本文由“Fairyproof Tech”原創,授權“金色財經”獨家首發,轉載請注明出處。
一份審計報告是對一套智能合約的“質量檢測報告”,那報告就要告訴用戶所審計的對象是誰。
和普通的有形商品不同,智能合約這種特殊的商品是摸不著的,那怎么才能讓用戶知道它呢?
區塊鏈領域的絕大多數項目包括鼎鼎大名的比特幣和以太坊都有一個共同的特點:它們的源代碼都是”開源”的。所謂的“開源”就是它們的代碼都是公開的,放在某個公開、所有人都可以訪問的網站上,任何人都可以看到它的內容。
我們所審計的智能合約絕大多數也是這樣,它們都是開源的,放在一些知名的、供所有人存放文件的網站比如github等。
如果我們所審計的智能合約是開源并且放在了github上,我們要讓用戶知道它、看到它的源代碼,就會在審計報告中列出合約所存放的github的網址。這就好比一件商品存進了一個大倉庫,存在倉庫中的某個庫房,我們要讓用戶能找到這件商品就要告訴用戶倉庫的地址和庫房的門牌號碼。存放合約的github網址就等于倉庫地址+門牌號碼。
獨家 | 匿名貨幣板塊上漲3.93% 42幣種23漲5跌14平:非小號數據顯示,今日匿名貨幣板塊上漲3.93%,42幣種23漲5跌14平。漲幅前三分別為:APR(+30.50%)、TPAY(+17.33%)、AAPL(+14.70%);跌幅前三分別為:VOT(-13.14%)、PRIX(-12.09%)、XBI(-5.84%)。[2020/2/19]
可是如果合約的編寫者(通常我們稱為項目方)在給審計機構審計時用的是放在github上的一套合約,但審計后尤其是項目上線后,用戶又修改了它的智能合約,我們怎么知道放在github上的合約就是審計時看到的合約而不是后來修改過或者其它“魚目混珠”的合約呢?
這就涉及到github這個倉庫的一個特性了。
當項目方往github中存放代碼時,github會給這次存放動作產生一個版本號。這就好比我們在比特幣、以太坊中申請一個新錢包時,這個錢包會有一個獨一無二的地址一樣,這個版本號也是唯一的。
獨家 | Bakkt期貨合約數據一覽:金色財經報道,Bakkt Volume Bot數據顯示,2月12日,Bakkt比特幣月度期貨合約單日交易額為1376萬美元,環比下降48%;未平倉合約量為1732萬美元,環比上升11%。[2020/2/13]
當項目方之后對任何文件有了任何改動:小到一個字的修改,大到文件的刪除、添加等,當把這些改動提交到github中,github又會給這次動作產生一個新的版本號。
所以github中的版本號就是對所存放的文件的一份唯一存證,它保證了這個版本號所對應的文件就是某時某刻放進倉庫中的文件,而不是之前或之后放進去的文件。
所以我們在審計報告中除了羅列被審計合約的github網址,還要羅列被審計合約在github中的版本號。
這兩個要素就保證了讀者看我們報告時能準確知道我們所審計的內容。
獨家 | 胡繼曄:EURO Chain的推出主要是平衡數據應用和隱私保護之間的關系:12月17日,歐洲中央銀行發布了一個基于POC(Proof-of-Concept,概念驗證)名為EURO Chain的項目。中國政法大學區塊鏈金融法治研究中心主任胡繼曄對金色財經分析表示,歐洲央行推出的EURO chain與歐盟2018年5月25號通過的《通用數據保護條例》(General Data Protection Regulation, 簡稱GDPR)的原則是完全一致的。也就意味著,EURO Chain的推出主要是為了保護客戶隱私,即平衡數據應用和隱私保護之間的關系。如何來平衡二者的關系,這是一個負責任的金融機構應該考慮的。
另外,胡繼曄表示,EURO chain的推出很大程度上是因為Libra。近期,Libra對白皮書進行了修改,在引人注意的是刪除了分紅的條款。我們可以看到,Libra希望是向跨過跨境的金融服務機構來過渡。但是,歐洲央行一直明確反對Libra,在反對的同時也希望有自己的數字貨幣。
所以,歐洲央行推出EUROchain是面對Libra對其產生的沖擊而提出的應對之策。這也是我的一個非常重要的觀點,歐洲央行推出EUROchain是因為要對抗Libra。[2019/12/27]
除了放在github上,還有的項目方在審計時已經把合約部署在區塊鏈網絡上了。由于智能合約一旦部署到區塊鏈網絡上,它就是無法篡改和撤銷的,因此智能合約所部署的區塊鏈地址也可以作為合約的存證地址。
獨家 | 張議云:USDT被做空導致比特幣大漲 其地位暫時無法被撼動:針對今天USDT導致比特幣大漲一事,金色財經特采訪到極豆資本創始人張議云,張議云表示:USDT面臨著其他穩定幣的競爭,通過做空USDT,吸收足夠籌碼,提高市場占有率。今天比特幣大漲很大原因是其他穩定幣做空USDT,讓很多投資者選擇將持有的usdt置換為比特幣,使其保證資產穩定,所以造成短時間內比特幣需求量增多,價格大幅度上漲。 USDT作為較早的穩定幣,錨定美元的價值一直存在,被各大主流交易所使用,短時間內的市場做空行為無法被撼動USDT的地位。[2018/10/15]
對這樣的合約,我們通常也會記錄下它在區塊鏈上的地址作為唯一存證。
我們前面說絕大多數項目的智能合約是開源的,這也就意味著還有一些項目的合約在審計時是未開源的,在這種情況下,我們怎么記錄這份合約的存證呢?
