本文由“靈蹤安全”原創,授權“金色財經”獨家首發,轉載請注明出處。
在靈蹤安全的審計報告中,我們會交代對每一份合約的審計流程。大體上來說,這個流程主要包括兩個步驟:一是標準化審計步驟,二是人工審計步驟。
實際上這也是目前業內比較通行的步驟。不同審計機構可能在審計流程中的具體步驟和細節上存在差異,但歸納起來也都會包含這兩個大的步驟。?
在靈蹤安全前面發布的文章中,我們特別強調過智能合約和傳統工業流水線上批量產出的標準化產品不同,它不是按流水線、標準化作業生產出來的,而是人為編寫出來的。即便是照抄現有的合約,合約的編寫者通常也會在照抄的合約上做一些小的改動。因此,兩份合約哪怕是功能上一樣、邏輯一樣、特點一樣,在具體的編寫方式上都會存在差異。而這個差異往往就是漏洞、風險的來源。但這個差異又很難用機器大工業中常見的標準工具檢測出來。但如果無法用工具檢測,單憑人力檢測,不僅工作量大,而且效率低,并且時常還會出人為方面的錯漏。這看似矛盾的兩方面交織在一起,一直貫穿著整個審計過程的始終,也是推進行業前進和革新的根本動力。
獨家 | DeFi累計用戶數接近45萬:據DappBirds DeFi Data專題數據顯示,DeFi累計用戶數接近45萬,DeFi中鎖定資產總價值達98.31億美元,較昨日上升-0.60%,其中Uniswap,Aave,SushiSwap,MakerDAO,Curve分別以14.37億美元,13.24億美元,12.10億美元,10.98億美元,10.18億美元位列前五名。[2020/9/9]
對靈蹤安全來說,我們對合約的檢測一方面會盡量使用工具進行驗證以提高效率并減輕人為驗證時可能出現的差異和錯漏;而另一方面我們又特別強調人工檢測的重要性,并強調人工檢測對合約質量的最后把關,因為人工檢測不僅是用來檢測工具無法檢測出來的問題,更是用來預判和發現業界未曾記錄的風險、做到防患于未然的保證。
獨家 | Block Value Fund夏廈:以太坊下跌只是暫時的:Block Value Fund夏廈在接受金色財經獨家專訪時表示,目前以太坊的行情主要對于項目方短期募資有較大影響,同時對于以太坊社區整個幣圈的共識會產生一定負面影響,但是我相信這一切都是暫時的,對于整個區塊鏈行業長期發展是好的,通過這次下跌,可以清洗掉一些信仰不堅定,以及只是想進來賺快錢的投機者,同時也可以刺激新技術的更新迭代。[2018/8/22]
靈蹤安全自成立以來便一直致力于對合約審計標準化工具的使用和開發。在這方面,我們大膽借鑒了業界前輩已經積累的經驗,對目前市面上已經存在的合約檢測工具都進行了細致的研究和測試。但我們發現這些工具或多或少都存在一定的局限,并且在我們具體的使用過程中還存在各種不便之處,因此我們也在前輩研發的基礎上大力開發自己的自動化檢測工具,并將我們的工具投入到合約的審計工作中。這一方面提高靈蹤安全的工作效率,另一方面將我們不斷積累的經驗優化、集成到這些工具中,讓它們更好地服務于靈蹤安全的合約審計。?
獨家 | 昨日新增258個代幣型智能合約 其中Fomo變版游戲合約得分僅1.5 風險最高:第三方大數據評級機構RatingToken最新數據顯示,2018年8月3日全球共新增2118個合約地址,其中258個為代幣型智能合約。據RatingToken團隊發布的“新增代幣型智能合約風險榜”,LastUnicorn Round #2(LUR2)、testToken(test)和New Chance(NEWCH)風險最高,檢測得分分別為1.50、1.85和2.00,其中Fomo變版游戲合約LastUnicorn Round #2存在24個風險項。其他登上該風險榜TOP10的還包括F5D(F5D)、Exit Fraud(EXITF)、GScam Round #1(GS1)、YuleSale、Tier 1、FoolSale和CoolSale。如需查看更多智能合約檢測結果,請查看原文鏈接。[2018/8/5]
對標準化檢測工具的研發及推進將始終是靈蹤安全開發工作的重點和必須攻克的難點。我們認為這也是業界未來發展的方向和制高點。把握這個方向、占據這個制高點不僅對靈蹤安全本身的發展,更對整個行業的發展都將起到重要的推進作用。
獨家 | 冉小波:馬太效應在POW機制中逐步體現:POW共識機制近日遭V神質疑能耗大、易形成算力集中。對此,NULS聯合發起人冉小波在接受金色財經獨家采訪時指出:“中本聰創造了POW機制,目的是為了規避人性,所以讓機器來參與工作量的競爭,追求一個公平財富分配方式。他提出的點對點電子現金系統使得眾多的自由主義極客被這種理念吸引,形成了龐大的社區。POW機制是最早的區塊鏈共識機制,有很大的魅力和價值所在,現在依然是區塊鏈項目中共識最大的一種機制。但是現階段來看,人依然在金字塔的頂端,所以人性是不可規避的,POW并不能規避人性,隨著礦池的發展,使得POW機制開始變得中心化,馬太效應在POW機制中也體現了出來。其次,POW機制的算力并未對網絡做出多大的貢獻,大量的算力都在計算一個毫無意義的方程式去爭奪記賬權,使得大量的能源和資源的浪費,這些資源都可以通過改進共識機制讓其產生更大的價值。再者,隨著區塊鏈的發展,區塊鏈應用場景越來越廣泛,使用頻率不斷上升,對區塊鏈的性能要求不斷提升,所以POW已經不能支撐大量的應用需求,當然也有很多的解決方案在探索中,例如以太坊的分片技術等。
