以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

獨家 | 如何讀審計報告之每個風險等級的實際案例_區塊鏈

Author:

Time:1900/1/1 0:00:00

前面我們和大家介紹了Fairyproof Tech對風險等級的劃分,有讀者看了一定會好奇:每種風險分別都是什么樣的呢?

在這篇文章里我們就每個等級的風險具體舉出一些案例來說明致命風險、高危風險、中度風險和低風險分別是什么樣的。

致命風險是所有風險中等級最高的、最危險的,它需要項目方即刻解決,不能拖延。

這類風險最常見的就是合約中一些明顯可能導致編譯無法成功、或者在邏輯中出現明顯錯誤導致代碼的運行邏輯無法正確完成的地方。這種風險不處理,項目方的合約幾乎不可能通過編譯運行或不可能正常運行。

舉例來說,在合約實現中,變量賦值類型的不匹配,編譯器版本定義導致的編譯問題等都屬于這類風險。

獨家 | Bakkt期貨合約數據一覽:金色財經報道,Bakkt Volume Bot數據顯示,9月29日,Bakkt比特幣月度期貨合約周交易額為7554萬美元,同比下降30%,未平倉合約量為1255萬美元,同比下降4%。[2020/9/30]

由于Fairyproof Tech在后期的報告中已經很少把這類風險寫在報告中,而是一旦發現就要求項目方立即解決,所以在我們后期的報告中很難直接看到這類風險,只在我們早期的報告中有這類風險的羅列。

高危風險在危險程度上僅次于致命風險,它極有可能給項目帶來嚴重問題,也需要項目方解決。

這類風險最常見的就是合約實現中的邏輯錯誤,比如計算錯誤等。

獨家 | “新增代幣型智能合約風險榜”Top10出爐:第三方大數據評級機構RatingToken最新數據顯示,2018年8月15日全球共新增1536個合約地址,其中264個為代幣型智能合約。據RatingToken團隊發布的“新增代幣型智能合約風險榜”顯示,The Winner Fomo3D Long(THEWINNER3D)、imfomo Long Official(imfomo)和SuperCard(SuperCard)風險最高,檢測得分分別為1.50、2.00和2.00。該風險榜TOP10的還包括:CoinLoan CryptoStock Promo Token(CLT_CS)、ChainDrawings(CD)、ABVToken(ABV)、KPayCoin1(KPC1)、 中華民族正統證明幣、GreenEnergyCoin(GEC)和貿聯幣(GTD)。新增代幣型智能合約風險榜數據依據RatingToken數據庫,最終解釋權歸RatingToken官方所有。如需查看更多智能合約檢測結果,請查看原文鏈接。[2018/8/16]

舉例來說,質押挖礦是很多DeFi合約中都有的功能,質押挖礦的基本邏輯是用戶將某個數字資產抵押進礦池,然后合約會根據用戶抵押的資產占總抵押資產的比例來核算用戶該拿到多少獎勵。如果這個比例計算錯誤或者實現有誤,用戶無法拿到正確的獎勵,就會嚴重影響項目的聲譽。

獨家 | 董天一:技術變更受制于不同團體的利益之爭:POW共識機制近日遭V神質疑能耗大、易形成算力集中。對此,IPFS布道者董天一在接受金色財經獨家采訪時指出,PoW每年的確消耗了非常多的資源,這是事實,但PoW仍然是經過實際證明的當前很好的方案。PoS剛剛開始試驗,結果還是未知狀態。PoW通過能源和計算資源的消耗來換取信任機制值不值得,需要從這種信任機制帶來的價值上來衡量,本質上來講PoW是將傳統的中心化機構的信任機制轉化為了計算資源。我們的世界為信任建了一套復雜的體系來保證,這本身消耗的資源也是非常巨大的,我現在并沒有具體的數據來說明,但是預估這種資源的消耗量應該遠超PoW所帶來的資源消耗量。一切都可以使用經濟學來解釋,如果區塊鏈技術所提供的價值(也就是為世界節約的資源)大于了我們采用其它解決方案所帶來的價值,這就是高效的,值得的。技術從不會止步不前,技術會一直向前發展,區塊鏈技術也剛剛誕生不到10年,還處于進化的初期。技術的進步可能會為我們帶來更優秀(成更低)的而解決方案。

以太坊“先過度到PoW+PoS,再徹底拋棄pow”的路徑實施目前看來進度很慢,董天一對此表示,以太坊的的這套方案”很難“,這其中涉及的因素也比較多,區塊鏈分布式的共識,每一次升級實際上也是在人之間的一種共識,完成這種共識并不是一件容易的事情,不然的話比特幣就不會像現在這樣分叉了。技術變更除了技術本身的困難帶來的阻礙,更多的還是來自于不同團體之間的利益之爭。[2018/7/12]

