USD:獨家 | 審計機構審計合約的流程

本文由“靈蹤安全”原創，授權“金色財經”獨家首發，轉載請注明出處。

在靈蹤安全的審計報告中，我們會交代對每一份合約的審計流程。大體上來說，這個流程主要包括兩個步驟：一是標準化審計步驟，二是人工審計步驟。

實際上這也是目前業內比較通行的步驟。不同審計機構可能在審計流程中的具體步驟和細節上存在差異，但歸納起來也都會包含這兩個大的步驟。?

在靈蹤安全前面發布的文章中，我們特別強調過智能合約和傳統工業流水線上批量產出的標準化產品不同，它不是按流水線、標準化作業生產出來的，而是人為編寫出來的。即便是照抄現有的合約，合約的編寫者通常也會在照抄的合約上做一些小的改動。因此，兩份合約哪怕是功能上一樣、邏輯一樣、特點一樣，在具體的編寫方式上都會存在差異。而這個差異往往就是漏洞、風險的來源。但這個差異又很難用機器大工業中常見的標準工具檢測出來。但如果無法用工具檢測，單憑人力檢測，不僅工作量大，而且效率低，并且時常還會出人為方面的錯漏。這看似矛盾的兩方面交織在一起，一直貫穿著整個審計過程的始終，也是推進行業前進和革新的根本動力。

獨家 | EOS社區意見領袖梓岑：Voice的所有用戶都會天然成為EOS用戶:在今日金色財經直播的OKEx礦池第二期AMA中，對于OKEx礦池的負責人Alina的提問“社區非常期待，Voice會助力EOS的真正崛起嗎？”EOS社區意見領袖梓岑表示不能草率的下結論說Voice一定能成功，或者EOS一定會崛起，但是Voice一定是EOS生態的晴雨表，Voice的所有用戶都會天然成為EOS用戶，目前EOS的總賬戶數是172萬，在Voice的助力下，這個數字可以輕松達到現在5~10倍的規模。[2020/2/14]

對靈蹤安全來說，我們對合約的檢測一方面會盡量使用工具進行驗證以提高效率并減輕人為驗證時可能出現的差異和錯漏；而另一方面我們又特別強調人工檢測的重要性，并強調人工檢測對合約質量的最后把關，因為人工檢測不僅是用來檢測工具無法檢測出來的問題，更是用來預判和發現業界未曾記錄的風險、做到防患于未然的保證。

獨家 | 張議云：USDT被做空導致比特幣大漲 其地位暫時無法被撼動:針對今天USDT導致比特幣大漲一事，金色財經特采訪到極豆資本創始人張議云，張議云表示：USDT面臨著其他穩定幣的競爭，通過做空USDT，吸收足夠籌碼，提高市場占有率。今天比特幣大漲很大原因是其他穩定幣做空USDT，讓很多投資者選擇將持有的usdt置換為比特幣，使其保證資產穩定，所以造成短時間內比特幣需求量增多，價格大幅度上漲。 USDT作為較早的穩定幣，錨定美元的價值一直存在，被各大主流交易所使用，短時間內的市場做空行為無法被撼動USDT的地位。[2018/10/15]

靈蹤安全自成立以來便一直致力于對合約審計標準化工具的使用和開發。在這方面，我們大膽借鑒了業界前輩已經積累的經驗，對目前市面上已經存在的合約檢測工具都進行了細致的研究和測試。但我們發現這些工具或多或少都存在一定的局限，并且在我們具體的使用過程中還存在各種不便之處，因此我們也在前輩研發的基礎上大力開發自己的自動化檢測工具，并將我們的工具投入到合約的審計工作中。這一方面提高靈蹤安全的工作效率，另一方面將我們不斷積累的經驗優化、集成到這些工具中，讓它們更好地服務于靈蹤安全的合約審計。?

