獨家 | 審計報告怎么記錄審計文件的存證? 又該如何去審讀_以太坊

本文由“靈蹤安全”原創，授權“金色財經”獨家首發，轉載請注明出處。

?一份審計報告是對一套智能合約的“質量檢測報告”，那報告就要告訴用戶所審計的對象是誰。

?和普通的有形商品不同，智能合約這種特殊的商品是摸不著的，那怎么才能讓用戶知道它呢？

?區塊鏈領域的絕大多數項目包括鼎鼎大名的比特幣和以太坊都有一個共同的特點：它們的源代碼都是”開源”的。所謂的“開源”就是它們的代碼都是公開的，放在某個公開、所有人都可以訪問的網站上，任何人都可以看到它的內容。

?我們所審計的智能合約絕大多數也是這樣，它們都是開源的，放在一些知名的、供所有人存放文件的網站比如github等。

?如果我們所審計的智能合約是開源并且放在了github上，我們要讓用戶知道它、看到它的源代碼，就會在審計報告中列出合約所存放的github的網址。這就好比一件商品存進了一個大倉庫，存在倉庫中的某個庫房，我們要讓用戶能找到這件商品就要告訴用戶倉庫的地址和庫房的門牌號碼。存放合約的github網址就等于倉庫地址+門牌號碼。

獨家 | Bakkt期貨合約數據一覽:金色財經報道，Bakkt Volume Bot數據顯示，4月8日，Bakkt比特幣月度期貨合約單日交易額為1360萬美元，環比下降18%，未平倉合約量為637萬美元，環比上升4%。[2020/4/9]

可是如果合約的編寫者在給審計機構審計時用的是放在github上的一套合約，但審計后尤其是項目上線后，用戶又修改了它的智能合約，我們怎么知道放在github上的合約就是審計時看到的合約而不是后來修改過或者其它“魚目混珠”的合約呢？

這就涉及到github這個倉庫的一個特性了。

當項目方往github中存放代碼時，github會給這次存放動作產生一個版本號。這就好比我們在比特幣、以太坊中申請一個新錢包時，這個錢包會有一個獨一無二的地址一樣，這個版本號也是唯一的。

獨家 | OKEx高級研究員李煉炫：比特幣未來兩至三月內上升趨勢仍是主要趨勢:對于接下來比特幣走勢，OKEx高級研究員李煉炫在接受金色財經采訪時表示，從比特幣市場看，目前比特幣市場規模太小，根本無法充當傳統市場巨額資金避險的工具；其次，比特幣的波動太大，2019年上半年上漲了3倍，下半年跌了近50%，這么大的波動任何專業的投資團隊都不會把它當做避險工具使用。以昨日市場行情為例，昨日開市后投資者避險情緒明顯，因此股市大跌，債市迎來開門紅，比特幣盡管在段時間內沖高到9,600美元的位置，但隨后迅速回落，甚至迎來較前一日收盤價小幅下跌。這也可以看出，目前A股市場與幣市尚無明顯的聯動性。

目前比特幣的主要趨勢仍然是上升趨勢，昨日比特幣小幅下挫，只能證明比特幣市場進入次要趨勢或短暫趨勢中，如果是次要趨勢，比特幣可能會回調1/3或2/3左右，如果是短暫趨勢，一兩天就會結束下跌。不過我認為用戶當前不用擔心回調幅度有多大，因為我們投資關注的是主要趨勢，受比特幣減半預期的影響，在未來兩至三月內上升趨勢仍是主要趨勢。[2020/2/4]

當項目方之后對任何文件有了任何改動：小到一個字的修改，大到文件的刪除、添加等，當把這些改動提交到github中，github又會給這次動作產生一個新的版本號。

獨家 | 丹華資本丁若宇：以太坊君士坦丁堡硬分叉標志著以太坊3.0時代的到來:就即將到來的以太坊硬分叉，金色財經獨家采訪到了丹華資本董事總經理丁若宇，他表示：以太坊君士坦丁堡硬分叉標志著以太坊3.0時代的到來。從PoW工作量證明到PoS權益證明的核心layer 1共識層切換，以太坊3.0將帶來一系列底層技術更新和多個EIP(ethereum improvement proposal)迭代，包括super quadratic分片技術、零知識證明STARKs、數據可用性證明、鏈下擴容(EIP 1014)以及未來在以太坊serenity階段將上線的Casper CBC等。這次戰略升級標志著以太坊在公鏈擴容、安全性、經濟體系(EIP 1283)和更加難且去中心化的挖礦機制(EIP 1234)上的升級，賦予了以太坊持幣者更多參與公鏈共識的權利。近期ethereum classic分叉鏈受到PoW 51%算力攻擊后，v神曾表示“沒有讓51%算力惡意攻擊比51%持幣權益證明惡意攻擊更高昂成本的秘訣，只因以太坊算力大于ethereum classic 20倍而暫時未受攻擊“，側面表示了v神對PoS提高主鏈安全性的信心。以太坊核心社區為此次硬分叉準備已久，是一場有共識有秩序的分叉，相比Bitcoin Cash前段時間的競爭性惡意分叉，此次以太坊分叉過渡會更平滑。[2019/1/10]

