獨家 | 智能合約的審計報告是什么？又該如何去審讀_ETC

本文由“Fairyproof Tech”原創，授權“金色財經”獨家首發，轉載請注明出處。

在日常生活中，我們買一件產品或者使用一個服務，通常首先關注的就是這個產品或服務的質量。越貴、和我們切身利益關系越大的產品或服務，我們就越關注它的質量。在數字貨幣領域，我們買一個數字貨幣或者使用一個DAPP——尤其是和我們資產密切相關的DAPP（比如DeFi類應用），我們就更需要關注它的質量。

對有形的產品或服務，我們會反復看它的外觀、看它的產地、甚至還會試用一下看看自己的感受，以此來確認它的質量如何。但對看不見、摸不著的數字貨幣和DAPP，我們如何確保它們的質量呢？目前相對來說最靠譜的方法就是看這個數字貨幣或DAPP的“質量檢測報告”——合約審計報告了。

獨家 | BTC 24h鏈上交易量下降18.68%:據歐科云鏈OKLink數據顯示，BTC 24h鏈上活躍地址數總計996129，較前日下降7.46%；鏈上交易量總計557857.79BTC，較前日下降18.68%；鏈上交易筆數總計328902，較前日下降1.31%；BTC鏈上活躍度下降。

截至上午10時，BTC全網算力約為121.71EH/s，較前日上升0.03EH/s，全網算力呈上升趨勢。[2020/8/5]

日常生活中我們常接觸的大多數產品及服務都是工業化、標準化生產出來的產品或服務，因此它們都有嚴格的規范和生產流程，并且每一步都是現代機器工業流水線上造出來的，幾乎避免了傳統手工業生產中人為因素導致的每個產品的差異。但數字貨幣和DAPP的“生產”卻遠沒有工業化生產的這種規范和流程，幾乎100%靠手工完成，這就導致每個編寫數字貨幣或DAPP的“工匠”們打造出來的產品或服務都有個體差異，即便是對同一類型的產品或服務都存在差別。

獨家 | ETC亞太社區經理 ：CoreGeth作為ETC Core官方維護客戶端繼續服務于ETC網絡:金色財經報道，7月17日，針對此前“ETC兩大客戶端OpenEthereum和MultiGeth宣布停止支持ETC”消息，ETC亞太社區經理 Christian表示，OpenEthereum的維護者Gnosis已作出正式申明，停止支持ETC是為了將其有限的精力投入到以太坊主網開發中，而不是Wei Tang所說的原因。Phoenix之后MultiGeth的實際開發者只有Wei Tang本人，由于某些分歧，Wei Tang選擇了將MultiGeth停止ETC支持。從去年以來，ETC先后完成了三次硬分叉升級，使ETC網絡目前與ETH完全一致。其中，ETC Core團隊功不可沒。早在上半年，ETC Core團隊即開發了一款更加安全的Go語言客戶端CoreGeth，CoreGeth完美地支持了Phoenix硬分叉，并且至今保持完好運行。從對Gnosis的回帖中大家也可以看到，OpenEthereum和MultiGeth退出后，CoreGeth作為ETC Core官方維護的客戶端完全值得大家信賴，繼續服務于ETC網絡。[2020/7/17]

這使得對數字貨幣或DAPP的質量檢測根本無法做到像對工業制成品那樣通過標準化的檢測手段和測試技術就能在產品出廠前排除其中的殘次品，只能通過個性化的方法和手段主要依靠經驗和人為判斷來大體描述它的質量。所以，即便對同一類但是由不同“工匠”打造出來的數字貨幣或DAPP，它的“質量檢測報告”（合約審計報告）都會有不同。而且由于這種檢測主要是依靠經驗和人為判斷，因此它難以100%檢測出所有的質量問題。

