链资讯 链资讯
Ctrl+D收藏链资讯

ITH:独家 | 审计报告怎么记录审计文件的存证? 又该如何去审读_alpine币释放

作者:

时间:

本文由“灵踪安全”原创,授权“金色财经”独家首发,转载请著名出处。

?一份审计报告是对一套智能合约的“质量检测报告”,那报告就要告诉用户所审计的对象是谁。

?和普通的有形商品不同,智能合约这种特殊的商品是摸不着的,那怎么才能让用户知道它呢?

?区块链领域的绝大多数项目包括鼎鼎大名的比特币和以太坊都有一个共同的特点:它们的源代码都是”开源”的。所谓的“开源”就是它们的代码都是公开的,放在某个公开、所有人都可以访问的网站上,任何人都可以看到它的内容。

?我们所审计的智能合约绝大多数也是这样,它们都是开源的,放在一些知名的、供所有人存放文件的网站比如github等。

?如果我们所审计的智能合约是开源并且放在了github上,我们要让用户知道它、看到它的源代码,就会在审计报告中列出合约所存放的github的网址。这就好比一件商品存进了一个大仓库,存在仓库中的某个库房,我们要让用户能找到这件商品就要告诉用户仓库的地址和库房的门牌号码。存放合约的github网址就等于仓库地址门牌号码。

独家 | 北律协互联网金融法律事务专委会将加入《区块链行业应用反安全标准》起草小组:金色财经报道,应中国软件行业协会区块链分会邀请,北京市律师协会互联网金融法律事务专业委员会将加入《区块链行业应用反安全标准》起草小组并参与相关工作。[2020/4/13]

可是如果合约的编写者在给审计机构审计时用的是放在github上的一套合约,但审计后尤其是项目上线后,用户又修改了它的智能合约,我们怎么知道放在github上的合约就是审计时看到的合约而不是后来修改过或者其它“鱼目混珠”的合约呢?

这就涉及到github这个仓库的一个特性了。

当项目方往github中存放代码时,github会给这次存放动作产生一个版本号。这就好比我们在比特币、以太坊中申请一个新钱包时,这个钱包会有一个独一无二的地址一样,这个版本号也是唯一的。

独家 | 加密货币市值前十币种1涨9跌 BSV、EOS领跌:金色财经数据显示,截止当前,加密货币市值前十币种1涨9跌。近24小时涨跌情况分别为:BTC(9935美元,-0.13%)、ETH(260.37美元,-1.60%)、XRP(0.2926美元,-5.17%)、BCH(412.97美元,-6.60%)、BSV(284.01美元,-9.46%)、LTC(75.13美元,-4.13%)、USDT(1.007美元,+0.10%)、EOS(4.374美元,-7.17%)、BNB(23.32美元,-4.40%)、XTZ(3.16美元,-2.29%)。[2020/2/17]

当项目方之后对任何文件有了任何改动:小到一个字的修改,大到文件的删除、添加等,当把这些改动提交到github中,github又会给这次动作产生一个新的版本号。

所以github中的版本号就是对所存放的文件的一份唯一存证,它保证了这个版本号所对应的文件就是某时某刻放进仓库中的文件,而不是之前或之后放进去的文件。

独家 | 朝阳区下发文件禁止任何场所承办虚拟货币推介活动:近日,网曝北京市朝阳区金融社会风险防控工作领导小组发布禁止虚拟币推介活动通知,要求各商场、酒店、宾馆、写字楼等地不得承办任何形式的虚拟货币推介宣传等活动,如知悉相关情况,及时向区处非办报送。金色财经核实,该文件为真。朝阳区金融风险防控工作领导小组办公室一位工作人员告诉金色财经,这份文件是上周就拟好的,但是这周才下发到各个场所。他表示,目前禁止承办虚拟币推介活动只是朝阳区的规定,全北京市层面还没有动作。“我们在前一段时间监控到了互联网金融和虚拟货币的风险,有一家虚拟货币交易所在朝阳举办了非法的推介活动,所以才有这样的文件出来,预防可能出现的风险”。[2018/8/22]

所以我们在审计报告中除了罗列被审计合约的github网址,还要罗列被审计合约在github中的版本号。

这两个要素就保证了读者看我们报告时能准确知道我们所审计的内容。

独家 | 比特金首席开发者:闪电网络人为限制了最多交易量 实际可随时取消:加密货币研究机构Diar最近发布了一份研究报告指出,闪电网络协议可以100%确保适用于0.03美元以下的交易,如果金额大于5美元,则成功率会下降一半;如果金额大约490美元,那么成功则会降到1%。对此,Lightning Labs首席技术官否认闪电网络无法处理大额交易 。闪电网络之前被一些开发者诟病,称其实是用一种复杂的方法解决简单的问题,容易带来新的问题。对此,比特金首席开发者 h4x3rotab在接受金色财经采访时指出,闪电网络暂时有一个人为的限制,是为了避免软件不成熟丟币,限制了最多一个交易0.042btc,现在的币价计算就是200多美元。这个限制随时都可以取消。Diar的分析是有问题的,他拿当前的网络容量做估计,只是去估计现有通道中,容量大于一定量的百分比,而实际上闪电网络会按照需要随时建立新通道,这不能得出发送有一定概率失败的结论。[2018/6/28]

