區塊鏈:首發 | 智能合約的審計報告有什么內容？又該如何去審讀

本文由“靈蹤安全”原創，授權“金色財經”獨家首發，轉載請注明出處。

一個數字貨幣、去中心化應用或服務和所有的商品一樣都有它的用戶，因此用戶對它也有一個最基本、最底線的要求----那就是質量要過關。和傳統商品一樣，數字貨幣、DAPP的質量如何不能自說自話，還需要用戶或第三方機構對其進行檢測。但和普通商品不同的是，這個商品一旦被用了，發現質量不行退貨都沒用，因為它可能已經對用戶造成了經濟上的損失。所以在區塊鏈領域，對DAPP質量的檢測就必須交給第三方審計機構在產品正式上線前先嚴格把關。而這個嚴格把關的檢測過程最后所形成的結果就是我們常說的智能合約的審計報告。

LBank藍貝殼于5月3日20:00首發 CSPR(Casper)，開放USDT交易:據官方公告，5月3日20:00，LBank藍貝殼上線 CSPR(Casper)，開放USDT交易，同時并開放充值，資料顯示，Casper網絡是基于CasperCBC規范構建的第一個實時權益證明區塊鏈。Casper旨在加速當今企業和開發人員對區塊鏈技術的采用，同時確保隨著網絡參與者需求的發展，其在未來仍能保持高性能。[2021/5/3 21:19:51]

一份智能合約的審計報告對審計機構來說相當于一本書的讀后感，這本“書”是一套智能合約的源代碼；而對讀者尤其是合約的使用者來說又相當于一份“質量檢測報告”。

審計報告的這種雙重角色決定了它的作用就像是用戶和DAPP之間的一個橋梁，這個橋梁的制造者就是審計公司。這個橋造得好不好一方面決定了用戶能不能很好、很準確地把握這個DAPP的質量，放心地使用它；另一方面也決定了這個DAPP能不能走向更廣大的用戶，達到它的理想市場狀況。

LBank藍貝殼于4月9日16:50首發 BOSON:據官方公告，4月9日16:50，LBank藍貝殼首發BOSON(Boson Protocol)，開放USDT交易，4月9日16:00開放充值，4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月9日16:50開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ，可按凈充值量獲得等值1%的BOSON的USDT空投獎勵；交易賽將根據用戶的BOSON交易量進行排名，前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/9 20:02:26]

LBank藍貝殼于4月10日01:00首發 BOSON，開放USDT交易:據官方公告，4月10日01:00，LBank藍貝殼首發BOSON(Boson Protocol)，開放USDT交易，4月9日23:00開放充值，4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ，可按凈充值量獲得等值1%的BOSON的USDT獎勵；交易賽將根據用戶的BOSON交易量進行排名，前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]

所以一份審計報告一定要極盡所能的客觀公正，如實反映審計機構看到的合約的真實“質量”，并羅列出所有的問題。

首發 | 百度財報體現區塊鏈 BaaS平臺成為新戰略重點:金色財經報道，2020年2月28日，百度（股票代碼BAIDU）公布財報，其中將區塊鏈BaaS平臺相關的進展進行了單獨敘述，依托于百度智能云的區塊鏈平臺有望成為技術創新方向的新增長引擎。在AI服務上，百度與上海浦東發展銀行達成合作，共建區塊鏈聯盟，在百度區塊鏈服務（BaaS）平臺上實現跨行信息驗證。[2020/2/28]

審計公司除了要把被審計合約的“讀后感”完整、真實地展現出來，還要想想怎么能讓讀者尤其是絕大多數非專業領域的讀者更容易地讀懂這份報告、很準確地把握這份報告的精髓和精華。

