本文由“Fairyproof Tech”原创,授权“金色财经”独家首发,转载请注明出处。
在Fairyproof Tech的审计报告中,我们会交代对每一份合约的审计流程。大体上来说,这个流程主要包括两个步骤:一是标准化审计步骤,二是人工审计步骤。
实际上这也是目前业内比较通行的步骤。不同审计机构可能在审计流程中的具体步骤和细节上存在差异,但归纳起来也都会包含这两个大的步骤。
在Fairyproof Tech前面发布的文章中,我们特别强调过智能合约和传统工业流水线上批量产出的标准化产品不同,它不是按流水线、标准化作业生产出来的,而是人为编写出来的。即便是照抄现有的合约,合约的编写者通常也会在照抄的合约上做一些小的改动。因此,两份合约哪怕是功能上一样、逻辑一样、特点一样,在具体的编写方式上都会存在差异。而这个差异往往就是漏洞、风险的来源。但这个差异又很难用机器大工业中常见的标准工具检测出来。但如果无法用工具检测,单凭人力检测,不仅工作量大,而且效率低,并且时常还会出人为方面的错漏。这看似矛盾的两方面交织在一起,一直贯穿着整个审计过程的始终,也是推进行业前进和革新的根本动力。
独家 | 武景刚:区块链创业团队应该备好资金,准备“过冬”:清华-青岛大数据工程研究中心区块链物联网实验室主任武景刚在接受金色财经独家采访时表示:以互联网技术为例,分为‘前互联网时代’和‘后互联网时代’。前者是各大公司拼技术拼商业模型的阶段,后者是拼运营、资本、资源的阶段。区块链技术目前处于前期阶段,各团队、项目都在拼技术,探讨TPS等性能的发展。在新一轮的监管来看,监管政策指向并没有针对区块链技术,主要是集中在对发币融资定性为非法集资。对于区块链创业团队而言,目前应该充沛资金,准备好“过冬”。[2018/9/24]
对Fairyproof Tech来说,我们对合约的检测一方面会尽量使用工具进行验证以提高效率并减轻人为验证时可能出现的差异和错漏;而另一方面我们又特别强调人工检测的重要性,并强调人工检测对合约质量的最后把关,因为人工检测不仅是用来检测工具无法检测出来的问题,更是用来预判和发现业界未曾记录的风险、做到防患于未然的保证。
独家 | ZENIEX创始人崔敬俊:韩国政府对交易所征税不会促使手续费上涨:韩国政府于7月30日发表的“2018年税务法律改政案”中提及将对交易所进行征税。有猜测指出,既然虚拟货币交易所无法得到税收减免,那么未来交易所可能采取将手续费调升的方法来保持其利润。对此,韩国ZENIEX交易平台创始人崔敬俊在接受金色财经独家采访时指出:“我不认为交易所手续费会上涨,因为年初时有提到过这个方案,但并没能真正的落实,很多交易所对此也有一定的预期,并不会突然上调手续费。目前看来,手续费从年初到现在并不是上涨的趋势。政府在年初时想要打压虚拟货币和交易所,但是遇到了两个阻碍,一个是民众的反对,另一个是来自于技术实现和实际行政监管的困难。此前,政府在行业的监管认知中还存在不足。此次政府对于区块链初创公司和中小型公司减免税务可以看出政府在监管上有了一定的认知。”[2018/7/31]
Fairyproof Tech自成立以来便一直致力于对合约审计标准化工具的使用和开发。在这方面,我们大胆借鉴了业界前辈已经积累的经验,对目前市面上已经存在的合约检测工具(如Security、Mythril、Oyente、ECF、Maian、Lem等)都进行了细致的研究和测试。但我们发现这些工具或多或少都存在一定的局限,并且在我们具体的使用过程中还存在各种不便之处,因此我们也在前辈研发的基础上大力开发自己的自动化检测工具,并将我们的工具投入到合约的审计工作中。这一方面提高Fairyproof Tech的工作效率,另一方面将我们不断积累的经验优化、集成到这些工具中,让它们更好地服务于Fairyproof Tech的合约审计。
独家 | 中伦文德律师事务所陈云峰:各国政府正逐步规范区块链行业发展:针对近期全球各国公布的区块链以及加密货币监管政策,金色财经独家采访中伦文德律师事务所高级合伙人、互联网金融专业委员会主任陈云峰律师进行政策解读,陈云峰律师表示,全球各个国家相继出台区块链技术、加密货币的政策,主要能够释放两个信号:
1、区块链行业逐步受到各国政府部门的关注,政府已经开始研究并且规范行业发展,这对行业发展是非常重要的,创新科技如果确实能够解决现实的痛点的话,将会慢慢从一群人、一个行业扩展到整个国家各个方面的应用。
2、整个监管形式毫无疑问是趋严的,从无法可依到明确的行业标准、政策,甚至立法,都逐步规范区块链技术、加密货币领域的发展和应用。[2018/7/27]
对标准化检测工具的研发及推进将始终是Fairyproof Tech开发工作的重点和必须攻克的难点。我们认为这也是业界未来发展的方向和制高点。把握这个方向、占据这个制高点不仅对Fairyproof Tech本身的发展,更对整个行业的发展都将起到重要的推进作用。
独家 | 高泽龙:稳定、安全、可预测助力马耳他成为交易所的首选之地:如今加密货币交易所币安、OKEx双双落户马耳他,而马耳他也成为交易所“新希望之地”,未来是不是会有更多的交易所进军马耳他,对此金色财经独家采访了国际区块链与数字货币协会副会长高泽龙,他表示:“马耳他能成为交易所首选之地,有很多原因。马耳他是议会民主制度的共和国,也是受到国际社会尊重的中立国,马耳他政府是利商(即亲商)型政府,马耳他拥有出色的信用评级,国际评级机构穆迪给予A3评级。而且其政府的目标就是把这座岛国打造成国际性商务平台,在经济发展上树立楷模,始终在欧盟处于前列。这座岛国经商环境的稳定性、可预测性和安全性,使之在众多的全球金融中心之中脱颖而出,成为欧洲一流金融中心。放眼全世界,能集成这么多优势和利好的主权国家寥寥无几,所以不难理解为什么币安和OK都选择马耳他。”[2018/7/3]
