APO:首發 | 智能合約的審計報告有什么內容？又該如何去審讀_區塊鏈是什么工作

本文由“靈蹤安全”原創，授權“金色財經”獨家首發，轉載請注明出處。

一個數字貨幣、去中心化應用或服務和所有的商品一樣都有它的用戶，因此用戶對它也有一個最基本、最底線的要求----那就是質量要過關。和傳統商品一樣，數字貨幣、DAPP的質量如何不能自說自話，還需要用戶或第三方機構對其進行檢測。但和普通商品不同的是，這個商品一旦被用了，發現質量不行退貨都沒用，因為它可能已經對用戶造成了經濟上的損失。所以在區塊鏈領域，對DAPP質量的檢測就必須交給第三方審計機構在產品正式上線前先嚴格把關。而這個嚴格把關的檢測過程最后所形成的結果就是我們常說的智能合約的審計報告。

一份智能合約的審計報告對審計機構來說相當于一本書的讀后感，這本“書”是一套智能合約的源代碼；而對讀者尤其是合約的使用者來說又相當于一份“質量檢測報告”。

百度Apollo首發 “Apollo 001”系列紀念數字藏品:金色財經報道，據百度Apollo智能駕駛官方公眾號，百度Apollo全網首發首款 “Apollo 001”系列紀念數字藏品，以百度汽車機器人為主體形象，每款對應一個百度Apollo自動駕駛重要里程碑事件。據悉，該數字藏品將于2022年7月8日 09:55發布汽車機器人家族全家福空投款。[2022/7/7 1:58:19]

審計報告的這種雙重角色決定了它的作用就像是用戶和DAPP之間的一個橋梁，這個橋梁的制造者就是審計公司。這個橋造得好不好一方面決定了用戶能不能很好、很準確地把握這個DAPP的質量，放心地使用它；另一方面也決定了這個DAPP能不能走向更廣大的用戶，達到它的理想市場狀況。

所以一份審計報告一定要極盡所能的客觀公正，如實反映審計機構看到的合約的真實“質量”，并羅列出所有的問題。

首發 | 百度財報體現區塊鏈 BaaS平臺成為新戰略重點:金色財經報道，2020年2月28日，百度（股票代碼BAIDU）公布財報，其中將區塊鏈BaaS平臺相關的進展進行了單獨敘述，依托于百度智能云的區塊鏈平臺有望成為技術創新方向的新增長引擎。在AI服務上，百度與上海浦東發展銀行達成合作，共建區塊鏈聯盟，在百度區塊鏈服務（BaaS）平臺上實現跨行信息驗證。[2020/2/28]

審計公司除了要把被審計合約的“讀后感”完整、真實地展現出來，還要想想怎么能讓讀者尤其是絕大多數非專業領域的讀者更容易地讀懂這份報告、很準確地把握這份報告的精髓和精華。

所以一份審計報告還要盡可能地讓讀者讀得懂、抓到重點、讀到精華。

既然一份報告既要客觀公正、準確詳實，又要通俗易懂、清晰明了，所以我們在寫一份審計報告時采取了提綱挈領、層層展開的方式。

動態 | 可信教育數字身份在廣州白云區首發 采用區塊鏈等技術:12月25日，可信教育數字身份(教育卡)廣東省應用試點首發儀式與應用研討在廣州市白云區舉行。

據介紹，可信教育數字身份融合采用國產密碼、區塊鏈等核心技術，創新簽發“云計算、邊緣計算、移動計算”網絡環境下的一體化數字身份，實現一體化密鑰管理，構建“可信教育身份鏈”。（中國新聞網）[2019/12/25]

所謂的提綱挈領就是用最簡單最概括性的語言把讀者最關注的重點和痛點首先寫出來，讓讀者直接從這部分內容看到整篇報告最重要、最精華的部分。所謂的層層展開就是讓讀者在讀完這部分內容后，如果還想更進一步了解審計機構的審計詳情以及被審計合約的詳細細節則可以隨著后續的章節一步步展開，進一步閱讀，進一步深入。

