本文由“靈蹤安全”原創,授權“金色財經”獨家首發,轉載請著名出處。
在一篇審計報告中,用戶如果希望詳細了解被審計合約中出現的問題和風險,最需要閱讀的就是對這些風險的詳細描述了。在靈蹤安全的審計報告中,這部分內容就是第11章“問題詳述”。
在這一章,我們會按照合約文件的名,羅列每個合約文件中出現的所有風險問題。對每個風險問題,我們會給出問題的標題、該問題的風險等級、問題所在的出處、對問題的詳細描述、靈蹤安全對解決問題給出的修改建議、項目方的反饋。?
問題的標題就是我們對一個問題直白、簡介地概述性的總結。
在標題后,我們著名此問題是致命風險、高危風險、中度風險還是低風險。
獨家 | Bakkt期貨合約數據一覽:金色財經報道,Bakkt Volume Bot數據顯示,8月5日,Bakkt比特幣月度期貨合約日交易額為5065萬美元,同比上漲15%,未平倉合約量為2326萬美元,同比下跌5%。[2020/8/6]
接下來我們就會指出這個問題具體出現在某個合約文件的第幾行。如果某些問題普遍、廣泛地存在于合約文件中,我們會明確標出問題的關鍵字,而不具體指出問題所在的行,這樣用戶能用關鍵字在文件中搜索出所有存在此問題的地點。
在羅列問題的出處后,我們會對問題進行詳細地描述,這包括問題是由什么原因造成的,它會帶來什么風險,這些風險隱患不解除會造成什么后果。
獨家 | Bakkt期貨合約數據一覽:金色財經報道,Bakkt Volume Bot數據顯示,2月20日,Bakkt比特幣月度期貨合約單日交易額為1266萬美元,環比下降17%;未平倉合約量為1010萬美元,環比下降26%。[2020/2/21]
我們對問題進行詳細描述一是為了讓項目方明晰問題的嚴重性,引起項目方的關注,并促使項目方改進;另一方面也是希望引起讀者的注意:他在使用這個應用或服務時,可能會遭遇什么風險甚至受到什么損失。這和我們平時在進行投資時,金融機構在我們作出最后決定前給我們看風險提示的目的是一樣的。
我們給出問題的細節是指出問題,但更重要的還是解決問題,所以接下來我們就會給出靈蹤安全對這個問題所提出的修改建議。我們的修改建議會具體到代碼該怎么改,在哪一行改等這些細節。我們希望用這樣的細節讓項目方第一時間就能迅速、精準地定位問題并解決問題。
獨家 | OKEx高級分析師:杠桿ETF主要有兩大風險:金色財經報道,近日,關于杠桿ETF的相關問題,金色財經獨家采訪了OKEx高級分析師William,William表示,杠桿ETF主要有兩大風險,一是其本身的杠桿風險,二是由杠桿ETF逐日再平衡機制導致的資金損耗,并且在行情激烈震蕩時,這個損耗是驚人的。具體而言,杠桿ETF的再平衡機制目的是保證基金的逐日收益要達到市場收益一定倍數,所以每日一定要調倉,這個調倉原理其實就是散戶經常用的“追漲殺跌”,所以除單一上漲或下跌行情外,市場出現波動和震蕩時,ETF一定會出現損耗,并且這個損耗是不可避免,是投資者必須承擔的。即便是未來每隔一天上漲10%,第二天下跌1%的波動向上行情,也會出現損耗。所以未來有一天會出現這樣一種情況:當BTC上漲下跌反復震蕩又回到10,000美元的原點后,持有BTC現貨或合約的投資者毫發無損,但購買杠桿ETF的投資者卻已經損失慘重。因此在杠桿ETF中我們要重點關注一個位置:break-even盈虧平衡點,當標的資產價格回溯到這個位置時,杠桿ETF的累積收益率就會低于標的資產回報乘以杠桿的累積收益,如果標的資產價格返回原點,那么杠桿ETF將不可避免地虧損。[2020/2/20]
我們前面說過,我們希望通過對問題的詳細描述,闡明前因后果,引起項目方的高度重視,最終目的還是希望項目方盡量解決這些問題。所以我們在每個問題描述的最后專門留出一欄,叫做“項目方反饋”。這一欄就是記錄項目方對這個問題的態度及行動的。項目方有沒有對我們發現的問題引起關注、有沒有立刻修改或者即便暫時無法修改后續有沒有修改的計劃等都會被我們記錄在這一欄。
獨家 | 熊市導致黑客攻擊頻發 降維發布數字貨幣威脅預警:近期降維安全通過白細胞安全社區了解到有部分數字貨幣金融服務商遭受到有組織的黑客攻擊,成功攻擊的黑客可以通過這種方式從數字金融服務商竊取數字資產。降維安全通過分析發現這種方式表面上是一種比較常見的用戶攻擊方式,通過已經泄露的互聯網數據或者其他發生用戶數據泄露的數字金融服務商數據,利用數字金融服務商的防護弱點,黑客可以獲得部分用戶賬戶密碼登錄進系統,然后利用近期熊市流動性差的特點進行小幣種下單交易,從而竊取用戶的數字資產。
