首發 | 智能合約的審計報告有什么內容？又該如何去審讀_BTC

本文由“靈蹤安全”原創，授權“金色財經”獨家首發，轉載請注明出處。

一個數字貨幣、去中心化應用或服務和所有的商品一樣都有它的用戶，因此用戶對它也有一個最基本、最底線的要求----那就是質量要過關。和傳統商品一樣，數字貨幣、DAPP的質量如何不能自說自話，還需要用戶或第三方機構對其進行檢測。但和普通商品不同的是，這個商品一旦被用了，發現質量不行退貨都沒用，因為它可能已經對用戶造成了經濟上的損失。所以在區塊鏈領域，對DAPP質量的檢測就必須交給第三方審計機構在產品正式上線前先嚴格把關。而這個嚴格把關的檢測過程最后所形成的結果就是我們常說的智能合約的審計報告。

首發 | 此前18000枚BTC轉賬是交易所Bithumb內部整理:北京鏈安鏈上監測系統發現，北京時間10月24日，17:07分發生了一筆18000枚BTC的轉賬，經分析，這實際上是交易所Bithumb的內部整理工作，將大量100到200枚BTC為單位的UTXO打包成了18筆1000枚BTC的UTXO后轉入其內部地址。通常，對各種“面值”的UTXO進行整數級別的整理，屬于交易所的規律性操作。[2019/10/24]

一份智能合約的審計報告對審計機構來說相當于一本書的讀后感，這本“書”是一套智能合約的源代碼；而對讀者尤其是合約的使用者來說又相當于一份“質量檢測報告”。

審計報告的這種雙重角色決定了它的作用就像是用戶和DAPP之間的一個橋梁，這個橋梁的制造者就是審計公司。這個橋造得好不好一方面決定了用戶能不能很好、很準確地把握這個DAPP的質量，放心地使用它；另一方面也決定了這個DAPP能不能走向更廣大的用戶，達到它的理想市場狀況。

首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊，近日，DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞，攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息，嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件，DVP安全團隊在收到該漏洞后，第一時間通知該平臺進行修復，但未收到回應。DVP提醒相關用戶關注個人信息安全，以免造成損失。[2019/8/13]

所以一份審計報告一定要極盡所能的客觀公正，如實反映審計機構看到的合約的真實“質量”，并羅列出所有的問題。

審計公司除了要把被審計合約的“讀后感”完整、真實地展現出來，還要想想怎么能讓讀者尤其是絕大多數非專業領域的讀者更容易地讀懂這份報告、很準確地把握這份報告的精髓和精華。

公告 | 火幣全球站6月29日16:00全球首發 Project PAI:火幣全球站定于新加坡時間6月29日16:00 Project PAI (PAI) 充值業務。7月2日16:00在創新區開放PAI/BTC, PAI/ETH交易。7月6日16:00開放 PAI提現業務。[2018/6/29]

所以一份審計報告還要盡可能地讓讀者讀得懂、抓到重點、讀到精華。

既然一份報告既要客觀公正、準確詳實，又要通俗易懂、清晰明了，所以我們在寫一份審計報告時采取了提綱挈領、層層展開的方式。

所謂的提綱挈領就是用最簡單最概括性的語言把讀者最關注的重點和痛點首先寫出來，讓讀者直接從這部分內容看到整篇報告最重要、最精華的部分。所謂的層層展開就是讓讀者在讀完這部分內容后，如果還想更進一步了解審計機構的審計詳情以及被審計合約的詳細細節則可以隨著后續的章節一步步展開，進一步閱讀，進一步深入。

金色首發 EOS超級節點競選投票率達6.49%:金色財經數據播報，截止北京時間6月13日15:50，EOS投票率達6.49%。EOS引力區和EOS佳能作為兩個來自中國的超級節點競選團隊暫居第五和第六名。其中EOS引力區的得票總數為903萬，占比2.96%；EOS佳能的得票總數為877萬，占比2.87%。此前異軍突起的EOSflytomars暫居第17位，得票總數為630萬，占比2.07%。目前躋身前30名的超級節點競選團隊中，有八個團隊來自中國。[2018/6/13]

