DAPP:獨家 | 智能合約的審計報告是什么？又該如何去審讀

本文由“Fairyproof Tech”原創，授權“金色財經”獨家首發，轉載請注明出處。

在日常生活中，我們買一件產品或者使用一個服務，通常首先關注的就是這個產品或服務的質量。越貴、和我們切身利益關系越大的產品或服務，我們就越關注它的質量。在數字貨幣領域，我們買一個數字貨幣或者使用一個DAPP——尤其是和我們資產密切相關的DAPP（比如DeFi類應用），我們就更需要關注它的質量。

對有形的產品或服務，我們會反復看它的外觀、看它的產地、甚至還會試用一下看看自己的感受，以此來確認它的質量如何。但對看不見、摸不著的數字貨幣和DAPP，我們如何確保它們的質量呢？目前相對來說最靠譜的方法就是看這個數字貨幣或DAPP的“質量檢測報告”——合約審計報告了。

獨家 | 比特幣鏈上活躍度上升，未確認交易數2160筆:金色財經報道，據歐科云鏈OKLink鏈上數據顯示，BTC鏈上活躍度上升。截至上午11時，BTC全網難度為16.95T，全網算力為126.97EH/s，較前日上升5.67EH/s，全網算力呈上升趨勢。未確認交易數近2160筆。[2020/8/13]

日常生活中我們常接觸的大多數產品及服務都是工業化、標準化生產出來的產品或服務，因此它們都有嚴格的規范和生產流程，并且每一步都是現代機器工業流水線上造出來的，幾乎避免了傳統手工業生產中人為因素導致的每個產品的差異。但數字貨幣和DAPP的“生產”卻遠沒有工業化生產的這種規范和流程，幾乎100%靠手工完成，這就導致每個編寫數字貨幣或DAPP的“工匠”們打造出來的產品或服務都有個體差異，即便是對同一類型的產品或服務都存在差別。

獨家 | 極豆資本合伙人李泳：礦機市場是算力的博弈 所有企業都不敢懈怠:針對目前礦機三大巨頭企業謀求上市一事，金色財經獨家采訪到極豆資本合伙人李泳，在關于“三大礦機企業集體謀求上市，您有何看法？”這一問題上，他表示：“即使三家企業上市，市場選擇還是會以礦機算力為主，像瑪雅、阿瓦隆、芯動、GMO等新的礦機企業新出的礦機算力很高，也備受關注。礦機制造業的戰場，就是一場算力的博弈，所有礦機企業都不敢有絲毫懈怠，一旦落后于時代的礦機和芯片技術的高速更新迭代，迎來的就是淘汰。任何一個行業都不是一成不變的，雖然比特大陸、嘉楠耘智與億邦國際目前壟斷了全球市場，但隨著幣價變化，礦機市場會涌現更多競爭者。它們在嘗試上一個臺階，但后來者也在全力沖刺，只要有市場需要，優質的礦機就一定能出線。”[2018/9/11]

這使得對數字貨幣或DAPP的質量檢測根本無法做到像對工業制成品那樣通過標準化的檢測手段和測試技術就能在產品出廠前排除其中的殘次品，只能通過個性化的方法和手段主要依靠經驗和人為判斷來大體描述它的質量。所以，即便對同一類但是由不同“工匠”打造出來的數字貨幣或DAPP，它的“質量檢測報告”（合約審計報告）都會有不同。而且由于這種檢測主要是依靠經驗和人為判斷，因此它難以100%檢測出所有的質量問題。

獨家 | BitRent創始人：區塊鏈可以明顯優化建筑項目工作流程:BitRent創始人Dmitriy在接受采訪時表示，區塊鏈可以明顯優化項目工作流程并改善團隊協作。使建筑項目更具分析性，提高施工過程的透明度。更進一步來說，施工流程的全透明，完善了建筑的問責制，并更好的控制整個項目管理，將建筑數據下放給投資者后，利益分配機制更加開放，減少了行業和客戶之間的爭議和投資風險。[2018/8/19]

再者，日常生活中我們接觸的有形產品或服務在上市后一旦質量上有瑕疵或者缺陷，它們還可以被召回、下架、退貨。但數字貨幣或DAPP在上線后一旦質量上有瑕疵或者缺陷，卻無法被召回、下架和退貨，并且往往已經對用戶產生了傷害或造成了損失。

為什么呢？因為這種產品或服務太特殊，它基于區塊鏈技術。我們都知道區塊鏈技術的眾多特質中包含不可逆和無法篡改。因此這兩個特質也就成了這類產品或服務與生俱來的基因，使得數字貨幣或DAPP一旦被造出來，就無法更改、無法回退，無論它給用戶帶來了利益還是造成了損失，都已是既成事實。  

