ITH:獨家 | 審計報告怎么記錄審計文件的存證? 又該如何去審讀_WRAITH

本文由“靈蹤安全”原創，授權“金色財經”獨家首發，轉載請注明出處。

?一份審計報告是對一套智能合約的“質量檢測報告”，那報告就要告訴用戶所審計的對象是誰。

?和普通的有形商品不同，智能合約這種特殊的商品是摸不著的，那怎么才能讓用戶知道它呢？

?區塊鏈領域的絕大多數項目包括鼎鼎大名的比特幣和以太坊都有一個共同的特點：它們的源代碼都是”開源”的。所謂的“開源”就是它們的代碼都是公開的，放在某個公開、所有人都可以訪問的網站上，任何人都可以看到它的內容。

?我們所審計的智能合約絕大多數也是這樣，它們都是開源的，放在一些知名的、供所有人存放文件的網站比如github等。

?如果我們所審計的智能合約是開源并且放在了github上，我們要讓用戶知道它、看到它的源代碼，就會在審計報告中列出合約所存放的github的網址。這就好比一件商品存進了一個大倉庫，存在倉庫中的某個庫房，我們要讓用戶能找到這件商品就要告訴用戶倉庫的地址和庫房的門牌號碼。存放合約的github網址就等于倉庫地址+門牌號碼。

獨家 | SushiSwap完成流動性遷移，總流動性近12億美元:據DappBirds DeFi Data專題數據顯示，SushiSwap完成流動性遷移，總流動性近12億美元，DeFi中鎖定資產總價值達90.71億美元，較昨日下降7.70%，其中Aave，Maker，SushiSwap，Curve，yearn分別以14.79億美元，12.72美元，11.87億美元，10.65億美元，9.85億美元位列前五名[2020/9/10]

可是如果合約的編寫者在給審計機構審計時用的是放在github上的一套合約，但審計后尤其是項目上線后，用戶又修改了它的智能合約，我們怎么知道放在github上的合約就是審計時看到的合約而不是后來修改過或者其它“魚目混珠”的合約呢？

這就涉及到github這個倉庫的一個特性了。

獨家 | 熱門DeFi項目Yearn治理幣YFI報價超過1萬美元:據DappBirds DeFi Data專題數據顯示，熱門DeFi項目Yearn治理幣YFI報價超過1萬美元，DeFi中鎖定資產總價值達81.78億美元，較昨日下降0.62%，其中Maker，Aave，Curve，Synthetix，Compound分別以14.70億美元，11.20億美元，10.20億美元，8.12億美元，7.32億美元位列前五名。[2020/8/19]

當項目方往github中存放代碼時，github會給這次存放動作產生一個版本號。這就好比我們在比特幣、以太坊中申請一個新錢包時，這個錢包會有一個獨一無二的地址一樣，這個版本號也是唯一的。

當項目方之后對任何文件有了任何改動：小到一個字的修改，大到文件的刪除、添加等，當把這些改動提交到github中，github又會給這次動作產生一個新的版本號。

獨家 | 陳九：以太坊價格縮水會造成項目無法正常推進:針對近期以太坊價格跳水的現象，金色財經就此事獨家采訪到陳九金服創始人兼CEO、Block VC創始合伙人陳九，他表示：“當下對于以太坊發行token和計劃在以太坊落地應用的團隊來說，無疑一塊是由于項目啟動和運營資金縮水嚴重，導致部分團隊項目無法正常向前推進，項目對主鏈性能如果要求比較高，也會受到很大影響。在投資方面，目前很多幣圈機構同仁最近都不投任何項目了”[2018/8/23]

所以github中的版本號就是對所存放的文件的一份唯一存證，它保證了這個版本號所對應的文件就是某時某刻放進倉庫中的文件，而不是之前或之后放進去的文件。

所以我們在審計報告中除了羅列被審計合約的github網址，還要羅列被審計合約在github中的版本號。

獨家 | 冉小波：馬太效應在POW機制中逐步體現:POW共識機制近日遭V神質疑能耗大、易形成算力集中。對此，NULS聯合發起人冉小波在接受金色財經獨家采訪時指出：“中本聰創造了POW機制，目的是為了規避人性，所以讓機器來參與工作量的競爭，追求一個公平財富分配方式。他提出的點對點電子現金系統使得眾多的自由主義極客被這種理念吸引，形成了龐大的社區。POW機制是最早的區塊鏈共識機制，有很大的魅力和價值所在，現在依然是區塊鏈項目中共識最大的一種機制。但是現階段來看，人依然在金字塔的頂端，所以人性是不可規避的，POW并不能規避人性，隨著礦池的發展，使得POW機制開始變得中心化，馬太效應在POW機制中也體現了出來。其次，POW機制的算力并未對網絡做出多大的貢獻，大量的算力都在計算一個毫無意義的方程式去爭奪記賬權，使得大量的能源和資源的浪費，這些資源都可以通過改進共識機制讓其產生更大的價值。再者，隨著區塊鏈的發展，區塊鏈應用場景越來越廣泛，使用頻率不斷上升，對區塊鏈的性能要求不斷提升，所以POW已經不能支撐大量的應用需求，當然也有很多的解決方案在探索中，例如以太坊的分片技術等。