基于這個思路，我們對一份審計報告的內容布局就有了如下的安排：

我們的審計報告通常包含12章內容。

我們首先就會在第一章介紹所審計的合約文件，包括文件名、文件所能被公開查詢、訪問的位置、對文件內容的存證標識、審計機構的審計方式及流程、審計機構審計時所依賴的客觀材料及這些材料的出處、本審計報告的責任聲明、本次審計的最終結論。

IMEOS首發 BM表示EOS合約具有整數溢出保護:據金色財經合作媒體IMEOS報道：近日ETH出現多個ERC20智能合約的處理溢出錯誤，BM在推特上發表評論：新的ETH契約Bug可能會破壞整個Token的供應，讓持有者留下無價值Token.這就算為什么代碼不能成為法律，隨即表示EOS erc合約不容易受到這種攻擊。而EOS官方群也有人表示擔憂EOS是否具有整數溢出保護？BM回應：有很多C ++模板類可以封裝類型并檢查溢出。[2018/4/25]

對于絕大多數讀者而言，當他只關注被審計合約的最終質量和風險評估時，他可以只看這一章內容，而略掉后續章節。這一章也可以說是我們審計報告的精華和重點。

接下來的章節則主要就是對審計過程和更多審計細節的披露和展開。

我們會在第二章介紹我們的公司、官網、背景、業務范圍等。

第三章介紹被審計項目的應用及服務。

第四章介紹本審計報告所審計的合約的主要功能。

第四章和第三章是相輔相成缺一不可的。對于第三章很多讀者能夠理解它的存在必要，但對第四章，有些讀者不理解。實際上在我們所審計的一些項目中，存在這樣的問題：項目方所開發的項目是個龐大的應用，它涉及諸多功能，而項目方給我們所審計的合約僅僅只是這諸多功能中的一個或幾個。

舉個例子：通常一個去中心化交易所，它有通證交易的功能、提供流動性的功能、發行治理代幣及分發治理代幣的功能等。而則個交易所的項目方可能只給審計機構審查了提供流動性的功能和發行治理代幣的的功能。

所以第四章是對第三章的進一步說明和對審計范圍的進一步細化。

第五章介紹了審計機構在本次審計過程中具體做了什么工作。

第六章介紹了審計機構在審計過程中可能涉及審查的風險種類。

第七章介紹了審計機構對每一個羅列的風險進行的等級評定。這些等級通常分為：致命風險、高危風險、中度風險和低風險。

第八章介紹了審計機構在全面閱讀了項目代碼后根據項目的應用場景和功能特別關注的可能產生風險的領域和功能。

第九章羅列了根據風險等級，每個等級中審計機構所發現的風險數量。

第十章羅列了根據合約文件，每個文件中審計機構所發現的風險數量。

第十一章是第十章的細化，在第十章的基礎上對每個風險，詳細描述了這個風險的名稱、等級、產生的位置、風險描述、審計機構給出的修改建議以及項目方對此風險的回應。

第十二章是在第十一章的基礎上對項目方的進一步建議。這一章所羅列的不是風險，也不是項目方必須修改的問題，而是為了讓代碼有更好的可維護性、可讀性、可擴展性、抗風險性等特點審計機構額外提出的一些完善建議和質量提升建議。對此，項目方可采納也可不采納。

至此，一份審計報告就完成了。

作者：

靈蹤安全CEO?譚粵飛

美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師，負責半導體設備程序的開發、負責與公司關鍵客戶---臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事。擁有4項區塊鏈相關專利四項。

關于靈蹤安全：

靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目，并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：EOS區塊鏈PAIBTCPIXEOS區塊鏈幣在中國合法嗎PAI幣btcs幣最新消息

Uniswap