链资讯 链资讯
Ctrl+D收藏链资讯
首页 > BTC > 正文

TRY:独家 | 审计机构审计合约的流程_COM

作者:

时间:

本文由“灵踪安全”原创,授权“金色财经”独家首发,转载请注明出处。

在灵踪安全的审计报告中,我们会交代对每一份合约的审计流程。大体上来说,这个流程主要包括两个步骤:一是标准化审计步骤,二是人工审计步骤。

实际上这也是目前业内比较通行的步骤。不同审计机构可能在审计流程中的具体步骤和细节上存在差异,但归纳起来也都会包含这两个大的步骤。?

在灵踪安全前面发布的文章中,我们特别强调过智能合约和传统工业流水线上批量产出的标准化产品不同,它不是按流水线、标准化作业生产出来的,而是人为编写出来的。即便是照抄现有的合约,合约的编写者通常也会在照抄的合约上做一些小的改动。因此,两份合约哪怕是功能上一样、逻辑一样、特点一样,在具体的编写方式上都会存在差异。而这个差异往往就是漏洞、风险的来源。但这个差异又很难用机器大工业中常见的标准工具检测出来。但如果无法用工具检测,单凭人力检测,不仅工作量大,而且效率低,并且时常还会出人为方面的错漏。这看似矛盾的两方面交织在一起,一直贯穿着整个审计过程的始终,也是推进行业前进和革新的根本动力。

独家 | 比特币年化期现价差为6.85%,市场情绪指数为“乐观”:金色财经报道,据同伴客数据显示,9月19日(格林威治标准0时)比特币年化期现价差为6.85%,较前一日下跌0.24%,市场情绪指数为“乐观”。

指数参考:>20% 极度牛市;10%~20% 牛市;5%~10% 乐观;2%~5% 谨慎乐观;0~2% 谨慎;-5%~0 谨慎悲观;-10%~-5% 悲观;-20%~-10%熊市;<-20%:极度熊市。[2020/9/19]

对灵踪安全来说,我们对合约的检测一方面会尽量使用工具进行验证以提高效率并减轻人为验证时可能出现的差异和错漏;而另一方面我们又特别强调人工检测的重要性,并强调人工检测对合约质量的最后把关,因为人工检测不仅是用来检测工具无法检测出来的问题,更是用来预判和发现业界未曾记录的风险、做到防患于未然的保证。

独家 | BTC 24h 链上活跃度下降:据欧科云链OKLink数据显示,BTC 24h 链上活跃地址数总计917884,较前日下降6.94% ;链上交易量总计610157.27 BTC,较前日下降1.63% ;链上交易笔数总计330556,较前日下降3.21% ;BTC链上活跃度下降。

截至上午10时,全网算力约为110.12EH/s,较前日上升0.95EH/s,全网算力呈上升趋势。[2020/6/18]

灵踪安全自成立以来便一直致力于对合约审计标准化工具的使用和开发。在这方面,我们大胆借鉴了业界前辈已经积累的经验,对目前市面上已经存在的合约检测工具都进行了细致的研究和测试。但我们发现这些工具或多或少都存在一定的局限,并且在我们具体的使用过程中还存在各种不便之处,因此我们也在前辈研发的基础上大力开发自己的自动化检测工具,并将我们的工具投入到合约的审计工作中。这一方面提高灵踪安全的工作效率,另一方面将我们不断积累的经验优化、集成到这些工具中,让它们更好地服务于灵踪安全的合约审计。?

独家 | EOS社区意见领袖Stephane:使用Voice的好处最终将胜过 KYC认证产生的弊端和烦恼:在今日金色财经直播的OKEx矿池第二期AMA中,对于OKEx矿池的负责人Alina的提问“Voice就要发布测试版了,似乎EOS社区外关注的人并不多,您觉得问题是出在哪里呢?能不能分享一下自己接触到的社区成员们对Voice的态度?”EOS社区意见领袖Stephane Bisson表示确实在EOS社区之外,Voice并没有引起太多关注,但是我认为这不是问题。 Block.one表示,在真正准备好大规模采用之前,他们不希望营销其产品。对我而言,这对于一家拥有良好财务,长期前景和宏伟目标的公司来说非常有意义。EOS社区之外的许多人都希望Voice能够提供社交媒体体验,即使他们还不了解它。对Voice最感兴趣的人很可能是世界上的社交媒体社区的负责人。 与Facebook相比,我们这些人的工作将在Voice之类的平台上变得更加愉悦。许多最终用户因拒绝KYC认证而无法加入某平台,但如果他们最喜欢的意见领袖在Voice上,并且能为他们的关注和数据提供相应的价值的补偿,那么我认为,使用Voice的好处最终将胜过 KYC认证产生的弊端和烦恼。[2020/2/14]

对标准化检测工具的研发及推进将始终是灵踪安全开发工作的重点和必须攻克的难点。我们认为这也是业界未来发展的方向和制高点。把握这个方向、占据这个制高点不仅对灵踪安全本身的发展,更对整个行业的发展都将起到重要的推进作用。

