区块链是金融服务业中一项令人期待的新兴技术,它可以为处理广泛的金融交易提供一种更有效的方式。那么金融服务机构能够依靠它?内部审计团队可以信任它吗?毛球科技技术研究不认为,是可以的。
区块链和金融业
毫无疑问,区块链的概念已经吸引了金融机构、政府、公司等机构的广泛关注。让我们先回顾一下区块链实际上是什么,为什么它们很重要,以及如何使用它们。
区块链是跨点对点网络的分散的事务分类帐。让我们来分解一下这个定义。交易分类账只是一个可以记录某些东西的地方。区块链之所以是分散的账本,因为网络上的每个人都有自己的同步副本。
ENS将推出区块链原生的、可通过域名解析系统路由的顶级域名.box:6月7日消息,ENS开发者nick.eth发推称,ENS将推出区块链原生的、可通过域名解析系统路由的顶级域名.box。该域名系统中所有注册和转移都将在链上进行,NFT的所有者将同时拥有DNS和ENS域名。
据悉,.box域名可用于DID配置文件和钱包、去中心化的网站和消息传递、Web2网站和电子邮件、收藏与交易等。[2023/6/7 21:21:43]
区块链允许多方确认交易,并将其记录在分散的、防篡改的分类账上.来源于PWC
分类账之所以如此特别,可以追溯到基于应用密码学的技术上。想象一方希望将项目添加到分类帐,例如资产所有权转移时。该提议事务使用已知算法编码,并通知网络的所有成员。
每个区块链都有自己的“共识机制”。“每个人都使用相同的、已定义的过程来确认交易是有效的。一旦他们同意了,这些信息将被添加到永久记录中,并且新的分类帐条目则成为相关交易链中的另一个数据块。
Beosin:Avalanche链上Platypus项目损失850万美元攻击事件解析:2月17日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、 预警与阻断平台监测显示,Avalanche链上的Platypus项目合约遭受闪电贷攻击,Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用Platypus Finance合约的deposit函数质押,该函数会为攻击者铸造等量的LP-USDC,随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中,然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额,_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限,利用该返回值通过borrow函数铸造了大量USP(获利点),由于攻击者自身存在利用LP-USDC借贷的大量债务(USP),那么在正常逻辑下是不应该能提取出质押品的,但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的borrowLimitUSP(借贷上限)而没有检查用户是否归还债务的情况下,使攻击者成功提取出了质押品(4400万LP-USDC)。归还4400万USDC闪电贷后, 攻击者还剩余41,794,533USP,随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。[2023/2/17 12:12:32]
而且因为每个人都使用相同的数据工作,所以无法篡改事务记录。
Beosin解析Reaper Farm遭攻击事件:_withdraw中owner地址可控且未作任何访问控制:8月2日消息,据 Beosin EagleEye 安全舆情监控数据显示,Reaper Farm 项目遭到黑客攻击,Beosin 安全团队发现由于_withdraw 中 owner 地址可控且未作任何访问控制,导致调用 withdraw 或 redeem 函数可提取任意用户资产。攻击者(0x5636 开头)利用攻击合约(0x8162 开头)通过漏洞合约(0xcda5 开头)提取用户资金,累计获利 62 ETH 和 160 万 DAI,约价值 170 万美元,目前攻击者(0x2c17 开头)已通过跨链将所有获利资金转入 Tornado.Cash。[2022/8/2 2:54:18]
潜在的用途
金融服务公司依赖于拥有特定资产的准确记录。为了确保各方就所有权达成一致,他们通常会寻求一个值得信任的“中介人”,如政府、银行、票据交换所或交易所。其中包括托管、清算和公司信托等功能。
动态 | 浙江大学携手剑桥大学发布区块链生态深层解析报告:近期,浙江大学互联网金融研究院携手剑桥大学新兴金融研究中心发布区块链生态深层解析报告《Distributed Ledger Technology Systems-A Conceptual Framework》的中文版——《分布式账本技术系统:一个概念框架》。浙大AIF副院长杨小虎指出,该报告不仅阐明了如何识别DLT系统,分析和比较现有的DLT系统,还通过六个实例为新系统设计提供有用的借鉴。[2018/8/17]
除了以上功能,还有对账、确认、身份管理和其他步骤,以创建所发生事情的书面记录。所有这些都以时间、金钱等形式增加了中间摩擦成本。
区块链可以提供一种更有效的方式来处理各种金融交易,包括支付、衍生品、结算、证券、银团贷款和贸易金融的应用。
这些广泛的应用解释了为什么有这么多的概念验证项目。与此同时,技术人员不断遇到砖墙,因为这些潜在的好处都没有解决IA的担忧。让我们从他们的角度来看一下区块链。
