獨家 | 審計機構審計合約的流程_TEC:ECH

本文由“Fairyproof Tech”原創，授權“金色財經”獨家首發，轉載請注明出處。

在Fairyproof Tech的審計報告中，我們會交代對每一份合約的審計流程。大體上來說，這個流程主要包括兩個步驟：一是標準化審計步驟，二是人工審計步驟。

實際上這也是目前業內比較通行的步驟。不同審計機構可能在審計流程中的具體步驟和細節上存在差異，但歸納起來也都會包含這兩個大的步驟。 

在Fairyproof Tech前面發布的文章中，我們特別強調過智能合約和傳統工業流水線上批量產出的標準化產品不同，它不是按流水線、標準化作業生產出來的，而是人為編寫出來的。即便是照抄現有的合約，合約的編寫者通常也會在照抄的合約上做一些小的改動。因此，兩份合約哪怕是功能上一樣、邏輯一樣、特點一樣，在具體的編寫方式上都會存在差異。而這個差異往往就是漏洞、風險的來源。但這個差異又很難用機器大工業中常見的標準工具檢測出來。但如果無法用工具檢測，單憑人力檢測，不僅工作量大，而且效率低，并且時常還會出人為方面的錯漏。這看似矛盾的兩方面交織在一起，一直貫穿著整個審計過程的始終，也是推進行業前進和革新的根本動力。

獨家 | 金色財經2月23日挖礦收益數據播報:金色財經報道，據印比特數據顯示，按照BTC參考價格69500元、電價0.38元/kWh計算，當前在售主流BTC礦機的市場價格及回本周期為：芯動T3+-57T（全新現貨9700元，296天回本）、阿瓦隆1066-50T（全新現貨6180元，224天回本）、神馬M20S-68T（全新現貨12600元，266天回本）、螞蟻S17Pro-56T（全新現貨12500元，327天回本）。[2020/2/23]

對Fairyproof Tech來說，我們對合約的檢測一方面會盡量使用工具進行驗證以提高效率并減輕人為驗證時可能出現的差異和錯漏；而另一方面我們又特別強調人工檢測的重要性，并強調人工檢測對合約質量的最后把關，因為人工檢測不僅是用來檢測工具無法檢測出來的問題，更是用來預判和發現業界未曾記錄的風險、做到防患于未然的保證。

獨家 | “假充值”漏洞頻發，投資者需警惕:第三方大數據評級機構RatingToken最新數據顯示，2018年8月2日全球共新增1450個合約地址，其中255個為代幣型智能合約。

據RatingToken團隊發布的“新增代幣型智能合約風險榜”，MVP Coin(MVP)、Alternating coin(AC)和BABY Token(BABY)風險最高，檢測得分分別為1.97、2.80和2.80，其中MVP Coin存在17個風險項。

位于排行榜第九位的御云(YYUN)，合約檢測發現存在“假充值”漏洞，攻擊者利用該漏洞，可以以零成本在交易所、錢包等服務平臺發起充值操作，且創建該合約的個人地址仍在創建同類型合約。近期“假充值”漏洞合約頻發，RatingToken安全審計團隊提示用戶需警惕基于該類合約的項目。

其他登上該風險榜TOP10的還包括FOAM Protocol(FOAM)、TECTECH(TEC)、CET(cet)、Kebtc Token(KT)、IDA Token(IDA)和Provenance Token(PRNT)。如需查看更多智能合約檢測結果，請查看原文鏈接。[2018/8/3]

Fairyproof Tech自成立以來便一直致力于對合約審計標準化工具的使用和開發。在這方面，我們大膽借鑒了業界前輩已經積累的經驗，對目前市面上已經存在的合約檢測工具（如Security、Mythril、Oyente、ECF、Maian、Lem等）都進行了細致的研究和測試。但我們發現這些工具或多或少都存在一定的局限，并且在我們具體的使用過程中還存在各種不便之處，因此我們也在前輩研發的基礎上大力開發自己的自動化檢測工具，并將我們的工具投入到合約的審計工作中。這一方面提高Fairyproof Tech的工作效率，另一方面將我們不斷積累的經驗優化、集成到這些工具中，讓它們更好地服務于Fairyproof Tech的合約審計。 

