本文由“灵踪安全”原创,授权“金色财经”独家首发,转载请著名出处。
?一份审计报告是对一套智能合约的“质量检测报告”,那报告就要告诉用户所审计的对象是谁。
?和普通的有形商品不同,智能合约这种特殊的商品是摸不着的,那怎么才能让用户知道它呢?
?区块链领域的绝大多数项目包括鼎鼎大名的比特币和以太坊都有一个共同的特点:它们的源代码都是”开源”的。所谓的“开源”就是它们的代码都是公开的,放在某个公开、所有人都可以访问的网站上,任何人都可以看到它的内容。
?我们所审计的智能合约绝大多数也是这样,它们都是开源的,放在一些知名的、供所有人存放文件的网站比如github等。
?如果我们所审计的智能合约是开源并且放在了github上,我们要让用户知道它、看到它的源代码,就会在审计报告中列出合约所存放的github的网址。这就好比一件商品存进了一个大仓库,存在仓库中的某个库房,我们要让用户能找到这件商品就要告诉用户仓库的地址和库房的门牌号码。存放合约的github网址就等于仓库地址门牌号码。
独家 | 金色财经2月25日挖矿收益数据播报:金色财经报道,据印比特数据显示,按照BTC参考价格66900元、电价0.38元/kWh计算,当前在售主流BTC矿机的市场价格及回本周期为:阿瓦隆1066-50T(全新现货6180元,241天回本)、神马M20S-68T(全新现货12200元,272天回本)、芯动T3+-57T(全新现货9700元,318天回本)、蚂蚁S17Pro-56T(全新现货12500元,347天回本)。[2020/2/25]
可是如果合约的编写者在给审计机构审计时用的是放在github上的一套合约,但审计后尤其是项目上线后,用户又修改了它的智能合约,我们怎么知道放在github上的合约就是审计时看到的合约而不是后来修改过或者其它“鱼目混珠”的合约呢?
这就涉及到github这个仓库的一个特性了。
当项目方往github中存放代码时,github会给这次存放动作产生一个版本号。这就好比我们在比特币、以太坊中申请一个新钱包时,这个钱包会有一个独一无二的地址一样,这个版本号也是唯一的。
独家 | 10个减产币种5涨5跌 ETC涨超3%领涨:金色财经报道,2020年10个将要减产的加密货币5涨5跌。近24小时涨跌情况分别为:BTC(+0.57%)、BCH(-1.73%)、BSV(-2.93%)、ETC(+3.30%)、DASH(+0.13%)、ZEC(-0.02%)、BCD(-4.19%)、ZEN(+1.64%)、XZC(+0.52%)、SERO(-2.26%)。[2020/2/21]
当项目方之后对任何文件有了任何改动:小到一个字的修改,大到文件的删除、添加等,当把这些改动提交到github中,github又会给这次动作产生一个新的版本号。
所以github中的版本号就是对所存放的文件的一份唯一存证,它保证了这个版本号所对应的文件就是某时某刻放进仓库中的文件,而不是之前或之后放进去的文件。
所以我们在审计报告中除了罗列被审计合约的github网址,还要罗列被审计合约在github中的版本号。
独家 | EOS社区意见领袖Saro:Voice必须符合用户所在的每个司法管辖区的法规:在今日金色财经直播的OKEx矿池第二期AMA中,对于OKEx矿池的负责人Alina的提问“?Blockone特别重视Voice的合规,这是为什么呢?”EOS社区意见领袖、eosDAC核心成员Saro表示Block One宣布第一阶段推广仅针对美国公民。监管因国家而异,因此通过确保遵守美国法规,他们可以解决可能在全球范围内发生的所有监管问题,而不必事后进行交火。 此外,对Voice的合规性是9月SEC解决方案的一部分。Voice的核心功能是身份验证,关于证券监管,可以有效隔离美国用户。
关于银行法规,Voice与用户互动的方式已包含AML / KYC要求关于确保遵守美国证券法,B1考虑到两个方面:
该代币不是“投资合同”。 Voice和大多数项目的目的不是将其作为投资合同(即用户购买以获得收益的东西),而是将代币计为具有特定用途的实际加密货币。但是SEC最近一直将大多数加密货币解释为一种证券。
Voice固有的身份特征使其可以将美国人排除在拥有代币之外,或者按照他们的提议在地理上逐步推广。由于大多数加密项目无论如何都必须从用户那里获取KYC信息,因此设计整个项目以便利用身份识别是很明智的,这也是B1对Voice所做的。Voice必须符合用户所在的每个司法管辖区的法规。[2020/2/14]
