TEC:獨家 | Fairyproof Tech對風險的細節描述_techshares

本文由“Fairyproof Tech”原創，授權“金色財經”獨家首發，轉載請著名出處。

在一篇審計報告中，用戶如果希望詳細了解被審計合約中出現的問題和風險，最需要閱讀的就是對這些風險的詳細描述了。在Fairyproof Tech的審計報告中，這部分內容就是第11章“問題詳述”。

在這一章，我們會按照合約文件的名，羅列每個合約文件中出現的所有風險問題。對每個風險問題，我們會給出問題的標題、該問題的風險等級、問題所在的出處、對問題的詳細描述、Fairyproof Tech對解決問題給出的修改建議、項目方的反饋。?

問題的標題就是我們對一個問題直白、簡介地概述性的總結。

獨家 | Bakkt期貨合約數據一覽:金色財經報道，BakktVolumeBot數據顯示，4月6日，Bakkt比特幣月度期貨合約單日交易額為1449萬美元，環比上升7%，未平倉合約量為519萬美元，環比下降19%。[2020/4/7]

在標題后，我們著名此問題是致命風險、高危風險、中度風險還是低風險。

接下來我們就會指出這個問題具體出現在某個合約文件的第幾行。如果某些問題普遍、廣泛地存在于合約文件中，我們會明確標出問題的關鍵字，而不具體指出問題所在的行，這樣用戶能用關鍵字在文件中搜索出所有存在此問題的地點。

在羅列問題的出處后，我們會對問題進行詳細地描述，這包括問題是由什么原因造成的，它會帶來什么風險，這些風險隱患不解除會造成什么后果。

獨家 | ?太原偵破的“云幣平臺”和云幣網沒有關系:金色財經報道，平安太原今日上午發布微博稱，太原迎澤分局成功偵破太原市首例打著區塊鏈交易虛擬貨幣的云幣平臺案件，抓獲犯罪嫌疑人72人，受害人達300余人，涉案價值3000余萬元。BigONE COO 程君對金色財經表示，太原此次偵破的打著區塊鏈交易虛擬貨幣案件中的“云幣平臺”和云幣網沒有關系。公開消息顯示，云幣網2018年7月16日發布公告稱，在“北京市互聯網金融風險專項整治工作領導小組”的指導和督促下，云幣網于2017年9月5日開展數字貨幣清理清退工作，云幣網的清理清退工作已基本完成，由于提幣工作已接近尾聲，云幣網于2018年8月31日關閉網站。[2019/12/23]

我們對問題進行詳細描述一是為了讓項目方明晰問題的嚴重性，引起項目方的關注，并促使項目方改進；另一方面也是希望引起讀者的注意：他在使用這個應用或服務時，可能會遭遇什么風險甚至受到什么損失。這和我們平時在進行投資時，金融機構在我們作出最后決定前給我們看風險提示的目的是一樣的。

獨家 | RatingToken提示用戶警惕千面合約存在“假充值”漏洞:第三方大數據評級機構RatingToken最新數據顯示，2018年8月1日全球共新增1655個合約地址，其中388個為代幣型智能合約。RatingToken安全審計團隊發現，某以太坊個人地址使用同一份代碼創建了6個智能合約地址，包括SPR、FXS、RKG、STR、SFX和VER，這些合約地址被包裝成6個網站，類型包括社交和貿易合作等，疑似使用相同網站模板創建，且投資方信息無法對應。合約安全檢測得分為3.8分，且發現合約地址存在“假充值”漏洞，如果該類代幣上所交易，攻擊者可以利用漏洞向中心化交易所、錢包等服務平臺發起充值操作，如果服務平臺僅根據“TxReceipt Status ”是否是 “success”來判斷交易是否成功，則會觸發“假充值”行為，該創建者的動機可疑，RatingToken安全審計團隊將持續關注該類合約。如需查看更多智能合約檢測結果，請查看原文鏈接。[2018/8/2]

我們給出問題的細節是指出問題，但更重要的還是解決問題，所以接下來我們就會給出Fairyproof Tech對這個問題所提出的修改建議。我們的修改建議會具體到代碼該怎么改，在哪一行改等這些細節。我們希望用這樣的細節讓項目方第一時間就能迅速、精準地定位問題并解決問題。

金色獨家 | 肖磊：傳統市場缺乏可以直接交易的比特幣衍生品:據外媒報道，加密貨幣現貨價格在2018年的前兩個季度一直處于低迷狀態。盡管市場情緒看跌，但CBOE和CME集團在2018年第二季度出售的期貨合約大幅增加。針對目前比特幣現貨市場低迷，然而期貨市場交易量卻上漲的態勢，金色財經獨家采訪到數字貨幣分析專家肖磊，他表示，“這兩個交易所市場的比特幣期貨合約，本身是一個新品種，是從無到有的一個過程，因此這個過程肯定是交易量放大的過程，但整個來看，由于處在熊市下跌的過程中，期貨實際上更容易被投資者接受，因為可以順勢做空，這個對很多此前不看好比特幣的投資者來說，是一個可信的參與渠道。整體來說的話，期貨市場的交易量，可能會影響到現貨市場的情緒，如果交易量持續走高，實際上就算是熊市，也可以看出來市場對比特幣交易的熱衷程度，這個可能也說明，傳統市場目前非常缺乏可以直接交易的比特幣衍生品，可能會刺激更多的交易所和金融機構開發比特幣等相關的衍生品。”在記者進一步提問期貨成交量上漲是否會引起現貨資金轉移至期貨時，肖磊表示，“有這種可能，但做空本身也承受著很大的壓力，因為現貨市場目前還有價格的主導權，如果現貨市場出現一定量的反彈，期貨市場做空者承受的壓力是倍增的。”[2018/7/13]

我們前面說過，我們希望通過對問題的詳細描述，闡明前因后果，引起項目方的高度重視，最終目的還是希望項目方盡量解決這些問題。所以我們在每個問題描述的最后專門留出一欄，叫做“項目方反饋”。這一欄就是記錄項目方對這個問題的態度及行動的。項目方有沒有對我們發現的問題引起關注、有沒有立刻修改或者即便暫時無法修改后續有沒有修改的計劃等都會被我們記錄在這一欄。

至此，我們對一個問題的詳細描述就結束了。

在這些細節中，我們會特別對三個細節用黑體字高亮標出，它們分別是：問題的標題、問題的風險等級和項目方的反饋。用更通俗的話來說就是：問題是什么？問題嚴重嗎？問題解決了嗎？

我們認為這三點是讀者在閱讀某個風險隱患的描述時需要關注的重中之重。

讀者需要注意的是，在Fairyproof Tech的報告中，除了第11章“問題詳述“之外，還有第12章”增強建議“。

第12章所給出的建議是我們從代碼可維護性、可讀性、抗風險性等諸多方面考察后，綜合給出的建議。項目方如果采納這些建議會整體提高代碼的質量、但如果由于條件限制暫時無法采納，也不會讓項目暴露在即時可能引發的風險中。

需要指出的是，Fairyproof Tech對風險等級的分類及描述是按照我們既往的經驗總結的。每個審計機構都會有自己的標準和定義，這些標準和定義很可能不盡相同。但我們認為最重要的還是所找出的問題是否會引發風險、引發的風險是否嚴重以及風險最終是否得到了妥善處理。這才是對問題處理的核心和根本。

作者：

Fairyproof TechCEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程（Industrial Engineering） 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc（San Jose, CA, USA） 軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。

關于Fairyproof Tech：

Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目， 并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：TECECHTECHROOARCHITECT幣ElonTechtechsharesoneroot幣騙局

芝麻開門交易所