獨家 | 鄭世俊：小牛市到來前期參與項目投資:區塊鏈行業發展中，不同的投資機構之間投資邏輯不同，在不同的投資階段，每個投資機構的選擇也不相同。對此，HeightFund合伙人鄭世俊對金色財經指出：“我們從好幾個維度去分析項目，技術，經濟模型，團隊，估值，鎖倉，退出周期等這些方面。之前看公鏈會多一些，但隨著底層公鏈做的人越來越多，大多數都是炒概念，最后能跑出來的底層公鏈頂多三四家，而且技術不斷迭代更新，底層公鏈這個市場會死掉一大批。隨著長期熊市，考慮市場下行風險，最近我們沒有投項目了，就算投了，二級市場流動性差，也無法退出，之后在預判小牛市到來前期應該會參與一些項目。”[2018/8/3]

對標準化檢測工具的研發及推進將始終是Fairyproof Tech開發工作的重點和必須攻克的難點。我們認為這也是業界未來發展的方向和制高點。把握這個方向、占據這個制高點不僅對Fairyproof Tech本身的發展，更對整個行業的發展都將起到重要的推進作用。

獨家 | 金色盤面分析師：調整目標在7400附近目前尚未到位:金色盤面分析師稱，BTC30分鐘K線走出清晰的5浪下跌，macd形成了底背離，目前多方正在依托技術支撐，積極構筑底部防線，我們預測4浪調整目標在7400附近，目前尚未到位，所以這里不建議參與。[2018/8/1]

 對工具的研發和使用是Fairyproof Tech工作的重點，而對人工審查的強調及對審計工程師的培養、培訓則是Fairyproof Tech工作的重心和核心。

Fairyproof Tech認為人工審計不僅是對工具審計的查漏補缺，人工審計所積累的經驗和技能也是改進和提升工具最好的素材和動力，人工審計本身更是對整個審計過程的最后把關。所以無論從哪方面說，人工審計的重要性都不言而喻。

金色獨家 老鷹基金創始人劉小鷹：建議政府出臺區塊鏈行業合規的監管政策:金色財經獨家專訪，老鷹基金創始人劉小鷹在接受金色財經采訪時針對“空氣幣”發表了自己的看法，他說：“很多項目在沒有落地之前都被人稱之為空氣，所以說對空氣幣的定義是有爭議的，甚至有人說比特幣也是空氣幣，因為它沒有一個落地的產品應用，也沒有一個可以產生現金流的模式和實體，就連巴菲特和馬云也唱空比特幣。另一種空氣幣，就是那些抱著騙錢和傳銷的假大空項目，存心割韭菜，完全沒有真正的項目落地，甚至在白皮書中寫了好多免責的條款，很多投資者其實并沒有真正去看完一本白皮書。這種的純空氣項目、空氣幣應該去反對，區塊鏈行業處于初期階段，行業需要更干凈一些，風氣更健康一些，建議政府應該盡快出臺合規監管政策。”[2018/6/13]

 人工審計所進行的是非標準化的活動。所謂的非標準化活動就是因人而異，難以絕對統一。因為每個審計工程師都有自己的習慣和自己的思路。在這種情況下如何既發揮人工審計的靈活性和創造性又避免人工審計中人為因素導致的錯漏則是Fairyproof Tech在人工審計過程中關注的重點和難點。

我們對此采取的主要措施是流程統一和交叉審計。這兩點也是Fairyproof Tech在人工審計這個大步驟中重點進行的兩個細分步驟 

所謂的流程統一就是我們為合約人工審計的流程制定了一個統一的框架和流程，這個框架和流程確保我們每個審計工程師都要延這個大方向走，不出方向性錯誤，這也是企業戰略中常說的目標一致、路徑一致，在合約審計中，我們也需要這種一致。

在這種一致框架和流程的規制下，每個審計工程師可以發揮自己的主觀能動性和創造性，按自己的習慣和特點審計合約，我們不予具體地干預。

但是即便方向一致，每個工程師在具體的進度、能力、判斷上還是會出現差異，而這些差異就有可能導致風險、漏洞逃過審計。

這時我們就需要第二個手段----交叉審計來防范這個問題。

所謂的交叉審計就是一份合約我們會由多個工程師審計。這個過程是將不同工程師的不同的思路和理解進行匯總的過程，也就是我們常說的“集思廣益”。通過這種方式，我們能盡量大地覆蓋風險的范圍和種類，盡量小地減少個人理解偏差在審計中造成的誤判。

所以Fairyproof Tech的審計報告中所提到的審計流程歸納起來就是利用工具的標準化審計和依賴工程師經驗的人工審計。

作者：

Fairyproof TechCEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程（Industrial Engineering） 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc（San Jose, CA, USA） 軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。

關于Fairyproof Tech：

Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目， 并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：TECPROTECHECHHashNet BitEcoPropyQuattro TechOzonechain

XRP