本文由“靈蹤安全”原創,授權“金色財經”獨家首發,轉載請著名出處。
在一篇審計報告中,用戶如果希望詳細了解被審計合約中出現的問題和風險,最需要閱讀的就是對這些風險的詳細描述了。在靈蹤安全的審計報告中,這部分內容就是第11章“問題詳述”。
在這一章,我們會按照合約文件的名,羅列每個合約文件中出現的所有風險問題。對每個風險問題,我們會給出問題的標題、該問題的風險等級、問題所在的出處、對問題的詳細描述、靈蹤安全對解決問題給出的修改建議、項目方的反饋。?
獨家 | 點付大頭:BSV設想過于激進 理性上站不住腳:針對BCH硬分叉一事,金色財經獨家采訪到點付大頭,他指出BSV想把區塊上限提高到128M的做法,存在兩點問題:一是目前BCH的區塊常規實際容量只有30-200KB左右,遠遠還未到達32M的當前上限。這未免也太超前了一點,完全可以到BCH用戶生態進一步繁榮、網絡吞吐量增大以后再做。第二是比特幣作為去中心化的協議,去中心化程度是一個比較重要的指標,而過大的區塊是會影響一個去中心化網絡運行的,之前就有實驗表明,超過20M的區塊就可能給網絡同步帶來相當大的壓力,未來BCH如果真的用到了很大的區塊,那么去中心化未必是能夠得到充分保證的就是要做最初比特幣應該做到的樣子。BSV想走大區塊、簡功能的路線,這是比較被動的。該方案在理性上有一點站不住腳;但是這個真的不重要,因為眼下不是比哪個方案本身更合理,而是路線選擇上社區存在的巨大分歧的表現。[2018/11/15]
問題的標題就是我們對一個問題直白、簡介地概述性的總結。
獨家 | 胡繼曄:SEC若放行比特幣ETF將促進BTC上漲:近日,比特幣“小陽春”的到來給市場投資者以牛市的期盼。與此同時,有消息指出此次SEC放行比特幣ETF勝算大增,或將促進比特幣價格在短時間內沖破前高。對此,北京市法學會互聯網金融法治研究會副會長胡繼曄在接受金色財經獨家采訪時表示,2017年3月,VanEck SolidX Bitcoin Trust作為信托基金此前曾兩度申請比特幣ETF,但由于加密貨幣市場不受各國政府的監管,這些申請在SEC未獲得通過,SEC主要是認為:比特幣市場不受政府監管,不符合外匯交易法,因此SEC認為不符合交易規則而否決。此次是由芝加哥交易所申請的,而非此前的某個基金申請,其分量要重的多,獲批的可能性很大。如果發行成功,對比特幣本身的價格當然是利好,最近幾天比特幣出現漲幅就是市場的提前預期。比特幣ETF在美國申請能夠通過對我國應該影響不大,我國央行也不會因為SEC通過了就允許我國的金融機構放開購買,未來應當只是對比特幣本身信用的加持,對比特幣價格的提升有好處,不排除將來價格會從現在的6000多美元一枚上漲到歷史最高點近2萬美元的可能性,創出新高也完全有可能,主要還是比特幣和其他普通數字貨幣相比有2100萬枚的上限,物以稀為貴,太多的資金追逐比特幣的時候只能上漲。我個人認為,比特幣、以太坊、瑞波幣等經過市場經驗的數字貨幣應當是有一定價值的,而那些純屬自我炒作的“空氣幣”需要大家當心。[2018/7/22]
在標題后,我們著名此問題是致命風險、高危風險、中度風險還是低風險。
獨家 | 陶鷗:任何共識機制均是在中心化和多中心化之間尋求平衡點:POW共識機制近日遭V神質疑能耗大、易形成算力集中。對此,MATRIX CEO陶鷗在接受金色財經獨家采訪時指出:“PoW通過能源來買信任是否值得主要取決于PoW的工作量證明中的工作量是在用于計算什么結果,計算Hash,當然不值得,因為Hash對人類和社會沒有任何貢獻,每個比特幣6000美金的成本純屬浪費。任何一種共識機制都是在中心化和多中心化之間尋求平衡點的,不可否認的是PoW比PoS有更好的安全性,區別在于怎么優化PoW的共識機制。