所以一份審計報告還要盡可能地讓讀者讀得懂、抓到重點、讀到精華。

既然一份報告既要客觀公正、準確詳實，又要通俗易懂、清晰明了，所以我們在寫一份審計報告時采取了提綱挈領、層層展開的方式。

IMEOS首發 EOS Go公布新增兩條復選條件 :據金色財經合作伙伴IMEOS報道：今日，EOS Go在 steemit上公布新增的兩條復選條件為：

1. 保證安全的計劃：候選節點是否在steemit上發布文章介紹該節點的安全方法和計劃，“安全方法”標準是向EOS選民展示安全最佳實踐知識和組織實施計劃的機會；

2. 立場：描述該節點分享通脹獎勵和/或向EOS代幣持有人派發股息的立場（候選節點在steemit發布）。主要闡述以下兩個問題：

該組織是否會出于任何原因向EOS令牌選民提供支付，包括BP選舉和社區建議？

該組織是否有書面的無票付款政策？如果是這樣，請提供一個鏈接。[2018/4/27]

所謂的提綱挈領就是用最簡單最概括性的語言把讀者最關注的重點和痛點首先寫出來，讓讀者直接從這部分內容看到整篇報告最重要、最精華的部分。所謂的層層展開就是讓讀者在讀完這部分內容后，如果還想更進一步了解審計機構的審計詳情以及被審計合約的詳細細節則可以隨著后續的章節一步步展開，進一步閱讀，進一步深入。

基于這個思路，我們對一份審計報告的內容布局就有了如下的安排：

我們的審計報告通常包含12章內容。

我們首先就會在第一章介紹所審計的合約文件，包括文件名、文件所能被公開查詢、訪問的位置、對文件內容的存證標識、審計機構的審計方式及流程、審計機構審計時所依賴的客觀材料及這些材料的出處、本審計報告的責任聲明、本次審計的最終結論。

對于絕大多數讀者而言，當他只關注被審計合約的最終質量和風險評估時，他可以只看這一章內容，而略掉后續章節。這一章也可以說是我們審計報告的精華和重點。

接下來的章節則主要就是對審計過程和更多審計細節的披露和展開。

我們會在第二章介紹我們的公司、官網、背景、業務范圍等。

第三章介紹被審計項目的應用及服務。

第四章介紹本審計報告所審計的合約的主要功能。

第四章和第三章是相輔相成缺一不可的。對于第三章很多讀者能夠理解它的存在必要，但對第四章，有些讀者不理解。實際上在我們所審計的一些項目中，存在這樣的問題：項目方所開發的項目是個龐大的應用，它涉及諸多功能，而項目方給我們所審計的合約僅僅只是這諸多功能中的一個或幾個。

舉個例子：通常一個去中心化交易所，它有通證交易的功能、提供流動性的功能、發行治理代幣及分發治理代幣的功能等。而則個交易所的項目方可能只給審計機構審查了提供流動性的功能和發行治理代幣的的功能。

所以第四章是對第三章的進一步說明和對審計范圍的進一步細化。

第五章介紹了審計機構在本次審計過程中具體做了什么工作。

第六章介紹了審計機構在審計過程中可能涉及審查的風險種類。

第七章介紹了審計機構對每一個羅列的風險進行的等級評定。這些等級通常分為：致命風險、高危風險、中度風險和低風險。

第八章介紹了審計機構在全面閱讀了項目代碼后根據項目的應用場景和功能特別關注的可能產生風險的領域和功能。

第九章羅列了根據風險等級，每個等級中審計機構所發現的風險數量。

第十章羅列了根據合約文件，每個文件中審計機構所發現的風險數量。

第十一章是第十章的細化，在第十章的基礎上對每個風險，詳細描述了這個風險的名稱、等級、產生的位置、風險描述、審計機構給出的修改建議以及項目方對此風險的回應。

第十二章是在第十一章的基礎上對項目方的進一步建議。這一章所羅列的不是風險，也不是項目方必須修改的問題，而是為了讓代碼有更好的可維護性、可讀性、可擴展性、抗風險性等特點審計機構額外提出的一些完善建議和質量提升建議。對此，項目方可采納也可不采納。

至此，一份審計報告就完成了。

作者：

靈蹤安全CEO?譚粵飛

美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師，負責半導體設備程序的開發、負責與公司關鍵客戶---臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事。擁有4項區塊鏈相關專利四項。

關于靈蹤安全：

靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目，并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：SONBOSBOSON區塊鏈Simpson FinanceBOSON幣Boson Protocol區塊鏈存證證件具有更高的信任等級

中幣