獨家 | 如何讀審計報告之每個風險等級的實際案例_TECH

前面我們和大家介紹了Fairyproof Tech對風險等級的劃分，有讀者看了一定會好奇：每種風險分別都是什么樣的呢？

在這篇文章里我們就每個等級的風險具體舉出一些案例來說明致命風險、高危風險、中度風險和低風險分別是什么樣的。

致命風險是所有風險中等級最高的、最危險的，它需要項目方即刻解決，不能拖延。

這類風險最常見的就是合約中一些明顯可能導致編譯無法成功、或者在邏輯中出現明顯錯誤導致代碼的運行邏輯無法正確完成的地方。這種風險不處理，項目方的合約幾乎不可能通過編譯運行或不可能正常運行。

舉例來說，在合約實現中，變量賦值類型的不匹配，編譯器版本定義導致的編譯問題等都屬于這類風險。

獨家 | 極豆資本合伙人李泳：礦機市場是算力的博弈 所有企業都不敢懈怠:針對目前礦機三大巨頭企業謀求上市一事，金色財經獨家采訪到極豆資本合伙人李泳，在關于“三大礦機企業集體謀求上市，您有何看法？”這一問題上，他表示：“即使三家企業上市，市場選擇還是會以礦機算力為主，像瑪雅、阿瓦隆、芯動、GMO等新的礦機企業新出的礦機算力很高，也備受關注。礦機制造業的戰場，就是一場算力的博弈，所有礦機企業都不敢有絲毫懈怠，一旦落后于時代的礦機和芯片技術的高速更新迭代，迎來的就是淘汰。任何一個行業都不是一成不變的，雖然比特大陸、嘉楠耘智與億邦國際目前壟斷了全球市場，但隨著幣價變化，礦機市場會涌現更多競爭者。它們在嘗試上一個臺階，但后來者也在全力沖刺，只要有市場需要，優質的礦機就一定能出線。”[2018/9/11]

由于Fairyproof Tech在后期的報告中已經很少把這類風險寫在報告中，而是一旦發現就要求項目方立即解決，所以在我們后期的報告中很難直接看到這類風險，只在我們早期的報告中有這類風險的羅列。

獨家 | 類F3D合約再次出現 已吸引資金盤3000ETH:第三方大數據評級機構RatingToken最新數據顯示，2018年8月17日全球共新增1593個合約地址，其中216個為代幣型智能合約。

RatingToken安全審計團隊發現，類FOMO3D資金盤合約再次出現。但這個名為ArbitrageETHStaking的合約采取的是與FOMO3相反的規則，它只會將加入者投入ETH的2%分配進獎池，其余ETH可以隨時取出,而投入獎池的2% ETH會按比例分給先進入游戲的用戶。截至目前，此資金盤游戲已吸引到3000ETH。

此外，昨日新增合約風險榜TOP10包括BLACKPEARL(BLACKPEARL)、POOHMO(POOHMO)、WTAGameRun V0.5、Vote Game(VG)、imfomo Long Official(imfomo)、Crowdsale with Discounts&Bonus、myt(mytime)、Shine(SSS)和teac(teac)。[2018/8/19]

高危風險在危險程度上僅次于致命風險，它極有可能給項目帶來嚴重問題，也需要項目方解決。

獨家 | 胡繼曄：發展區塊鏈金融 審慎監管與鼓勵創新并重:加密貨幣的屬性一直存在爭議，對此北京市法學會互聯網金融法治研究會副會長、中國政法大學金融系教授胡繼曄在接受金色財經采訪時指出，泰國將數字資產定義為貨幣和證券雙重屬性，具體取決于加密貨幣的目的，我個人認為是非常恰當的，應當說泰國政府對數字貨幣性質的認知比此前更進一步。泰國政府的相關立法體現了審慎監管與支持創新相結合的特點，如果某個數字貨幣傾向應用于間接融資市場，其貨幣屬性當然更強；而如果一個數字貨幣更多應用于直接融資市場，當然其證券屬性更強。日本將虛擬貨幣劃分為金融商品，受金融商品交易法約束，其監管理念比更進一步，同時提出了具體的監管措施。美國是金融體系最發達的國家，也是數字貨幣的主要發源地，美國商品期貨交易委員會（CFTC）和美國證券交易委員會（SEC）的官員曾經聯合討論以太坊和其他加密貨幣的監管分類，討論的重點是這些加密貨幣是否應該作為證券進行監管。現階段CFTC負責監管比特幣期貨交易，盡管CFTC無權監管交易平臺的日常活動，但該機構仍負責調查加密貨幣欺詐和操縱市場的行為。近期，該機構近期向投資者發布有關加密貨幣拉高出貨騙局的警告。同時，CFTC還為同類騙局的舉報者提供現金獎勵，這些措施明顯就是按照證券和期貨來進行監管的。