獨家 | Fomo3D第一輪大獎贏家揭曉 同類DAPP游戲或將再度火爆:第三方大數據評級機構RatingToken最新數據顯示，2018年8月21日全球共新增2014個合約地址，其中271個為代幣型智能合約。

另外RatingToken安全審計團隊專家指出，Fomo3D第一輪已經結束，獲獎者共獲得了10,469.660003123933104565個ETH。最后一筆有效買入交易發生在開獎前16分鐘，考慮到擁堵情況和參與者熱情，獲獎者操作極難復制。同時巨額利潤可能引起山寨類Fomo3D游戲再次爆發，參與此類游戲一定要注意智能合約代碼是否公開，合約安全是否有保障。特此提醒投資者需保持冷靜仔細甄別，警惕幸存者偏差誤導投資。

此外，昨日登上新增合約風險榜TOP10的合約包括Le Photon Token(LPT)、Relative Strengthening Index (RSI)、Your MOM(YMOM)、f3dplus(f3dplus)、JyagaEbiCoin(JEC)、FoMo3D Long Official(F3D)、FOMO Fast(FAST)、Okami PK Long Official(Okami)、SKW(SKW)和LandOwner VS Peasant(Land)。

如需查看更多智能合約檢測結果，請查看原文鏈接。[2018/8/22]

對標準化檢測工具的研發及推進將始終是靈蹤安全開發工作的重點和必須攻克的難點。我們認為這也是業界未來發展的方向和制高點。把握這個方向、占據這個制高點不僅對靈蹤安全本身的發展，更對整個行業的發展都將起到重要的推進作用。

獨家 | Xapo 2108.8.6大額轉賬事件后續追蹤:繼北京時間2018年8月6日 20:00:00知名錢包服務商Xapo發生大額轉賬事件后，昨日該機構又出現數筆大額交易的情況。據TokenInsight分析師觀察，在8月8日 9:00:00-8月9日 9:00:00 之間的24小時內，Xapo共有5個地址發起大額轉賬交易，總金額超過20,000枚比特幣，其中4,000枚流向Bitstamp交易所，其地址為36mwH1Jg3AMVsEQqVaDSe9YFBTGebaHR1A，750枚流向地址3CVAYcmD4J2HAi5eiApXFi2AN4YL3e3hSL，余下均為Xapo內部調整。詳情見圖：（圖中展示地址皆隸屬于Xapo(顏色為紅色)，屬于外部機構的已單獨標明(顏色為紫色)。）[2018/8/9]

?對工具的研發和使用是靈蹤安全工作的重點，而對人工審查的強調及對審計工程師的培養、培訓則是靈蹤安全工作的重心和核心。

靈蹤安全認為人工審計不僅是對工具審計的查漏補缺，人工審計所積累的經驗和技能也是改進和提升工具最好的素材和動力，人工審計本身更是對整個審計過程的最后把關。所以無論從哪方面說，人工審計的重要性都不言而喻。

?人工審計所進行的是非標準化的活動。所謂的非標準化活動就是因人而異，難以絕對統一。因為每個審計工程師都有自己的習慣和自己的思路。在這種情況下如何既發揮人工審計的靈活性和創造性又避免人工審計中人為因素導致的錯漏則是靈蹤安全在人工審計過程中關注的重點和難點。

我們對此采取的主要措施是流程統一和交叉審計。這兩點也是靈蹤安全在人工審計這個大步驟中重點進行的兩個細分步驟?

所謂的流程統一就是我們為合約人工審計的流程制定了一個統一的框架和流程，這個框架和流程確保我們每個審計工程師都要延這個大方向走，不出方向性錯誤，這也是企業戰略中常說的目標一致、路徑一致，在合約審計中，我們也需要這種一致。

在這種一致框架和流程的規制下，每個審計工程師可以發揮自己的主觀能動性和創造性，按自己的習慣和特點審計合約，我們不予具體地干預。

但是即便方向一致，每個工程師在具體的進度、能力、判斷上還是會出現差異，而這些差異就有可能導致風險、漏洞逃過審計。

這時我們就需要第二個手段----交叉審計來防范這個問題。

所謂的交叉審計就是一份合約我們會由多個工程師審計。這個過程是將不同工程師的不同的思路和理解進行匯總的過程，也就是我們常說的“集思廣益”。通過這種方式，我們能盡量大地覆蓋風險的范圍和種類，盡量小地減少個人理解偏差在審計中造成的誤判。

所以靈蹤安全的審計報告中所提到的審計流程歸納起來就是利用工具的標準化審計和依賴工程師經驗的人工審計。

作者：

靈蹤安全CEO譚粵飛

美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事。個人擁有4項區塊鏈相關專利、3本出版著作。

關于靈蹤安全：

靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目，并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：USDTUSDEOSSDTtrustwallet沒有usdt1usdc幣是多少人民幣eosreelusdt幣圈

DOT