所以github中的版本號就是對所存放的文件的一份唯一存證，它保證了這個版本號所對應的文件就是某時某刻放進倉庫中的文件，而不是之前或之后放進去的文件。

獨家 | Block Value Fund夏廈：以太坊下跌只是暫時的:Block Value Fund夏廈在接受金色財經獨家專訪時表示，目前以太坊的行情主要對于項目方短期募資有較大影響，同時對于以太坊社區整個幣圈的共識會產生一定負面影響，但是我相信這一切都是暫時的，對于整個區塊鏈行業長期發展是好的，通過這次下跌，可以清洗掉一些信仰不堅定，以及只是想進來賺快錢的投機者，同時也可以刺激新技術的更新迭代。[2018/8/22]

所以我們在審計報告中除了羅列被審計合約的github網址，還要羅列被審計合約在github中的版本號。

這兩個要素就保證了讀者看我們報告時能準確知道我們所審計的內容。

除了放在github上，還有的項目方在審計時已經把合約部署在區塊鏈網絡上了。由于智能合約一旦部署到區塊鏈網絡上，它就是無法篡改和撤銷的，因此智能合約所部署的區塊鏈地址也可以作為合約的存證地址。

獨家 | 極豆資本創始合伙人張議云：分布式存儲是下一個風口:區塊鏈行業發展中，不同的投資機構之間投資邏輯不同。對此，極豆資本創始合伙人張議云對金色財經表示“極豆資本主要投賽道，真正的大錢不是賺來的，而是撿來的。區塊鏈1.0的風口是比特幣以及相關的山寨幣，2.0的風口是圍繞著以太坊的生態起來的，3.0下一個風口我們推測是分布式存儲。現階段的區塊鏈技術跟1995年的互聯網非常像，那時的操作系統只是個DOS命令行，還沒有可視化界面，與現在的公鏈操作系統非常像。所以需要花時間去挖掘更好的公鏈操作系統以及分布式存儲可落地的解決方案。”[2018/8/3]

對這樣的合約，我們通常也會記錄下它在區塊鏈上的地址作為唯一存證。

我們前面說絕大多數項目的智能合約是開源的，這也就意味著還有一些項目的合約在審計時是未開源的，在這種情況下，我們怎么記錄這份合約的存證呢？

我們會用SHA-256的值來標記合約文件的存證。

有些讀者尤其是數字貨幣的玩家看到“SHA-256”這個詞會覺得很眼熟：這不是數字貨幣加密算法中常用的一個技術嗎？

確實是這樣，更準確的說，它是一種經過“哈希函數”運算得出的值，這個值也被稱為“哈希值”，它有256位。

所謂的哈希函數又稱散列函數，是一種從任何一種數據中創建小的數字“指紋”的方法。哈希函數把消息或數據壓縮成摘要，使數據量變小，將數據的格式固定下來。該函數將原有的數據打亂混合，重新創建一個結果叫做哈希值。

我們為什么要用這個值來記錄合約文件的存證呢？因為一個SHA-256的值所對應的文件內容是唯一的。這就和上面我們用github中的版本號來保證github中的文件是唯一的一樣。

那我們怎么用這個值來記錄合約文件的存證呢？

我們自己編寫了一套這樣的工具，對所審計的每個合約文件的內容都用這個工具進行一次運算，所得到的值就是一個SHA-256的值。這個值就代表了我們所審計的文件內容的唯一。

我們會羅列每個文件及其所對應的SHA-256值，這就記錄了文件的存證。

當用戶或讀者要檢測他看到的合約文件是否是我們所審計的合約時，將他看到的文件用我們的工具計算一下，將所得出的SHA-256值與我們所得到的值進行比較，如果一樣就證明是，如果不一樣就證明不是。

所以總結起來說，我們會用github網址+版本號、區塊鏈地址或SHA-256值這三種方式中的一種或幾種來記錄文件的存證。

作者：

靈蹤安全CEO譚粵飛

美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事。個人擁有4項區塊鏈相關專利、3本出版著作。

關于靈蹤安全：

靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目，并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：以太坊HUBITH區塊鏈以太坊價格最新消息Hubble ProtocolITHEUM我朋友做區塊鏈被捉了怎么辦

PEPE幣