獨家 | RatingToken提示用戶警惕千面合約存在“假充值”漏洞:第三方大數據評級機構RatingToken最新數據顯示,2018年8月1日全球共新增1655個合約地址,其中388個為代幣型智能合約。RatingToken安全審計團隊發現,某以太坊個人地址使用同一份代碼創建了6個智能合約地址,包括SPR、FXS、RKG、STR、SFX和VER,這些合約地址被包裝成6個網站,類型包括社交和貿易合作等,疑似使用相同網站模板創建,且投資方信息無法對應。合約安全檢測得分為3.8分,且發現合約地址存在“假充值”漏洞,如果該類代幣上所交易,攻擊者可以利用漏洞向中心化交易所、錢包等服務平臺發起充值操作,如果服務平臺僅根據“TxReceipt Status ”是否是 “success”來判斷交易是否成功,則會觸發“假充值”行為,該創建者的動機可疑,RatingToken安全審計團隊將持續關注該類合約。如需查看更多智能合約檢測結果,請查看原文鏈接。[2018/8/2]
我們會用SHA-256的值來標記合約文件的存證。
有些讀者尤其是數字貨幣的玩家看到“SHA-256”這個詞會覺得很眼熟:這不是數字貨幣加密算法中常用的一個技術嗎?
確實是這樣,更準確的說,它是一種經過“哈希函數”運算得出的值,這個值也被稱為“哈希值”,它有256位(bit)。
所謂的哈希函數又稱散列函數(英語:Hash Function),是一種從任何一種數據中創建小的數字“指紋”的方法。哈希函數把消息或數據壓縮成摘要,使數據量變小,將數據的格式固定下來。該函數將原有的數據打亂混合,重新創建一個結果叫做哈希值(hash value、hash code、hash sum或hash)。
我們為什么要用這個值來記錄合約文件的存證呢?因為一個SHA-256的值所對應的文件內容是唯一的。這就和上面我們用github中的版本號來保證github中的文件是唯一的一樣。
那我們怎么用這個值來記錄合約文件的存證呢?
我們自己編寫了一套這樣的工具,對所審計的每個合約文件的內容都用這個工具進行一次運算,所得到的值就是一個SHA-256的值。這個值就代表了我們所審計的文件內容的唯一。
我們會羅列每個文件及其所對應的SHA-256值,這就記錄了文件的存證。
當用戶或讀者要檢測他看到的合約文件是否是我們所審計的合約時,將他看到的文件用我們的工具計算一下,將所得出的SHA-256值與我們所得到的值進行比較,如果一樣就證明是,如果不一樣就證明不是。
所以總結起來說,我們會用github網址+版本號、區塊鏈地址或SHA-256值這三種方式中的一種或幾種來記錄文件的存證。
作者:
Fairyproof TechCEO 譚粵飛
美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程(Industrial Engineering) 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc(San Jose, CA, USA) 軟件工程師,負責底層控制系統的開發、設備制程的程序實現、算法的設計,并負責與臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學 創業學院《區塊鏈概論》 課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。
關于Fairyproof Tech:
Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月,團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。
團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569 被以太坊團隊正式收入。
團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目, 并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。
3月29日,經過多日拉鋸戰后,比特幣再次向上突破57000美元/枚,短線走高近800美元,日內漲超2%.
1900/1/1 0:00:00原標題:揭秘Dapper Labs背后的男人 NFT的造夢師Roham GharegozlouRoham Gharegozlou是Dapper Labs的CEO.
1900/1/1 0:00:002021年第一季度加密市場迎來爆發式增長,DeFi、NFT等熱門賽道迎來諸多個重磅融資事件,新加坡政府投資基金、DST Global、Tiger Global 等越來越多主流投資機構開始布局加密.
1900/1/1 0:00:00日本再次向世界展示了其在娛樂 IP 領域蘊藏的強大能量。日本歷史悠久且規模最大的電影公司東寶株式會社,進入區塊鏈 NFT 的首個動作就一鳴驚人,直接動用旗下的爆款 IP,也是日本最知名且最有分量.
1900/1/1 0:00:00原標題:“區塊鏈+司法鑒定”實現“同步存證易” 國內首個區塊鏈司法鑒定中心成立日前,國網區塊鏈司法鑒定中心正式成立,這也是國內首個以區塊鏈技術為特色的司法鑒定中心.
1900/1/1 0:00:003月15日,印度擬提出一項法律禁止加密貨幣,部分市場人士猜測,美國政府會不會效仿印度政府頒布對比特幣等加密貨幣的禁令;橋水基金創始人瑞·達利歐表示,比特幣可能被宣布非法.
1900/1/1 0:00:00