本文由“靈蹤安全”原創,授權“金色財經”獨家首發,轉載請著名出處。
在一篇審計報告中,用戶如果希望詳細了解被審計合約中出現的問題和風險,最需要閱讀的就是對這些風險的詳細描述了。在靈蹤安全的審計報告中,這部分內容就是第11章“問題詳述”。
在這一章,我們會按照合約文件的名,羅列每個合約文件中出現的所有風險問題。對每個風險問題,我們會給出問題的標題、該問題的風險等級、問題所在的出處、對問題的詳細描述、靈蹤安全對解決問題給出的修改建議、項目方的反饋。?
問題的標題就是我們對一個問題直白、簡介地概述性的總結。
在標題后,我們著名此問題是致命風險、高危風險、中度風險還是低風險。
獨家 | JustSwap日交易額突破 1.2億美元:據DappBirds DeFi Data專題數據顯示,JustSwap日交易額突破 1.2億美元,DeFi中鎖定資產總價值達126.21億美元,較昨日下降1.36%,其中Uniswap,Maker,Aave,SushiSwap,Curve分別以16.94億美元,15.62億美元,15.17億美元,14.34億美元,11.61億美元位列前五名。[2020/9/3]
接下來我們就會指出這個問題具體出現在某個合約文件的第幾行。如果某些問題普遍、廣泛地存在于合約文件中,我們會明確標出問題的關鍵字,而不具體指出問題所在的行,這樣用戶能用關鍵字在文件中搜索出所有存在此問題的地點。
獨家 | 比特幣鏈上活躍度下降,未確認交易數4798筆:金色財經消息,據歐科云鏈OKLink鏈上數據顯示,BTC鏈上活躍度下降。截至上午11時,BTC全網難度為16.95T,全網算力為125.89EH/s,較前日下降1.08EH/s,全網算力呈下降趨勢。未確認交易數近4798筆。[2020/8/14]
在羅列問題的出處后,我們會對問題進行詳細地描述,這包括問題是由什么原因造成的,它會帶來什么風險,這些風險隱患不解除會造成什么后果。
我們對問題進行詳細描述一是為了讓項目方明晰問題的嚴重性,引起項目方的關注,并促使項目方改進;另一方面也是希望引起讀者的注意:他在使用這個應用或服務時,可能會遭遇什么風險甚至受到什么損失。這和我們平時在進行投資時,金融機構在我們作出最后決定前給我們看風險提示的目的是一樣的。
獨家 | EOS社區意見領袖梓岑:Voice的競爭對手是Twitter這樣的媒體社交巨頭:在今日金色財經直播的OKEx礦池第二期AMA中,對于OKEx礦池的負責人Alina的提問“Voice的競爭對手是哪些?Voice靠什么挑戰他們呢?”EOS社區意見領袖梓岑表示Voice的競爭對手,是Twitter這樣的媒體社交巨頭。Voice需要這些:測試版和冷啟動期間靠Blockone團隊的直接驅動和社區的共同助力。我們已經在EOS主網啟動這件事情上親歷過,知道這個社區的熱情和能量。高速發展期,靠Token經濟模型和早期紅利的造富效應,吸引大量用戶帶著FOMO情緒瘋狂涌入。這一點,我們已經在Steemit上親歷過了。幸運的是,現在Voice面臨的市場環境比Steemit啟動的時代更繁榮和健康、基礎用戶規模更大、社區也更健壯。Blockone團隊的實力更強、能量更大、資源更廣。而到了最后成熟期,靠DAC(Distributed Autonomous Corporation,分布式自治系統)的自動運行、自我治理和自然進化能力。這一點很重要。我們過去常常聽到一個聲音,認為傳統互聯網巨頭殺入區塊鏈行業,將會是降維打擊。但我的態度剛好相反,互聯網巨頭做不了純正的區塊鏈項目。[2020/2/14]
我們給出問題的細節是指出問題,但更重要的還是解決問題,所以接下來我們就會給出靈蹤安全對這個問題所提出的修改建議。我們的修改建議會具體到代碼該怎么改,在哪一行改等這些細節。我們希望用這樣的細節讓項目方第一時間就能迅速、精準地定位問題并解決問題。
獨家 | TokenInsight分析師:區塊鏈技術正逐步得到金融行業認可:隨著區塊鏈技術應用于越來越多的領域,區塊鏈+金融也愈發博得關注。TokenInsight分析師接受金色財經獨家專訪,并指出:區塊鏈作為金融科技的核心技術之一,自2008年比特幣誕生以來,其底層技術逐步得到金融業界的認可,在銀行、證券、保險等多類機構,跨境支付、風險信息共享、供應鏈金融、票據業務等具體領域取得初步成效。眾多公司紛紛布局區塊鏈的研究開發與應用落地,國際上誕生了如Circle、Ripple、Coinbase、Bitpay、Linq等巨頭,國內亦有螞蟻金服、同盾科技、壹諾金融、票據鏈等行業先鋒。博鏈數據庫顯示,截至2017年4月底,全球455家區塊鏈和比特幣相關公司累計獲得融資額為19.47億美元。據賽迪顧問分析,未來區塊鏈在金融領域的應用規模將破萬億元,預計到2018年末,我國區塊鏈市場規模將達0.81億元,2020年將達5.12億元。
