）、芯動A4+（LTC，￥8.42）。[2020/2/15]

Fairyproof Tech認為人工審計不僅是對工具審計的查漏補缺，人工審計所積累的經驗和技能也是改進和提升工具最好的素材和動力，人工審計本身更是對整個審計過程的最后把關。所以無論從哪方面說，人工審計的重要性都不言而喻。

獨家 | Topfund總裁劉思宇：若市場持續走低 ETH仍有較大下降空間:針對近期以太坊價格跳水的現象，金色財經就此事獨家采訪到Topfund 總裁劉思宇，關于“以太坊低迷的態勢還會持續多久”這一問題，他表示：“ETH之前上漲的依托是基于智能合約的ICO，據最近的數據，7月份ICO總募資下降了90%以上，因此很難支撐ETH這么龐大的市值，ETH價格下跌是必然的。項目方募集的ETH貶值壓力大，為了維持團隊和項目的正常運行，拋壓壓力極大。上周ETH暴跌據統計項目方大概拋售了36%的ETH，還有64%的ETH在項目方手里。因此如果市場行情繼續走低的話，ETH的下降空間還有很大。”[2018/8/22]

 人工審計所進行的是非標準化的活動。所謂的非標準化活動就是因人而異，難以絕對統一。因為每個審計工程師都有自己的習慣和自己的思路。在這種情況下如何既發揮人工審計的靈活性和創造性又避免人工審計中人為因素導致的錯漏則是Fairyproof Tech在人工審計過程中關注的重點和難點。

金色獨家 Higgs Block 科技公司CEO陳慶：市政廳會議將不會給美國關于加密貨幣法律帶來立竿見影的影響:針對美國證券交易委員會（SEC）將于北京時間6月14日凌晨兩點在佐治亞州亞特蘭大州立大學舉行一次市民會議一事，金色財經邀請Higgs Block 科技公司CEO陳慶對此作出解讀，陳慶表示：美國證券交易委員會（SEC）、美國商品期貨交易委員會（CFTC）于2018年2月6日于美國參議院會會晤，這個市政廳會議廣泛地討論了加密貨幣以及如果有這種需要的話，這些機構如何配合監管。SEC主席，Jay Clayton比較堅定地認為所有的ICO都是證券。在SEC4月26日召開的會議是為爭取“通證權益”而進行的重要一步。討論標志著SEC成員新的態度和開放度。SEC的部門負責人 William Hinman向聽眾保證，代表們正在試圖更加開放的看待此類問題，并且來審視一下到底哪些項目會表現出以功能為基礎的行為，而不是證券類的。從我們的角度來看，關于如何去給加密貨幣和TOKEN分類以及監管ICO投資過程的困惑是6月13日開展此次討論的主要原因，這次會議也將開啟讓問題更加明朗的后續步伐。SEC的比特幣和ICO會議將幫助政府明確在被加密貨幣社區廣泛討論的一些緊迫的法律問題方面的立場。我們判斷，并且已經注意到，這場市政廳會議是關于加密貨幣、ICO以及監管等問答的模擬大會，市政廳會議將不會給美國關于加密貨幣法律帶來立竿見影的影響，到目前為止只有一項明文的相關法律，那就是禁止美國人交易委內瑞拉石油幣，也就是特朗普通過簽署今年3月份的行政命令而確定的一項法律。[2018/6/13]

我們對此采取的主要措施是流程統一和交叉審計。這兩點也是Fairyproof Tech在人工審計這個大步驟中重點進行的兩個細分步驟 

所謂的流程統一就是我們為合約人工審計的流程制定了一個統一的框架和流程，這個框架和流程確保我們每個審計工程師都要延這個大方向走，不出方向性錯誤，這也是企業戰略中常說的目標一致、路徑一致，在合約審計中，我們也需要這種一致。

在這種一致框架和流程的規制下，每個審計工程師可以發揮自己的主觀能動性和創造性，按自己的習慣和特點審計合約，我們不予具體地干預。

但是即便方向一致，每個工程師在具體的進度、能力、判斷上還是會出現差異，而這些差異就有可能導致風險、漏洞逃過審計。

這時我們就需要第二個手段----交叉審計來防范這個問題。

所謂的交叉審計就是一份合約我們會由多個工程師審計。這個過程是將不同工程師的不同的思路和理解進行匯總的過程，也就是我們常說的“集思廣益”。通過這種方式，我們能盡量大地覆蓋風險的范圍和種類，盡量小地減少個人理解偏差在審計中造成的誤判。

所以Fairyproof Tech的審計報告中所提到的審計流程歸納起來就是利用工具的標準化審計和依賴工程師經驗的人工審計。

作者：

Fairyproof TechCEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程（Industrial Engineering） 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc（San Jose, CA, USA） 軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。

關于Fairyproof Tech：

Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目， 并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：TECHECHTECFAICryptosolartechBlockgameChainbytecoin-bcnbitcoinfaith

屎幣