智能合約的審計報告是什么？又該如何去審讀_數字貨幣

在日常生活中，我們買一件產品或者使用一個服務，通常首先關注的就是這個產品或服務的質量。越貴、和我們切身利益關系越大的產品或服務，我們就越關注它的質量。在數字貨幣領域，我們買一個數字貨幣或者使用一個DAPP——尤其是和我們資產密切相關的DAPP，我們就更需要關注它的質量。

對有形的產品或服務，我們會反復看它的外觀、看它的產地、甚至還會試用一下看看自己的感受，以此來確認它的質量如何。但對看不見、摸不著的數字貨幣和DAPP，我們如何確保它們的質量呢？目前相對來說最靠譜的方法就是看這個數字貨幣或DAPP的“質量檢測報告”——合約審計報告了。

日常生活中我們常接觸的大多數產品及服務都是工業化、標準化生產出來的產品或服務，因此它們都有嚴格的規范和生產流程，并且每一步都是現代機器工業流水線上造出來的，幾乎避免了傳統手工業生產中人為因素導致的每個產品的差異。但數字貨幣和DAPP的“生產”卻遠沒有工業化生產的這種規范和流程，幾乎100%靠手工完成，這就導致每個編寫數字貨幣或DAPP的“工匠”們打造出來的產品或服務都有個體差異，即便是對同一類型的產品或服務都存在差別。

因涉嫌提交ChatGPT生成的漏洞報告，智能合約漏洞賞金平臺Immunefi封禁15名用戶:1月18日消息，智能合約漏洞賞金平臺 Immunefi 對 15 名用戶實施封禁，這些用戶涉嫌向平臺提交由人工智能工具 ChatGPT 生成的漏洞報告。 Immunefi 在社交媒體發文稱，白帽黑客應該使用自己的語言而不是人工智能語言工具來描述問題，也不能通過這種手段加快軟件 Bug 的處理解決速度。[2023/1/18 11:18:48]

這使得對數字貨幣或DAPP的質量檢測根本無法做到像對工業制成品那樣通過標準化的檢測手段和測試技術就能在產品出廠前排除其中的殘次品，只能通過個性化的方法和手段主要依靠經驗和人為判斷來大體描述它的質量。所以，即便對同一類但是由不同“工匠”打造出來的數字貨幣或DAPP，它的“質量檢測報告”都會有不同。而且由于這種檢測主要是依靠經驗和人為判斷，因此它難以100%檢測出所有的質量問題。

動態 | 票務商Ticketmaster希望使用智能合約支持票務行業:美國門票銷售和分銷公司Ticketmaster副總裁Sandy Khaund12月9日在拉斯維加斯舉行的Elev8CON大會上表示，智能合約可以為票務行業帶來的價值，到2025年，這個市場規模有望達到62.3億美元。 Khaund強調，為了創造可擴展性、與其他服務提供商的無縫集成，票務提供商應該考慮將票務作為智能合約來對待。（Cointelegraph）[2019/12/10]

再者，日常生活中我們接觸的有形產品或服務在上市后一旦質量上有瑕疵或者缺陷，它們還可以被召回、下架、退貨。但數字貨幣或DAPP在上線后一旦質量上有瑕疵或者缺陷，卻無法被召回、下架和退貨，并且往往已經對用戶產生了傷害或造成了損失。

分析 | 中國信通院：圖靈完備和圖靈不完備的智能合約之間的區別:中國信息通信研究院與可信區塊鏈推進計劃共同組織編寫了《區塊鏈白皮書》（2018年），白皮書中表示，智能合約可分為圖靈完備和非圖靈完備。影響實現圖靈完備的常見原因包括：循環或遞歸受限、無法實現數組或更復雜的數據結構等。圖靈完備的智能合約有較強的適應性，可以對邏輯較復雜的業務操作進行編程，但有陷入死循環的可能。對比而言，圖靈不完備的智能合約不能進行復雜的邏輯操作，但更加簡單、高效、和安全。[2018/9/6]

為什么呢？因為這種產品或服務太特殊，它基于區塊鏈技術。我們都知道區塊鏈技術的眾多特質中包含不可逆和無法篡改。因此這兩個特質也就成了這類產品或服務與生俱來的基因，使得數字貨幣或DAPP一旦被造出來，就無法更改、無法回退，無論它給用戶帶來了利益還是造成了損失，都已是既成事實。??

央行姚前：智能合約安全問題非常重要 區塊鏈缺乏完善治理機制:中國人民銀行數字貨幣研究所所長姚前表示，TheDAO被黑事件折射出兩個問題：一是智能合約尤其是公有鏈的智能合約的安全問題非常重要，出現漏洞或錯誤后，無法像中心化系統那樣通過關閉系統、集中升級的辦法進行修復。另外一個問題，即現有區塊鏈缺乏一套完善的治理機制，當社區面臨重大決策事件時，如何讓社區參與進來，以某種機制形成社區意見，最終在區塊鏈上表達出來。[2018/6/14]

這也就意味著對一個數字貨幣或DAPP要想在質量上有保證，嚴謹的項目方就會想方設法在它上線前盡量多測試、多審查。

這往往意味著以下兩點：

首先，前面我們提到數字貨幣或DAPP目前主要依賴人為手工打造，這就導致它的質量無法整齊劃一，無法通過標準手段檢測其質量，所以這個質量檢測的過程不可能100%查出其中的漏洞。這是目前合約審計這個行業面臨的最大難題和尷尬處境。這也就意味著合約的審計報告難以100%保證質量、擔保產品或服務無瑕疵。所以項目方往往會和多家審計機構合作，共同審計一個項目，在時間、資金有限的情況下盡可能把瑕疵挑出來、盡可能從不同角度評審產品或服務的質量。

其次，項目方多測試、多審查的過程包含了大量與合約審計機構的合作和溝通。這些細節和過程往往會如實反映到一份合約審計報告中。這些細節往往也從側面反映了項目方的態度和做事方式。

因此，一份智能合約的審計報告是對數字貨幣或DAPP的“質量檢測報告”。但和傳統工業產品不同的是，它難以100%保證其所審計產品或服務的質量。雖然如此，但它卻是專業人士幫用戶對這個產品或服務在質量上的把住的一個關鍵關口，并且報告的內容能從側面反映出項目方的態度和作風。

每一個數字貨幣投資者和DAPP服務的用戶都應該仔細閱讀這個產品或服務的審計報告。

作者：

靈蹤安全CEO譚粵飛

美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師，負責半導體設備程序的開發、負責與公司關鍵客戶---臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事。擁有4項區塊鏈相關專利四項。

關于靈蹤安全：

靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目，并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：數字貨幣DAPDAPPAPP加密貨幣和數字貨幣的區別是什么世界幣worldapp下載YFIDappWrapped Bitcoin

ADA