这两个要素就保证了读者看我们报告时能准确知道我们所审计的内容。
独家 | Topfund刘思宇:SEC大概率不会统一注册数字货币及相关产品的ETF:针对比特币ETF申请能否获批事宜,金色财经就此事独家采访到Topfund 刘思宇,他表示从美国证交会表态可看出比特币ETF审批通过需要到达几点要求:
1、etf申请者们正在寻找这样一种投资工具,其价值取决于一种流动性充足、在受监管的交易所交易的资产,并且这些交易所可以证明,它们的风险管理和AML/KYC程序足以缓解市场操纵的潜在风险。
2、需要按照监管标准配备加密资产托管机构。为了确保资产评估符合监管机构的标准,业界和市场最好就比特币相关金融产品的参考指标达成一致意见。
3、全球大型比特币交易所需要共同努力,建立市场监督共享协议,按照美国证交会的规定减少和遏制市场操纵行为。
因此,在有关btc的定价、流动性、安全托管和潜在的市场操纵等问题得到解决之前,SEC大概率不会统一注册资产组合中含有大量数字货币及相关产品的基金。[2018/8/23]
除了放在github上,还有的项目方在审计时已经把合约部署在区块链网络上了。由于智能合约一旦部署到区块链网络上,它就是无法篡改和撤销的,因此智能合约所部署的区块链地址也可以作为合约的存证地址。
对这样的合约,我们通常也会记录下它在区块链上的地址作为唯一存证。
我们前面说绝大多数项目的智能合约是开源的,这也就意味着还有一些项目的合约在审计时是未开源的,在这种情况下,我们怎么记录这份合约的存证呢?
我们会用SHA-256的值来标记合约文件的存证。
有些读者尤其是数字货币的玩家看到“SHA-256”这个词会觉得很眼熟:这不是数字货币加密算法中常用的一个技术吗?
确实是这样,更准确的说,它是一种经过“哈希函数”运算得出的值,这个值也被称为“哈希值”,它有256位。
所谓的哈希函数又称散列函数,是一种从任何一种数据中创建小的数字“指纹”的方法。哈希函数把消息或数据压缩成摘要,使数据量变小,将数据的格式固定下来。该函数将原有的数据打乱混合,重新创建一个结果叫做哈希值。
我们为什么要用这个值来记录合约文件的存证呢?因为一个SHA-256的值所对应的文件内容是唯一的。这就和上面我们用github中的版本号来保证github中的文件是唯一的一样。
那我们怎么用这个值来记录合约文件的存证呢?
我们自己编写了一套这样的工具,对所审计的每个合约文件的内容都用这个工具进行一次运算,所得到的值就是一个SHA-256的值。这个值就代表了我们所审计的文件内容的唯一。
我们会罗列每个文件及其所对应的SHA-256值,这就记录了文件的存证。
当用户或读者要检测他看到的合约文件是否是我们所审计的合约时,将他看到的文件用我们的工具计算一下,将所得出的SHA-256值与我们所得到的值进行比较,如果一样就证明是,如果不一样就证明不是。
所以总结起来说,我们会用github网址版本号、区块链地址或SHA-256值这三种方式中的一种或几种来记录文件的存证。
谢谢
------------------------------------------------------------------
作者:
灵踪安全CEO谭粤飞
美国弗吉尼亚理工大学(VirginiaTech,Blacksburg,VA,USA)工业工程硕士(Master)。曾任美国硅谷半导体公司AIBTInc软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事。个人拥有4项区块链相关专利、3本出版著作。
关于灵踪安全:
灵踪安全科技有限公司是一家专注区块链生态安全的公司。灵踪安全科技主要通过“代码风险检测逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。
团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊团队正式收入。
团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目,并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。