前美联储理事Kevin Warsh:从美国经济政策角度解析比特币价格波动: 前美联储理事、斯坦福大学胡佛研究所杰出访问学者Kevin Warsh今日撰文,从政府经济政策角度解读了比特币价格波动的原因。对于2017年BTC价格的狂飙,Warsh认为:1.特朗普上台后推出的减税等宽松政策持续刺激美国经济增长,继而带来的通货膨胀预期促使美国加息进度超预期,比特币成为规避法币贬值的避风港;2.特朗普政府贸易保护政策致使美元在2017年贬值12%,投资者寻求比特币规避贬值;3.据去年10月、11月调查,美国民众对政府的信任度下降14个百分点达到33%,而美元正是建立在公众对政府信任的基础上。而对于今年以来比特币价格的大幅波动,是因为投资者正在调整对政府政策的预期,新任美联储主席也在重新考虑如何更好地实施货币政策,同时也在考虑推出自己的加密货币。[2018/3/8]
内部审计经济的作用依赖于那些愿意投资和贷款的人的资本流动借用和建造。投资者和贷款人需要一种检测欺诈行为和促进问责制的方法。这是内部审计的职责:向董事会或其他外部利益相关者提供独立保证,确保管理层正在按照既定政策和风险偏好执行其职责。
该流程的工作原理是这样的:首先,管理创建了一组流程和控件,能够方便、无障碍地提供记录准确性。然后,确保IA测试系统是否正常工作,以及数据确认记录的内容。
此外,审计员与管理层合作,帮助改进流程和控制。最后,该公司进行了一次外部审计。一旦完成,利益相关方可以合理保证报告的真实性。
是什么让内部审计师在晚上熬夜
IA可能难以适应区块链应用程序有许多逻辑方面的原因,通过理解并解决这些问题,区块链可以获得更广泛的接受。例如:
区块链相对较新。区块链的第一步还不到10年,而且基于区块链的大多数应用程序时间都短于这个时间。相比之下,管理层目前所依赖的系统已经经过了几十年的测试,并有特定的指导和原则,可以让IA团队轻松上手。同时,审计团队可能还没有专业知识或对信任加密算法的系统的指导。
控制方式不同。因为区块链是一项新技术,所以它需要一种新的控制思维方式。审计员可能不排斥这样的改变,但他们需要考虑一些问题:谁控制区块链?谁可以访问权限?服务器在哪里?存在哪些物理控制和数字控制?由谁来监控活动?
缺乏专业知识。在PWC最近的一项调查中,86%的金融服务高管表示,他们的组织还没有开发出必要的区块链技能。很少有IT部门有相关的经验,甚至更少的公司拥有具有足够专业知识的IA团队来围绕技术和相关工作提供任何形式的保证。
开始很艰难。虽然区块链是因为比特币而名声大噪,但两者现在已经属于不同的两条道。对于那些没有密切关注的人来说,考虑到数字货币的一些早期问题,整个话题可能看起来很棘手。但分类账只是记录工具。一些IA团队可能明白,区块链现在使用了电子投票、跟踪知识产权和地址注册,但这些知识可能没有传达到他们的控制委员会。
区块链保证
如果一项技术要在商界获得广泛的认可,那么推广者应该承认并解决怀疑论者的问题。区块链是新技术,但它已经在逐渐走向成熟。
要让区块链获得更广泛的认可,才能明确表明IA的担忧已经得到解决。我想我们现在正处于这个引爆点。对于区块链保证,需要有一个真实、实用、经济高效的解决方案。
毛球科技预计区块链保证将包括以下步骤:
评估业务用例和所有利益相关者的需求。
评估底层加密学,包括如何管理私钥以及如何维护区块链引擎的安全性。这将包括审查正在使用的共识机制,以清楚何时应增加新的记录。
检查特定网络的设置方式、如何生成系统报告以及指导该网络操作的控件。这里需要记住一点,没有标准统一的区块链。有许多区块链系统,每个区块链都是独特的。
根据以上的方法,则可以消除内部审计员对分布式分类账的担忧。
案例研究:基于区块链的交易平台的内部审计
为了说明这一点,让我们看看资本市场行业中区块链保证。
一家公司被称为区块链服务提供商(BSP),已从事分布式分类账项目好几年。两年前,它推出了一个基于区块链的交易平台,使公司能够发行股票,将这些股票转让给投资者,然后支持二级市场交易,所有这些都不需要中介机构的直接干预。这个平台现在已经上线,解决了一个具有商业化潜力的真正的商业问题。
使用分布式分类帐记录资本化表是一个典型的区块链用例,但保证问题有一个转折。BSP的内部审计团队已经完全参与其中,但BSP还必须说服他们的外部审计师,他们的法律和合规团队,以及监管机构。毕竟,如果对资产出售时谁拥有资产有任何疑问,交易都可能会失败。该公司经营着股票和期权的电子交易交易所,还为全球各地的交易所、票据交换所、中央证券保管机构和监管机构提供市场基础设施。
为了解决潜在的问题,BSP的内部审计师与一个独立的、中立的第三方——一个区块链保证提供商(BAP)合作。BAP被要求评估交易所是否以一种交易员可以依赖于每笔交易的完整性和最终性的方式建立了其平台。在规划和风险评估阶段,BAP采取措施确认其独立性,并评估潜在风险。
为此,BAP利用了它对行业、技术、客户期望、法规等的知识。然后,它帮助设计了一种测试方法,并收集了数据。BAP评估了这项技术,并测验了它是如何连接到邻近的技术平台的。BAP还研究了控制环境:数据如何保护和访问,存在什么保护来防止篡改,等等。最后,BAP作为一个观察的成员加入了该网络,允许它实时审查和确认交易的有效性。实时审查发生的事情,而不是有选择地测试,这也与当前的审计技术明显不同。
前方的道路
现代金融服务业已经发展到包括一系列复杂的参与者和流程网络。
技术的转变现在使人们能够重新思考哪些关系有意义,以及它们是否仍有必要。
传统上,交易双方的公司都依赖于叠加的控制,以确保一切都做得正确。
还有选择性的事后测试,以确保控制装置已按预期工作。区块链可以通过减少中间过程的摩擦和实时测试一切,而不是以后测试一些东西来改变这一切。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。