獨家 | 金色財經2月27日挖礦收益數據播報:金色財經報道，據印比特數據顯示，按照BTC參考價格61900元、電價0.38元/kWh計算，當前在售主流BTC礦機的市場價格及回本周期為：芯動T3+-57T（全新現貨9500元，361天回本）、神馬M20S-68T（全新現貨12100元，305天回本）、阿瓦隆1066-50T（全新現貨5900元，269天回本）、螞蟻S17+-67T（3月份期貨12800元，291天回本）。[2020/2/27]

再者，日常生活中我們接觸的有形產品或服務在上市后一旦質量上有瑕疵或者缺陷，它們還可以被召回、下架、退貨。但數字貨幣或DAPP在上線后一旦質量上有瑕疵或者缺陷，卻無法被召回、下架和退貨，并且往往已經對用戶產生了傷害或造成了損失。

獨家 | ImageMagick存在0day漏洞:降維安全實驗室（johnwick.io)觀測到通用性圖像處理軟件ImageMagick被爆0day漏洞。

可以用于遠程命令執行，甚至可以本地提權至root權限，且截至發稿前，官方尚未發布補丁。

此漏洞風險等級極高。

ImageMagick是一款被廣泛使用的圖像處理軟件，有相當多網站使用它來進行圖像處理。

同時它被Perl，C++，PHP，python，java，ruby等等語言支持，許多第三方圖像處理的

模塊或支持庫均使用ImageMagick實現。此次出現漏洞原理為ImageMagick底層支持庫

GhostScript存在沙箱繞過缺陷。

我們注意到，交易所的kyc驗證流程，涉及到圖像處理，非常容易受到此漏洞攻擊利用。

降維安全實驗室（johnwick.io）建議通過卸載ImageMagick底層支持庫GhostScript

來緩解本漏洞。

卸載方法：sudo apt-get remove ghostscript[2018/8/22]

為什么呢？因為這種產品或服務太特殊，它基于區塊鏈技術。我們都知道區塊鏈技術的眾多特質中包含不可逆和無法篡改。因此這兩個特質也就成了這類產品或服務與生俱來的基因，使得數字貨幣或DAPP一旦被造出來，就無法更改、無法回退，無論它給用戶帶來了利益還是造成了損失，都已是既成事實。  

這也就意味著對一個數字貨幣或DAPP要想在質量上有保證，嚴謹的項目方就會想方設法在它上線前盡量多測試、多審查。

這往往意味著以下兩點：

首先，前面我們提到數字貨幣或DAPP目前主要依賴人為手工打造，這就導致它的質量無法整齊劃一，無法通過標準手段檢測其質量，所以這個質量檢測的過程不可能100%查出其中的漏洞。這是目前合約審計這個行業面臨的最大難題和尷尬處境。這也就意味著合約的審計報告難以100%保證質量、擔保產品或服務無瑕疵。所以項目方往往會和多家審計機構合作，共同審計一個項目，在時間、資金有限的情況下盡可能把瑕疵挑出來、盡可能從不同角度評審產品或服務的質量。

其次，項目方多測試、多審查的過程包含了大量與合約審計機構的合作和溝通。這些細節和過程往往會如實反映到一份合約審計報告中。這些細節往往也從側面反映了項目方的態度和做事方式。

因此，一份智能合約的審計報告是對數字貨幣或DAPP的“質量檢測報告”。但和傳統工業產品不同的是，它難以100%保證其所審計產品或服務的質量。雖然如此，但它卻是專業人士幫用戶對這個產品或服務在質量上的把住的一個關鍵關口，并且報告的內容能從側面反映出項目方的態度和作風。

每一個數字貨幣投資者和DAPP服務的用戶都應該仔細閱讀這個產品或服務的審計報告。

作者：

Fairyproof TechCEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程（Industrial Engineering） 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc（San Jose, CA, USA） 軟件工程師，負責半導體設備程序的開發、負責與公司關鍵客戶---臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學 《區塊鏈概論》 課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事 。擁有4項區塊鏈相關專利四項。

關于Fairyproof Tech：

Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目， 并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：ETCDAPP數字貨幣APP以太經典幣ETC區塊鏈dapp開發教程官方數字貨幣Dapper幣

幣贏交易所