以太坊最早使用POW機制，有著和中本聰一樣的愿景和目標，然而以太坊提供了智能合約環境，面對的是一個更大的生態，而不是單一的數字貨幣系統，這使得對區塊鏈性能的要求必然要高得多。當Vitalik看到現如今以太坊面臨的困難時，他提出了更改共識機制，但是想要更改共識機制是一件非常難的事情，以太坊有一個龐大的社區，更改共識機制使得社區中充當生產者的礦工部分的利益并不一致，然而POW機制的以太坊中，礦工才是區塊鏈的決策者，所以以太坊基本上從POW直接過渡到POS是非常困難的。以太坊的升級并不是技術的問題，而是社區難以達成共識，如果直接升級做硬分叉，則可能造成社區的分裂，大部分以太坊上的生態也會分裂。[2018/7/12]

這兩個要素就保證了讀者看我們報告時能準確知道我們所審計的內容。

獨家 | 高澤龍：加密貨幣大概率被認定為證券、商品和資產屬性進行監管:加密貨幣的屬性一直存在爭議，近日泰國全新法律將數字資產定義為貨幣和證券雙重屬性。日本金融廳擬將虛擬貨幣劃分為金融商品，受金融商品交易法約束。對于加密貨幣的屬性問題及適用的監管法律問題，國際區塊鏈與數字貨幣協會高澤龍在接受金色財經獨家采訪時表示：“加密貨幣的監管對于全世界所有國家而言都是難題，棘手且復雜，因為其關乎未來經濟、金融的穩定和走向，需要相當的智慧和高度。這也是為什么從2016年區塊鏈爆發到現在，各國政府都很難出臺明確的法律法規。”

高澤龍進一步指出，我們可以做一些推測，當然，沒人能完全預料事態將如何演變。教育普及和技術實現已經全部完成，現在距離加密貨幣大范圍普及只剩下政府監管這一步，所以說各國政府肯定會極其慎重。我認為，政府對虛擬貨幣認定為金融商品、證券、數字資產等的概率較大，政府不會認定虛擬貨幣是一種流通貨幣，或者會設定其在某個特定領域、特定的界限內流通，監測觀察，隨時應對。代幣如果具備證券或股權屬性，與證券、股權掛鉤的，一般可以被認定為證券屬性。加密貨幣如果是證券化相關的，這樣的監管可以優先考慮按照或者在國家證券監管的基礎上實現和變通，這將使得虛擬貨幣行業更符合全面的監管合規要求。部分國家認為虛擬貨幣具有或意圖具有影響人們做出投資或管理金融風險的安排或設定，這也是定性證券的考慮。一般說來，只用作支付、清算或交換媒介的加密貨幣——不屬于特定公司，不賦予其他權利且不受中央實體控制——不會被視為證券。無論如何，小范圍的嘗試都不會引起大的動蕩，隨時可以叫停，并且隨時調整，好的政策和方向也是需要實際去驗證的。[2018/7/3]

除了放在github上，還有的項目方在審計時已經把合約部署在區塊鏈網絡上了。由于智能合約一旦部署到區塊鏈網絡上，它就是無法篡改和撤銷的，因此智能合約所部署的區塊鏈地址也可以作為合約的存證地址。

對這樣的合約，我們通常也會記錄下它在區塊鏈上的地址作為唯一存證。

我們前面說絕大多數項目的智能合約是開源的，這也就意味著還有一些項目的合約在審計時是未開源的，在這種情況下，我們怎么記錄這份合約的存證呢？

我們會用SHA-256的值來標記合約文件的存證。

有些讀者尤其是數字貨幣的玩家看到“SHA-256”這個詞會覺得很眼熟：這不是數字貨幣加密算法中常用的一個技術嗎？

確實是這樣，更準確的說，它是一種經過“哈希函數”運算得出的值，這個值也被稱為“哈希值”，它有256位。

所謂的哈希函數又稱散列函數，是一種從任何一種數據中創建小的數字“指紋”的方法。哈希函數把消息或數據壓縮成摘要，使數據量變小，將數據的格式固定下來。該函數將原有的數據打亂混合，重新創建一個結果叫做哈希值。

我們為什么要用這個值來記錄合約文件的存證呢？因為一個SHA-256的值所對應的文件內容是唯一的。這就和上面我們用github中的版本號來保證github中的文件是唯一的一樣。

那我們怎么用這個值來記錄合約文件的存證呢？

我們自己編寫了一套這樣的工具，對所審計的每個合約文件的內容都用這個工具進行一次運算，所得到的值就是一個SHA-256的值。這個值就代表了我們所審計的文件內容的唯一。

我們會羅列每個文件及其所對應的SHA-256值，這就記錄了文件的存證。

當用戶或讀者要檢測他看到的合約文件是否是我們所審計的合約時，將他看到的文件用我們的工具計算一下，將所得出的SHA-256值與我們所得到的值進行比較，如果一樣就證明是，如果不一樣就證明不是。

所以總結起來說，我們會用github網址+版本號、區塊鏈地址或SHA-256值這三種方式中的一種或幾種來記錄文件的存證。

作者：

靈蹤安全CEO譚粵飛

美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事。個人擁有4項區塊鏈相關專利、3本出版著作。

關于靈蹤安全：

靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目，并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：區塊鏈HUB以太坊ITH到底什么是區塊鏈PHUB價格op幣價格跟隨以太坊價格走WRAITH

XMR