高危風險現在也很少會被我們羅列在報告中,而是我們一旦發現這類風險就會要求項目方立即修正。讀者可以在我們早期出具的報告中看這類風險的詳細舉例。

獨家 | 陳云峰:加密領域對投資者保護與發行主體資質規范稍顯不足:據路透消息,泰國證券交易委員會(SEC)周三宣布,數字貨幣發行規定將于7月16日生效。泰國SEC在一份聲明中表示,數字貨幣的發行人必須是依據泰國法律注冊的公司,并且具備向機構投資者、超高凈值投資者、風險投資和私募股權公司提供無限資產的能力,但它們只能向散戶投資者提供最高30萬泰銖(約9050美元)的數字貨幣。中倫文德律師事務所高級合伙人陳云峰在接受金色財經獨家采訪時指出,一方面,這意味著泰國監管部門對于加密貨幣的監管態度趨嚴,通過設置投資者準入門檻、發行人資質要求等,讓加密貨幣投資領域“有法可依”;另一方面,投資者的風險承受能力不同,而加密貨幣投資市場同樣存在一定的風險,因此針對投資者設定一定的準入門檻,也是投資者保護的需要。投資額度和投資者的財務狀況、專業知識、風險承受能力有關,而發行人應適當采取KYC措施,對投資者進行背景調查和風險提示。一般來說,在金融投資領域,對于適格投資人都有明確的法律規定,如設定個人資產標準、投資領域等,通過這些門檻以起到維持金融市場的穩定,而加密貨幣投資同樣屬于投資領域,相較于傳統金融領域,對于投資者保護和發行主體資質的規范稍顯不足,而金融秩序必須以穩為前提,因此在投資者保護方面,可以參照傳統金融領域的規范。[2018/7/6]

中度風險相較于高危風險等級又次一級,它有可能給項目帶來潛在問題,最終還是要項目方解決。

這類風險比較常見的有管理員權限控制的問題。

比如在DeFi協議中通常都會有發行代幣的功能。而通常控制代幣發行的地址就是管理員,所以在這類合約中,管理員的權限是相當大的。在一些代碼實現中,由于項目功能復雜以及運維方面的需要,管理員不僅自己有權決定是否發行代幣甚至還有權力決定是否賦予其它的地址這樣的權力,讓其它地址也能發行代幣。

這就產生了安全隱患:如果項目管理員的權限被盜或者管理員自己出現道德風險、濫用這個權力,那代幣的發行就不受控制了。

這類風險是由合約邏輯引入的,但邏輯的實現又不得不如此,并且有時在合約部署初期,為了讓項目能高效運轉,還要保持這種管理員權限運作一段時間,這都給項目帶來了潛在的風險。

項目方帶著這種風險進行操作也是小心翼翼、如履薄冰,它就像達摩克里斯劍一樣懸在項目方和用戶的頭頂,隨時有掉落的風險。

對這類風險我們會強烈建議項目方在運作一段時間后,將管理員權限轉交社區(比如DAO)或者多簽錢包,以規避這類風險。

低風險是所有風險中級別最低的,通常它表現為一些細節問題、警告信息等,暫時來說這個等級的問題可以不用解決,但項目方最后在未來某個新版本中解決這類問題。

這類風險涉及的細節和具體問題比較零散和瑣碎,我們常見的有函數或變量命名方面的問題。

對函數或變量的命名如何通常普通用戶是不會感知的,但對項目方自己維護代碼或其它(比如第三方)合約調用這些函數在某些情況下會產生一定困擾。

通常函數或便令命名出現的問題就是“詞不達意”,即命名和它實際在合約中起的邏輯作用不同,比如一個函數是要設置某個變量的值,我們通常會將這個函數命名為“setXXX”(設置XXX),但由于筆誤或其它原因,項目方將其命名為“getXXX”(讀取XXX),這就讓函數的名字和它的真實作用讀起來南轅北轍了。

這樣的代碼時間一久,當項目方自己再回頭來維護或修改時,如果不仔細看代碼就會誤解函數的功能,從而錯誤地調用它。

因此Fairyproof Tech對這類風險也建議項目方在方便的時間修改。

作者:

Fairyproof TechCEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程(Industrial Engineering) 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc(San Jose, CA, USA) 軟件工程師,負責底層控制系統的開發、設備制程的程序實現、算法的設計,并負責與臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學創業學院《區塊鏈概論》課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。

關于Fairyproof Tech:

Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月,團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目, 并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags:區塊鏈TECTECHPRO魔獸幣應用區塊鏈嗎QTECH幣Trade Tech AIFei Protocol

幣安app官網下載
Filecoin網絡的合規性如何解決?_FIL

這是一個經常被問及的問題,IPFS或者Filecoin網絡的數據合規性如何解決?一直被宣揚的數據自由流通似乎是和數據合規、監管相悖的?那么Filecoin是否會有比較大的政策風險?這其中包含了許.

1900/1/1 0:00:00
項目周刊 | ETH礦工51小時算力轉移示威活動已經失敗_以太坊

金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、礦業信息、項目動態、技術進展等行業動態。本文是其中的項目周刊,帶您一覽本周主流項目以及明星項目的進展.

1900/1/1 0:00:00
金色前哨|BM發起治理系統EdenOS 已計劃2次選舉_EDEN

金色財經報道,北京時間4月6日,EOS社區舉行社區會議,會議的主題相關于新社區治理提案Eden,并發布了關于新治理系統EdenOS的路線圖.

1900/1/1 0:00:00
OKLink鏈上周報:交易所比特幣凈流入量持續回落 市場重拾信心_比特幣

雖然特斯拉創始人埃隆馬斯克在本周宣布特斯拉美國地區已正式支持比特幣支付,但比特幣市場的反應似乎并不熱烈.

1900/1/1 0:00:00
一文帶你了解 Kusama DeFi 中心 Karura_KAR

Karura is the all-in-one DeFi Hub of Kusama經過幾個月的構建與成長.

1900/1/1 0:00:00
去中心化期權成兵家必爭之地 一文盤點主流期權協議及代表項目_GIC

自2020年下半年以來,全世界各行各業都因Covid-19遭受重創,然而在區塊鏈領域,技術極客和金融先驅們卻合力掀起了一場Decentralized Finance的風暴.

1900/1/1 0:00:00
ads