降維安全建議數字金融服務商短期可以排查用戶投訴和登錄行為是否存在異常,使用高強度的認證措施提升用戶安全門檻,長期可以定期對系統進行完全的審計甚至必要的用戶行為分析,防止用戶被攻擊。[2018/9/4]
至此,我們對一個問題的詳細描述就結束了。
在這些細節中,我們會特別對三個細節用黑體字高亮標出,它們分別是:問題的標題、問題的風險等級和項目方的反饋。用更通俗的話來說就是:問題是什么?問題嚴重嗎?問題解決了嗎?
我們認為這三點是讀者在閱讀某個風險隱患的描述時需要關注的重中之重。
讀者需要注意的是,在靈蹤安全的報告中,除了第11章“問題詳述“之外,還有第12章”增強建議“。
第12章所給出的建議是我們從代碼可維護性、可讀性、抗風險性等諸多方面考察后,綜合給出的建議。項目方如果采納這些建議會整體提高代碼的質量、但如果由于條件限制暫時無法采納,也不會讓項目暴露在即時可能引發的風險中。
需要指出的是,靈蹤安全對風險等級的分類及描述是按照我們既往的經驗總結的。每個審計機構都會有自己的標準和定義,這些標準和定義很可能不盡相同。但我們認為最重要的還是所找出的問題是否會引發風險、引發的風險是否嚴重以及風險最終是否得到了妥善處理。這才是對問題處理的核心和根本。
作者:
靈蹤安全CEO譚粵飛
美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師,負責底層控制系統的開發、設備制程的程序實現、算法的設計,并負責與臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學創業學院《區塊鏈概論》課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事。個人擁有4項區塊鏈相關專利、3本出版著作。
關于靈蹤安全:
靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月,團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。
團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊團隊正式收入。
團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目,并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。
尊敬的用戶: BiKi余幣寶將于04月09日10:00開啟第34期USDT預期年化收益18%、14期ETH預期年化收益10%機槍池理財.
1900/1/1 0:00:00行情觀點:昨日晚間建議回踩:1990-2000附近分批多,目標2040-2050,止損1970,小時盤面來看,昨日晚間以太回踩1930一線反彈向上試探,遇壓2011.78一線回調延續震蕩下行.
1900/1/1 0:00:002021年4月7日周三農歷二月初廿六大家好,我是你們的朋友易天說/易天隨筆,易天說幣專注數字貨幣行情分析,爭取為廣大幣友傳遞最有價值的幣市信息,歡迎廣大幣友的關注與點贊.
1900/1/1 0:00:00幣海引路人:BTC/ETH下午行情解析以及操作策略行情走勢莫測,就像未卜是人生,總有跌宕起伏的時候,你所期待的它一定會發生,時間早晚的問題,但是你目前所不期望的隨時都會發生.
1900/1/1 0:00:00美國最大的加密交易所Coinbase在2013年只需購買并持有比特幣就能賺更多的錢。社交媒體上流傳的數據顯示,盡管Coinbase在第一季度獲得了8億美元的利潤,但如果該公司使用其種子輪募得資金.
1900/1/1 0:00:00從安全性和時效兩個維度比較MakerDAO、Aave與Compound的預言機原理差異。撰文:曹一新,就職于HashKeyCapitalResearch審核:鄒傳偉,萬向區塊鏈首席經濟學家預言機.
1900/1/1 0:00:00