以太坊最早使用POW機制,有著和中本聰一樣的愿景和目標,然而以太坊提供了智能合約環境,面對的是一個更大的生態,而不是單一的數字貨幣系統,這使得對區塊鏈性能的要求必然要高得多。當Vitalik看到現如今以太坊面臨的困難時,他提出了更改共識機制,但是想要更改共識機制是一件非常難的事情,以太坊有一個龐大的社區,更改共識機制使得社區中充當生產者的礦工部分的利益并不一致,然而POW機制的以太坊中,礦工才是區塊鏈的決策者,所以以太坊基本上從POW直接過渡到POS是非常困難的。以太坊的升級并不是技術的問題,而是社區難以達成共識,如果直接升級做硬分叉,則可能造成社區的分裂,大部分以太坊上的生態也會分裂。[2018/7/12]
?對工具的研發和使用是靈蹤安全工作的重點,而對人工審查的強調及對審計工程師的培養、培訓則是靈蹤安全工作的重心和核心。
靈蹤安全認為人工審計不僅是對工具審計的查漏補缺,人工審計所積累的經驗和技能也是改進和提升工具最好的素材和動力,人工審計本身更是對整個審計過程的最后把關。所以無論從哪方面說,人工審計的重要性都不言而喻。
?人工審計所進行的是非標準化的活動。所謂的非標準化活動就是因人而異,難以絕對統一。因為每個審計工程師都有自己的習慣和自己的思路。在這種情況下如何既發揮人工審計的靈活性和創造性又避免人工審計中人為因素導致的錯漏則是靈蹤安全在人工審計過程中關注的重點和難點。
我們對此采取的主要措施是流程統一和交叉審計。這兩點也是靈蹤安全在人工審計這個大步驟中重點進行的兩個細分步驟?
所謂的流程統一就是我們為合約人工審計的流程制定了一個統一的框架和流程,這個框架和流程確保我們每個審計工程師都要延這個大方向走,不出方向性錯誤,這也是企業戰略中常說的目標一致、路徑一致,在合約審計中,我們也需要這種一致。
在這種一致框架和流程的規制下,每個審計工程師可以發揮自己的主觀能動性和創造性,按自己的習慣和特點審計合約,我們不予具體地干預。
但是即便方向一致,每個工程師在具體的進度、能力、判斷上還是會出現差異,而這些差異就有可能導致風險、漏洞逃過審計。
這時我們就需要第二個手段----交叉審計來防范這個問題。
所謂的交叉審計就是一份合約我們會由多個工程師審計。這個過程是將不同工程師的不同的思路和理解進行匯總的過程,也就是我們常說的“集思廣益”。通過這種方式,我們能盡量大地覆蓋風險的范圍和種類,盡量小地減少個人理解偏差在審計中造成的誤判。
所以靈蹤安全的審計報告中所提到的審計流程歸納起來就是利用工具的標準化審計和依賴工程師經驗的人工審計。
作者:
靈蹤安全CEO譚粵飛
美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師,負責底層控制系統的開發、設備制程的程序實現、算法的設計,并負責與臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學創業學院《區塊鏈概論》課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事。個人擁有4項區塊鏈相關專利、3本出版著作。
關于靈蹤安全:
靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月,團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。
團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊團隊正式收入。
團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目,并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。
Tags:以太坊區塊鏈POWUND比特幣以太坊最新價格行情區塊鏈是什么多選題Brave Power CrystalSundaeSwap
親愛的用戶:為回饋幣安礦池的廣大用戶,凡在2021年04月01日08:00至2021年05月01日08:00期間首次接入幣安礦池,參與BTC挖礦且活動期間日均算力大于100T的實名認證用戶.
1900/1/1 0:00:00尊敬的用戶: BiKi余幣寶將于04月01日10:00開啟第29期USDT預期年化收益20%、9期ETH預期年化收益11%機槍池理財.
1900/1/1 0:00:00本期投票上幣活動已圓滿結束,感謝廣大用戶的參與和支持。Gate.io投票上幣活動將持續帶來更多有潛力的優質項目,敬請期待.
1900/1/1 0:00:00尊敬的LOEx用戶:LOEx國際站上線MATIC!并開放MATIC/USDT交易對具體時間如下:提幣:4月9日15:00充幣:4月8日15:00交易對:4月7日15:00注:未到充值開放時間請勿.
1900/1/1 0:00:00看到近期Filecoin的上漲勢頭帶動了許多用戶的FOMO情緒,有些散戶甚至有種拍斷大腿的感覺,截止發文前,最高216美元的FIL,這一個月內漲幅達608%.
1900/1/1 0:00:00常聽朋友問起到底要去哪個平臺玩永續合約,因為對市場格局不太了解,新手很容易出現這些疑問。今天我們就來深扒一下成長速度最快,交易量在全球各大交易所中顯著領先的火幣合約,看看他為什么在兩年內成為大多.
1900/1/1 0:00:00