除了放在github上,还有的项目方在审计时已经把合约部署在区块链网络上了。由于智能合约一旦部署到区块链网络上,它就是无法篡改和撤销的,因此智能合约所部署的区块链地址也可以作为合约的存证地址。

对这样的合约,我们通常也会记录下它在区块链上的地址作为唯一存证。

我们前面说绝大多数项目的智能合约是开源的,这也就意味着还有一些项目的合约在审计时是未开源的,在这种情况下,我们怎么记录这份合约的存证呢?

我们会用SHA-256的值来标记合约文件的存证。

有些读者尤其是数字货币的玩家看到“SHA-256”这个词会觉得很眼熟:这不是数字货币加密算法中常用的一个技术吗?

确实是这样,更准确的说,它是一种经过“哈希函数”运算得出的值,这个值也被称为“哈希值”,它有256位。

所谓的哈希函数又称散列函数,是一种从任何一种数据中创建小的数字“指纹”的方法。哈希函数把消息或数据压缩成摘要,使数据量变小,将数据的格式固定下来。该函数将原有的数据打乱混合,重新创建一个结果叫做哈希值。

我们为什么要用这个值来记录合约文件的存证呢?因为一个SHA-256的值所对应的文件内容是唯一的。这就和上面我们用github中的版本号来保证github中的文件是唯一的一样。

那我们怎么用这个值来记录合约文件的存证呢?

我们自己编写了一套这样的工具,对所审计的每个合约文件的内容都用这个工具进行一次运算,所得到的值就是一个SHA-256的值。这个值就代表了我们所审计的文件内容的唯一。

我们会罗列每个文件及其所对应的SHA-256值,这就记录了文件的存证。

当用户或读者要检测他看到的合约文件是否是我们所审计的合约时,将他看到的文件用我们的工具计算一下,将所得出的SHA-256值与我们所得到的值进行比较,如果一样就证明是,如果不一样就证明不是。

所以总结起来说,我们会用github网址版本号、区块链地址或SHA-256值这三种方式中的一种或几种来记录文件的存证。

谢谢

------------------------------------------------------------------

作者:

灵踪安全CEO谭粤飞

美国弗吉尼亚理工大学(VirginiaTech,Blacksburg,VA,USA)工业工程硕士(Master)。曾任美国硅谷半导体公司AIBTInc软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事。个人拥有4项区块链相关专利、3本出版著作。

关于灵踪安全:

灵踪安全科技有限公司是一家专注区块链生态安全的公司。灵踪安全科技主要通过“代码风险检测逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。

团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊团队正式收入。

团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目,并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。

标签:ITH区块链PINMAS秘银币mith前景怎么样区块链个人怎么买alpine币释放DMASK价格

以太坊交易所热门资讯
比特币:名扬:比特币6万关口触手可及,以太坊强势上冲多头强劲_以太坊

多空非儿戏,涨跌皆有因,比特币上千点,以太坊反复上百点的止盈,绝非偶然。这样的布局机会很多,但是要具有把握的能力才行,如果你不能可以找名扬实时在线指导.

比特币:陆百川3.31比特币日内策略内参_杭州女子花300万买比特币

陆百川3.31比特币日内策略内参 人生如棋,落子无悔。过去的荣耀与成功,现在已不再重要,需要做的,是走好脚下的每一步,下好眼前的每步棋.

ZKS:数据:ZKSwap 第二轮流动性挖矿开启 48 小时,Layer 2 总资产达 4 亿美元_CZUSD币

链闻消息,据zkswap.info显示,Layer2交易所ZKSwap第二轮流动性挖矿自3月29日18时开启,活动已进行48个小时.

ZKS:NFT 火热 存储却是最被忽略的重要一环_zkswap币未来价值

对于NFT而言,要倍加当心,从价值百万到一文不值,或许只有一步之遥。存储,是其中的关键一环。?近期NFT和存储概念赛道仍然热度不断,不过关于两者的关联却少见谈及.

SWAP:FST(Futureswap)_ESWAP

项目简介: Futureswap协议是永续平台和Uniswap的混合体,没有高滑点。它采用自动做市的方式进行永续交易。Futureswap旨在为大型永续交易提供最佳的价格执行环境.

加密货币:为什么越来越多的公司希望消费者使用加密货币支付?_ETNA Metabolism

本周,似乎每家大公司都希望消费者开始使用数字资产付款。昨天,PayPal开始允许客户使用其加密货币余额付款.