獨家 | 降維安全實驗室：區塊鏈的匿名性給黑客非法獲利變現提供了便利途徑:2015年起，大連晟平網絡科技有限公司在全國各地招聘代理,來推廣捆綁著挖礦程序的木馬58迅推增值客戶端,一旦客戶端植入電腦主機,就會靜默下載挖礦監控軟件和挖礦程序運行,挖到的礦幣（如DGB\\DCR\\SC）會轉移到公司控制人賀某的虛擬貨幣錢包中。該公司非法利用黑客技術控制電腦主機389萬臺、共非法獲利1500萬。

對此，降維安全實驗室安全專家在接受金色財經獨家專訪時分析，不法分子利用黑客技術獲利的觸角已從互聯網行業伸到區塊鏈行業，所有的個人電腦、手機都可能變成黑客的非法提款機。

1、由于很難追查到數字貨幣流向地址所屬人的真實身份，所以區塊鏈的匿名性給黑客非法獲利變現提供了極為便利的途徑。利用區塊鏈非法獲利的攻擊將成指數級上升。

2、挖礦將大幅度降低電腦及手機的性能、增加耗電量。當用戶的手機或電腦出現操作時變慢或發熱量突然增大的現象，就有可能已經被黑客植入了挖礦代碼進行非法挖礦。

3、常見的挖礦攻擊方式包括1）在網頁中植入挖礦代碼，用戶訪問網頁時電腦或手機就開始滿負荷運行，成為黑客的免費礦機。2）應用程序及手機APP中被捆綁挖礦木馬，用戶一旦安裝此程序，即自動在用戶電腦或手機下載挖礦程序并進行隱秘挖礦，將非法所得時時轉入黑客個人數字貨幣地址。

4、對于用戶而言雖然沒有絕對的安全，但是好的電腦及手機使用習慣可以降低被黑客利用的可能性。1）不要隨意登錄不知名網站，避免被網站中的挖礦代碼驅動進行挖礦2）電腦下載應用程序時應盡可能在應用所屬的官方網站下載，在其他第三方網站下載可能存在應用程序本身已被捆綁挖礦木馬的風險3）手機下載App時，蘋果手機應在蘋果Appstore下載，安卓手機應盡可能去App所屬官網下載或在國內著名的手機應用市場下載。在其他地方下載會存在App已捆綁挖礦木馬的風險。

5、無論國內還是國外，未經用戶允許擅自使用用戶的計算資源都屬于違法行為。在機構嚴厲打擊此類違法行為同時，用戶也應該主動提高自身安全意識、養成良好的電腦、手機使用習慣。更好的保護自己的資產。[2018/7/11]

這也就意味著對一個數字貨幣或DAPP要想在質量上有保證，嚴謹的項目方就會想方設法在它上線前盡量多測試、多審查。

這往往意味著以下兩點：

首先，前面我們提到數字貨幣或DAPP目前主要依賴人為手工打造，這就導致它的質量無法整齊劃一，無法通過標準手段檢測其質量，所以這個質量檢測的過程不可能100%查出其中的漏洞。這是目前合約審計這個行業面臨的最大難題和尷尬處境。這也就意味著合約的審計報告難以100%保證質量、擔保產品或服務無瑕疵。所以項目方往往會和多家審計機構合作，共同審計一個項目，在時間、資金有限的情況下盡可能把瑕疵挑出來、盡可能從不同角度評審產品或服務的質量。

其次，項目方多測試、多審查的過程包含了大量與合約審計機構的合作和溝通。這些細節和過程往往會如實反映到一份合約審計報告中。這些細節往往也從側面反映了項目方的態度和做事方式。

因此，一份智能合約的審計報告是對數字貨幣或DAPP的“質量檢測報告”。但和傳統工業產品不同的是，它難以100%保證其所審計產品或服務的質量。雖然如此，但它卻是專業人士幫用戶對這個產品或服務在質量上的把住的一個關鍵關口，并且報告的內容能從側面反映出項目方的態度和作風。

每一個數字貨幣投資者和DAPP服務的用戶都應該仔細閱讀這個產品或服務的審計報告。

作者：

Fairyproof TechCEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程（Industrial Engineering） 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc（San Jose, CA, USA） 軟件工程師，負責半導體設備程序的開發、負責與公司關鍵客戶---臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學 《區塊鏈概論》 課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事 。擁有4項區塊鏈相關專利四項。

關于Fairyproof Tech：

Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目， 并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：APP數字貨幣DAPDAPP虛擬幣交易app排行數字貨幣交易所app下載安裝DAPSW價格dapp幣怎么從錢包提到交易所

DOGE