独家 | BTC 24小时资金净流入9.19亿元:金色财经监测数据显示,24小时资金净流入排名中BTC排名第一, 24小时净流入9.19亿元人民币;ETH24小时资金净流入排名第二,24小时净流入8.34亿元人民币;XRP24小时金净流入排名第三,24小时净流入4.82亿元人民币。LTC24小时资金净流入排名第四,24小时资金净流入4.49亿元人民币;TRX24小时资金净流入排名第五,24小时资金净流入2.78亿元人民币。[2020/2/13]

?对工具的研发和使用是灵踪安全工作的重点,而对人工审查的强调及对审计工程师的培养、培训则是灵踪安全工作的重心和核心。

灵踪安全认为人工审计不仅是对工具审计的查漏补缺,人工审计所积累的经验和技能也是改进和提升工具最好的素材和动力,人工审计本身更是对整个审计过程的最后把关。所以无论从哪方面说,人工审计的重要性都不言而喻。

?人工审计所进行的是非标准化的活动。所谓的非标准化活动就是因人而异,难以绝对统一。因为每个审计工程师都有自己的习惯和自己的思路。在这种情况下如何既发挥人工审计的灵活性和创造性又避免人工审计中人为因素导致的错漏则是灵踪安全在人工审计过程中关注的重点和难点。

我们对此采取的主要措施是流程统一和交叉审计。这两点也是灵踪安全在人工审计这个大步骤中重点进行的两个细分步骤?

所谓的流程统一就是我们为合约人工审计的流程制定了一个统一的框架和流程,这个框架和流程确保我们每个审计工程师都要延这个大方向走,不出方向性错误,这也是企业战略中常说的目标一致、路径一致,在合约审计中,我们也需要这种一致。

在这种一致框架和流程的规制下,每个审计工程师可以发挥自己的主观能动性和创造性,按自己的习惯和特点审计合约,我们不予具体地干预。

但是即便方向一致,每个工程师在具体的进度、能力、判断上还是会出现差异,而这些差异就有可能导致风险、漏洞逃过审计。

这时我们就需要第二个手段----交叉审计来防范这个问题。

所谓的交叉审计就是一份合约我们会由多个工程师审计。这个过程是将不同工程师的不同的思路和理解进行汇总的过程,也就是我们常说的“集思广益”。通过这种方式,我们能尽量大地覆盖风险的范围和种类,尽量小地减少个人理解偏差在审计中造成的误判。

所以灵踪安全的审计报告中所提到的审计流程归纳起来就是利用工具的标准化审计和依赖工程师经验的人工审计。

作者:

灵踪安全CEO谭粤飞

美国弗吉尼亚理工大学(VirginiaTech,Blacksburg,VA,USA)工业工程硕士(Master)。曾任美国硅谷半导体公司AIBTInc软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事。个人拥有4项区块链相关专利、3本出版著作。

关于灵踪安全:

灵踪安全科技有限公司是一家专注区块链生态安全的公司。灵踪安全科技主要通过“代码风险检测逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。

团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊团队正式收入。

团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目,并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。

标签:TRYCHACOMSTATRYONMasternode Hype Coin ExchangeCompound EtherQuantum Resistant Ledger

BTC热门资讯
GATE:Gate.io 将上线 InsurAce(INSUR) 交易的公告_INS

Gate.io将于2021年4月1日12:30上线InsurAce(INSUR)交易。InsurAce是一种分散式保险协议,旨在为DeFi用户提供可靠,健壮和无忧无虑的DeFi保险服务,保费非常.

FINE:【新币上线】CAICA (CICC)正式上线DigiFinex_INE

亲爱的用户: DigiFinex将于2021年4月2日11:00(GMT8)上线CICC,并于2021年4月2日17:00(GMT8)开放CICC/USDT和CICC/BTC交易服务.

POL:以太坊核心开发者会议更新 001_APOLLO币

来源|AllCoreDevsUpdate 作者|TimBeiko 欢迎? 欢迎阅读AllCoreDevs系列第一期总结文章。本系列文章旨在总结核心协议开发的进展,以便以太坊社区更好地理解与消化.

UST:3 月波卡生态月报|Rococo 开始平行链拍卖测试_onekeylite形状裁图

3月,波卡生态最令人激动的消息,应该就是波卡测试网?Rococo开始进行平行链拍卖测试了,这意味着平行链拍卖功能已进入测试阶段,离平行链上线到Kusama也越来越近了.

TRA:楚悦辰:4.1比特币以太坊昨日大幅震荡,4月份大有可为_LIT

初听不知曲中意,再听已是曲中人。向来心是看客心,奈何人是剧中人。后来,海底月不可捞,心上人不可及,看客心伤不起,剧中人不可提.

FIL:全球存储领域的巨头都在布局IPFS与Filecoin?_FILE

2021年3月29日,中国化工行业领先的技术驱动平台分子数据公司宣布,继续与中国上市的UCloud合作,进一步推动数字化转型,升级化工、医疗、医药领域和新材料行业.