对工具的研发和使用是Fairyproof Tech工作的重点,而对人工审查的强调及对审计工程师的培养、培训则是Fairyproof Tech工作的重心和核心。
独家 林吓洪:除去炒币人群 区块链预测真实参与用户数极少:在世界杯火爆之际,区块链世界杯概念板遇冷。对此菩提创始人林吓洪在接受金色财经独家采访时表示,世界杯概念板的名称其实是个伪命题,在区块链行业早期定义“概念板”过早。现在确实有很多项目是冲着世界杯预测发起的,但目前基于区块链的预测市场并没有太多的优势。
基于内容方向的区块链预测项目无法与传统的预测市场进行pk,首先是用户体验无法契合与匹配。基于数字货币的竞猜与预测相对于使用法币进行竞猜和预测门槛提高了很多,投资者并不愿意接受来自数字货币波动性造成的风险。尤其是整体市场处于熊市,数字货币在此刻参与竞猜的可用性下降,有可能会损害投资者收益。此外,行业中还有很多项目的结果设置是中心化的,一旦出错由项目方进行纠正,这与传统的玩法并无不同,并且目前也没有区别于传统玩法的创新。
至于平台方面,仍存在预测竞猜周期长、需要缴纳链上竞猜手续费,全节点客户端同步下载耗时长等问题。这就造成用户和产品之间离得太远,沟壑太大。以菩提为例,目前菩提上线了量子链的主链,虽然进度已经处于行业领先地位,但我们也要承认不足,仲裁结果需要48小时,用户同步全节点的客户端时间长,可以说目前的平台仍旧比较原始,可能像10年前的互联网,真正有耐心去参与并使用的用户很少,可能只有100—200的用户参与竞猜。
目前市场上很多项目并没有落地,世界杯概念板块可能更多的在炒概念,同时很多投资者无心细究项目发展情况,很多踏踏实实做事的与炒概念会被一概而论,由此造成多个项目一起下跌。市场也存在这样的心理,认为世界杯来了,相关的币就要上涨。我认为这是一个幻觉,大家对行业的期望很高,忽略了行业发展存在基础设施不全面,真实用户基数小等不足,这都需要时间的积累。但我看好行业未来的突破发展,预测市场与区块链的结合绝对是大有可为的,只是很多人并不知道区块链之于预算市场到底意味着什么,到底能在哪些方面有所突破。[2018/6/22]
Fairyproof Tech认为人工审计不仅是对工具审计的查漏补缺,人工审计所积累的经验和技能也是改进和提升工具最好的素材和动力,人工审计本身更是对整个审计过程的最后把关。所以无论从哪方面说,人工审计的重要性都不言而喻。
人工审计所进行的是非标准化的活动。所谓的非标准化活动就是因人而异,难以绝对统一。因为每个审计工程师都有自己的习惯和自己的思路。在这种情况下如何既发挥人工审计的灵活性和创造性又避免人工审计中人为因素导致的错漏则是Fairyproof Tech在人工审计过程中关注的重点和难点。
我们对此采取的主要措施是流程统一和交叉审计。这两点也是Fairyproof Tech在人工审计这个大步骤中重点进行的两个细分步骤
所谓的流程统一就是我们为合约人工审计的流程制定了一个统一的框架和流程,这个框架和流程确保我们每个审计工程师都要延这个大方向走,不出方向性错误,这也是企业战略中常说的目标一致、路径一致,在合约审计中,我们也需要这种一致。
在这种一致框架和流程的规制下,每个审计工程师可以发挥自己的主观能动性和创造性,按自己的习惯和特点审计合约,我们不予具体地干预。
但是即便方向一致,每个工程师在具体的进度、能力、判断上还是会出现差异,而这些差异就有可能导致风险、漏洞逃过审计。
这时我们就需要第二个手段----交叉审计来防范这个问题。
所谓的交叉审计就是一份合约我们会由多个工程师审计。这个过程是将不同工程师的不同的思路和理解进行汇总的过程,也就是我们常说的“集思广益”。通过这种方式,我们能尽量大地覆盖风险的范围和种类,尽量小地减少个人理解偏差在审计中造成的误判。
所以Fairyproof Tech的审计报告中所提到的审计流程归纳起来就是利用工具的标准化审计和依赖工程师经验的人工审计。
作者:
Fairyproof TechCEO 谭粤飞
美国弗吉尼亚理工大学(Virginia Tech, Blacksburg, VA, USA) 工业工程(Industrial Engineering) 硕士(Master)。曾任美国硅谷半导体公司 AIBT Inc(San Jose, CA, USA) 软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事 。个人拥有4项区块链相关专利、3本出版著作。
关于Fairyproof Tech:
Fairyproof Tech科技有限公司是一家专注区块链生态安全的公司。Fairyproof Tech科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。
团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569 被以太坊团队正式收入。
团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目, 并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。