以太坊“先過度到PoW+PoS,再徹底拋棄pow”的路徑實施目前看來進度很慢。陶鷗對此表示:“這是一個共識改變的問題,這個問題其實很簡單,我們可以把共識看做一個游戲的游戲規則,最初加入游戲的人都是因為認可了游戲規則才會加入的,但當我們提出要改變游戲規則時,我們也必須依據游戲規則來改變游戲規則,就是說共識的改變的達成是必須基于原有共識規則達成一致后才能修改。游戲規則的修改如果會傷害很多老玩家的利益,而老玩家在原有的游戲規則(共識)中還有自己的影響力,這就必然導致游戲規則修改進程的停滯。”[2018/7/12]
接下來我們就會指出這個問題具體出現在某個合約文件的第幾行。如果某些問題普遍、廣泛地存在于合約文件中,我們會明確標出問題的關鍵字,而不具體指出問題所在的行,這樣用戶能用關鍵字在文件中搜索出所有存在此問題的地點。
獨家 | 陳云峰: 加密貨幣監管不可一概而論 需區分具體權益類別:加密貨幣的屬性一直存在爭議,近日泰國全新法律將數字資產定義為貨幣和證券雙重屬性。日本金融廳擬將虛擬貨幣劃分為金融商品,受金融商品交易法約束。對于加密貨幣的屬性問題及適用的監管法律問題,中倫文德律師事務所高級合伙人陳云峰在接受金色財經獨家采訪時指出,實際上各個國家對于虛擬貨幣地位的認定一方面是基于本國已有監管框架體系和監管主體而對虛擬資產角色進行的重新的劃分,畢竟虛擬貨幣屬于新生事物,它的屬性的認定依賴于各方主體的認知,而認知不同,則會導致最終對于這一新生事物定性的區別;另一方面,對于虛擬貨幣,各國的認知也并非一成不變,隨著區塊鏈技術、數字資產相關應用的普及,監管主體也會逐步更新以往的認知,從而對虛擬資產進行重新定性。這就是我們一貫的觀點:市場、技術是動態的,監管是也是動態的。
陳云峰進一步表示,根據發行主體的不同,對加密貨幣的使用方式和范圍有所區分,以國家名義發行的加密貨幣,在使用范圍上會更加廣泛,而以市場主體名義發行的加密貨幣,在使用范圍上可能受到商業模式的限制;根據加密代幣性質的不同,大致可以分為資產型代幣,代表某種實體利益,如享有某個物的份額;證券型代幣,這個類型實際上代表了分紅權益,根據各國證券法律的監管而受到相應約束;功能型代幣,這個類型僅作為某些商業環境內部的流通手段和通證。實際上,不管何種定性,最終是和加密貨幣對應的底層資產相關,如果代表了收益或其他權益,則會受到證券法律監管;如果僅作為交易買賣標的,類似于黃金、有色金屬等,那么它可能歸類于金融衍生品,而受到其他類型的金融法律監管,因此,對于加密貨幣的監管并非是一概而論,而是要針對具體項目的加密代幣代表的具體權益類別,從而確定是否納入已有監管體系,還是重新定性為單純的投資工具。[2018/7/4]
在羅列問題的出處后,我們會對問題進行詳細地描述,這包括問題是由什么原因造成的,它會帶來什么風險,這些風險隱患不解除會造成什么后果。
我們對問題進行詳細描述一是為了讓項目方明晰問題的嚴重性,引起項目方的關注,并促使項目方改進;另一方面也是希望引起讀者的注意:他在使用這個應用或服務時,可能會遭遇什么風險甚至受到什么損失。這和我們平時在進行投資時,金融機構在我們作出最后決定前給我們看風險提示的目的是一樣的。
我們給出問題的細節是指出問題,但更重要的還是解決問題,所以接下來我們就會給出靈蹤安全對這個問題所提出的修改建議。我們的修改建議會具體到代碼該怎么改,在哪一行改等這些細節。我們希望用這樣的細節讓項目方第一時間就能迅速、精準地定位問題并解決問題。
我們前面說過,我們希望通過對問題的詳細描述,闡明前因后果,引起項目方的高度重視,最終目的還是希望項目方盡量解決這些問題。所以我們在每個問題描述的最后專門留出一欄,叫做“項目方反饋”。這一欄就是記錄項目方對這個問題的態度及行動的。項目方有沒有對我們發現的問題引起關注、有沒有立刻修改或者即便暫時無法修改后續有沒有修改的計劃等都會被我們記錄在這一欄。