基于這個思路，我們對一份審計報告的內容布局就有了如下的安排：

首發 | 劉堯：百度區塊鏈推出天鏈平臺賦能鏈上業務:12月20日，由CSDN主辦的“2019中國區塊鏈開發者大會”12月20日在北京舉行。百度智能云區塊鏈產品負責人劉堯以《企業區塊鏈賦能產業創新落地》為主題進行了演講，他指出：2020年將是區塊鏈企業落地的元年，為了支持中國區塊鏈的產業落地，百度將區塊鏈進行平臺化戰略升級，依托百度智能云推出天鏈平臺，就是要賦能360行的鏈上業務創新落地。[2019/12/20]

我們的審計報告通常包含12章內容。

我們首先就會在第一章介紹所審計的合約文件，包括文件名、文件所能被公開查詢、訪問的位置、對文件內容的存證標識、審計機構的審計方式及流程、審計機構審計時所依賴的客觀材料及這些材料的出處、本審計報告的責任聲明、本次審計的最終結論。

首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊，近日，DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞，攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息，嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件，DVP安全團隊在收到該漏洞后，第一時間通知該平臺進行修復，但未收到回應。DVP提醒相關用戶關注個人信息安全，以免造成損失。[2019/8/13]

對于絕大多數讀者而言，當他只關注被審計合約的最終質量和風險評估時，他可以只看這一章內容，而略掉后續章節。這一章也可以說是我們審計報告的精華和重點。

接下來的章節則主要就是對審計過程和更多審計細節的披露和展開。

我們會在第二章介紹我們的公司、官網、背景、業務范圍等。

第三章介紹被審計項目的應用及服務。

第四章介紹本審計報告所審計的合約的主要功能。

第四章和第三章是相輔相成缺一不可的。對于第三章很多讀者能夠理解它的存在必要，但對第四章，有些讀者不理解。實際上在我們所審計的一些項目中，存在這樣的問題：項目方所開發的項目是個龐大的應用，它涉及諸多功能，而項目方給我們所審計的合約僅僅只是這諸多功能中的一個或幾個。

舉個例子：通常一個去中心化交易所，它有通證交易的功能、提供流動性的功能、發行治理代幣及分發治理代幣的功能等。而則個交易所的項目方可能只給審計機構審查了提供流動性的功能和發行治理代幣的的功能。

所以第四章是對第三章的進一步說明和對審計范圍的進一步細化。

第五章介紹了審計機構在本次審計過程中具體做了什么工作。

第六章介紹了審計機構在審計過程中可能涉及審查的風險種類。

第七章介紹了審計機構對每一個羅列的風險進行的等級評定。這些等級通常分為：致命風險、高危風險、中度風險和低風險。

第八章介紹了審計機構在全面閱讀了項目代碼后根據項目的應用場景和功能特別關注的可能產生風險的領域和功能。

第九章羅列了根據風險等級，每個等級中審計機構所發現的風險數量。

第十章羅列了根據合約文件，每個文件中審計機構所發現的風險數量。

第十一章是第十章的細化，在第十章的基礎上對每個風險，詳細描述了這個風險的名稱、等級、產生的位置、風險描述、審計機構給出的修改建議以及項目方對此風險的回應。

第十二章是在第十一章的基礎上對項目方的進一步建議。這一章所羅列的不是風險，也不是項目方必須修改的問題，而是為了讓代碼有更好的可維護性、可讀性、可擴展性、抗風險性等特點審計機構額外提出的一些完善建議和質量提升建議。對此，項目方可采納也可不采納。

至此，一份審計報告就完成了。

作者：

靈蹤安全CEO?譚粵飛

美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師，負責半導體設備程序的開發、負責與公司關鍵客戶---臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事。擁有4項區塊鏈相關專利四項。

關于靈蹤安全：

靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目，并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：區塊鏈POLLAPOAPOLLO區塊鏈是什么工作APO價格Apollo Currency

火幣下載