我國未來在數字貨幣和ICO監管領域應當借鑒日本、美國、泰國的這些做法，審慎監管和鼓勵創新相結合，應當在央行、銀保監會、證監會之間建立關于區塊鏈金融、數字貨幣領域的統一的監管協調，防止監管不足和監管過度，從防范數字貨幣可能引發金融風險的角度來進行深入研究，并著手起草相關區塊鏈金融和數字貨幣監管方面的法規和規章，逐步建立完善我國的區塊鏈金融法治體系。我國的區塊鏈金融和數字貨幣產業發展潛力巨大，中國政法大學區塊鏈金融法治研究中心將盡最大努力，在產學研結合中發揮我們的獨特作用。[2018/7/3]

這類風險最常見的就是合約實現中的邏輯錯誤，比如計算錯誤等。

金色獨家 北郵在線數字經濟研究院執行董事李立中：三個原因導致加密貨幣價格下跌:北郵在線數字經濟研究院執行董事、副院長李立中在接受金色財經采訪時被問及“加密貨幣價格下跌的原因”時他表示，“大概有三點原因：1、隨著區塊鏈技術研究的不斷深入研究，越來越多的國家意識到加密貨幣會帶來嚴重的洗錢問題，開始著手制定發布相關的監管條例。2、近期的公鏈51%攻擊問題凸現，人們開始發現節點數量不代表整個體系的安全質量，交易所的近期被盜事件和操縱事件也產生了市場的恐慌，用戶紛紛提幣到自己的錢包導致流動性下降進而引起價格下跌。3、隨著時間的推移真正做技術的應用場景項目開始浮出水面，使得整個行業開始價值回歸，原來的泡沫開始逐步褪去。”[2018/6/16]

舉例來說，質押挖礦是很多DeFi合約中都有的功能，質押挖礦的基本邏輯是用戶將某個數字資產抵押進礦池，然后合約會根據用戶抵押的資產占總抵押資產的比例來核算用戶該拿到多少獎勵。如果這個比例計算錯誤或者實現有誤，用戶無法拿到正確的獎勵，就會嚴重影響項目的聲譽。

高危風險現在也很少會被我們羅列在報告中，而是我們一旦發現這類風險就會要求項目方立即修正。讀者可以在我們早期出具的報告中看這類風險的詳細舉例。

中度風險相較于高危風險等級又次一級，它有可能給項目帶來潛在問題，最終還是要項目方解決。

這類風險比較常見的有管理員權限控制的問題。

比如在DeFi協議中通常都會有發行代幣的功能。而通常控制代幣發行的地址就是管理員，所以在這類合約中，管理員的權限是相當大的。在一些代碼實現中，由于項目功能復雜以及運維方面的需要，管理員不僅自己有權決定是否發行代幣甚至還有權力決定是否賦予其它的地址這樣的權力，讓其它地址也能發行代幣。

這就產生了安全隱患：如果項目管理員的權限被盜或者管理員自己出現道德風險、濫用這個權力，那代幣的發行就不受控制了。

這類風險是由合約邏輯引入的，但邏輯的實現又不得不如此，并且有時在合約部署初期，為了讓項目能高效運轉，還要保持這種管理員權限運作一段時間，這都給項目帶來了潛在的風險。

項目方帶著這種風險進行操作也是小心翼翼、如履薄冰，它就像達摩克里斯劍一樣懸在項目方和用戶的頭頂，隨時有掉落的風險。

對這類風險我們會強烈建議項目方在運作一段時間后，將管理員權限轉交社區（比如DAO）或者多簽錢包，以規避這類風險。

低風險是所有風險中級別最低的，通常它表現為一些細節問題、警告信息等，暫時來說這個等級的問題可以不用解決，但項目方最后在未來某個新版本中解決這類問題。

這類風險涉及的細節和具體問題比較零散和瑣碎，我們常見的有函數或變量命名方面的問題。

對函數或變量的命名如何通常普通用戶是不會感知的，但對項目方自己維護代碼或其它（比如第三方）合約調用這些函數在某些情況下會產生一定困擾。

通常函數或便令命名出現的問題就是“詞不達意”，即命名和它實際在合約中起的邏輯作用不同，比如一個函數是要設置某個變量的值，我們通常會將這個函數命名為“setXXX”（設置XXX），但由于筆誤或其它原因，項目方將其命名為“getXXX”（讀取XXX），這就讓函數的名字和它的真實作用讀起來南轅北轍了。

這樣的代碼時間一久，當項目方自己再回頭來維護或修改時，如果不仔細看代碼就會誤解函數的功能，從而錯誤地調用它。

因此Fairyproof Tech對這類風險也建議項目方在方便的時間修改。

作者：

Fairyproof TechCEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程（Industrial Engineering） 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc（San Jose, CA, USA） 軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。

關于Fairyproof Tech：

Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目， 并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：區塊鏈數字貨幣加密貨幣TECH區塊鏈運用的技術中不包括哪一項Ac/smf幣數字貨幣哪些國家禁止加密貨幣Quattro Tech

比特幣