至此,我們對一個問題的詳細描述就結束了。
在這些細節中,我們會特別對三個細節用黑體字高亮標出,它們分別是:問題的標題、問題的風險等級和項目方的反饋。用更通俗的話來說就是:問題是什么?問題嚴重嗎?問題解決了嗎?
我們認為這三點是讀者在閱讀某個風險隱患的描述時需要關注的重中之重。
讀者需要注意的是,在靈蹤安全的報告中,除了第11章“問題詳述“之外,還有第12章”增強建議“。
第12章所給出的建議是我們從代碼可維護性、可讀性、抗風險性等諸多方面考察后,綜合給出的建議。項目方如果采納這些建議會整體提高代碼的質量、但如果由于條件限制暫時無法采納,也不會讓項目暴露在即時可能引發的風險中。
需要指出的是,靈蹤安全對風險等級的分類及描述是按照我們既往的經驗總結的。每個審計機構都會有自己的標準和定義,這些標準和定義很可能不盡相同。但我們認為最重要的還是所找出的問題是否會引發風險、引發的風險是否嚴重以及風險最終是否得到了妥善處理。這才是對問題處理的核心和根本。
作者:
靈蹤安全CEO譚粵飛
美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師,負責底層控制系統的開發、設備制程的程序實現、算法的設計,并負責與臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學創業學院《區塊鏈概論》課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事。個人擁有4項區塊鏈相關專利、3本出版著作。
關于靈蹤安全:
靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月,團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。
團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊團隊正式收入。
團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目,并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。
1.ETH創新高Gas月內降幅超40%以太坊不堵了嗎?截至發稿,比特幣價格62965.88美元,以太坊報價2222.35美元,雙雙創下歷史最高紀錄.
1900/1/1 0:00:004月12日,數字貨幣相關股票走勢不俗,御銀股份漲停,高偉達、智度股份分別上漲7.46%、5.25%。3月12日以來,這3只股票累計漲幅均超過15%.
1900/1/1 0:00:00波多野結衣計劃發行NFT寫真盲盒,這是繼上原亞衣后第二位公開宣布涉足NFT領域的日本知名AV女優.
1900/1/1 0:00:003月11日晚,世界知名藝術品拍賣行佳士得首次拍賣以NFT形式呈現的純數字藝術品---Beeple的《每一天:前5000天》.
1900/1/1 0:00:00區塊鏈技術在經歷了十余年的發展后,漸呈“燎原之勢”,不斷在各行業落地生根。但同時,從技術的角度看,區塊鏈應用開發仍然有著較高的門檻,存在不少痛點,在應用開發各個環節上的用戶體驗、效率及安全有待提.
1900/1/1 0:00:00經過一年半的沉寂后,前世界黃金協會高管、SPDR黃金ETF資產組合經理JasonToussaint創辦的資產管理公司Kryptoin已對其2019年提交的比特幣交易所交易基金申請進行了修訂.
1900/1/1 0:00:00