區塊鏈作為分布式賬本,其低交易成本、發揮共識價值、記錄無法篡改、流程自動化等特征為其在金融領域獲得廣闊的發展空間提供了保障。在客戶征信方面,可以通過區塊鏈技術將個人不良信用記錄下來,銀行將不再花費大量成本去計算信用評分;在電子支付方面,交易者間不再有中介,資金中轉可以真正實現點對點交易,減少中轉成本;在證券發行與交易方面,賬本可以實時監控交易中的暗箱操作、內幕交易等情況,使該過程實現市場化。[2018/7/18]
我們前面說過,我們希望通過對問題的詳細描述,闡明前因后果,引起項目方的高度重視,最終目的還是希望項目方盡量解決這些問題。所以我們在每個問題描述的最后專門留出一欄,叫做“項目方反饋”。這一欄就是記錄項目方對這個問題的態度及行動的。項目方有沒有對我們發現的問題引起關注、有沒有立刻修改或者即便暫時無法修改后續有沒有修改的計劃等都會被我們記錄在這一欄。
至此,我們對一個問題的詳細描述就結束了。
在這些細節中,我們會特別對三個細節用黑體字高亮標出,它們分別是:問題的標題、問題的風險等級和項目方的反饋。用更通俗的話來說就是:問題是什么?問題嚴重嗎?問題解決了嗎?
我們認為這三點是讀者在閱讀某個風險隱患的描述時需要關注的重中之重。
讀者需要注意的是,在靈蹤安全的報告中,除了第11章“問題詳述“之外,還有第12章”增強建議“。
第12章所給出的建議是我們從代碼可維護性、可讀性、抗風險性等諸多方面考察后,綜合給出的建議。項目方如果采納這些建議會整體提高代碼的質量、但如果由于條件限制暫時無法采納,也不會讓項目暴露在即時可能引發的風險中。
需要指出的是,靈蹤安全對風險等級的分類及描述是按照我們既往的經驗總結的。每個審計機構都會有自己的標準和定義,這些標準和定義很可能不盡相同。但我們認為最重要的還是所找出的問題是否會引發風險、引發的風險是否嚴重以及風險最終是否得到了妥善處理。這才是對問題處理的核心和根本。
作者:
靈蹤安全CEO譚粵飛
美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師,負責底層控制系統的開發、設備制程的程序實現、算法的設計,并負責與臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學創業學院《區塊鏈概論》課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事。個人擁有4項區塊鏈相關專利、3本出版著作。
關于靈蹤安全:
靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月,團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。
團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊團隊正式收入。
團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目,并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。
親愛的AEX安銀小伙伴:為提高用戶交易體驗,AEX安銀將于2021年04月09日15:00開放IOST/USDT、ZEC/USDT交易對.
1900/1/1 0:00:00波卡生態的Layer0層隱私網絡協議項目Evanesco已正式對外啟動融資,BlockDreamFund,BlockArk,BitZ,Candaq,CabinVC,ConsensusLab.
1900/1/1 0:00:00一、平臺實力1.倫敦交易所全球首發倫敦補貼金2.0全新升級,旨在為用戶的資產交易保駕護航;2.倫敦交易所AICoin全球排名第2位;3.倫敦交易所已獲得美國MSB金融服務牌照.
1900/1/1 0:00:00大家好,我是來自CKcoin平臺首席分析師老崔說幣,也是你們的朋友老崔說幣lcsb18888,老崔說幣公眾號同步專注數字貨幣行情分析,爭取為廣大幣友傳遞最有價值的幣市信息.
1900/1/1 0:00:00大家晚上好,歡迎參加虎符在Hoo中文社區主辦的虎符后浪AMA。虎符交易所是全球領先的加密貨幣交易所,支持多種數字加密貨幣交易.
1900/1/1 0:00:00鏈聞消息,波卡生態智能合約平臺CloverFinance將從4月20日開始在CoinList上進行代幣公開銷售,將共分三輪銷售1.5億枚CLV代幣,其中,第一輪為社區銷售.
1900/1/1 0:00:00