本文由“靈蹤安全”原創,授權“金色財經”獨家首發,轉載請著名出處。
在一篇審計報告中,用戶如果希望詳細了解被審計合約中出現的問題和風險,最需要閱讀的就是對這些風險的詳細描述了。在靈蹤安全的審計報告中,這部分內容就是第11章“問題詳述”。
在這一章,我們會按照合約文件的名,羅列每個合約文件中出現的所有風險問題。對每個風險問題,我們會給出問題的標題、該問題的風險等級、問題所在的出處、對問題的詳細描述、靈蹤安全對解決問題給出的修改建議、項目方的反饋。?
獨家 | Bakkt期貨合約數據一覽:金色財經報道,Bakkt Volume Bot數據顯示,4月28日,Bakkt比特幣月度期貨合約單日交易額為916萬美元,環比下降2%,未平倉合約量為697萬美元,環比下降5%。[2020/4/29]
問題的標題就是我們對一個問題直白、簡介地概述性的總結。
在標題后,我們著名此問題是致命風險、高危風險、中度風險還是低風險。
接下來我們就會指出這個問題具體出現在某個合約文件的第幾行。如果某些問題普遍、廣泛地存在于合約文件中,我們會明確標出問題的關鍵字,而不具體指出問題所在的行,這樣用戶能用關鍵字在文件中搜索出所有存在此問題的地點。
獨家 | 胡繼曄:刪除分紅描述可能是在借鑒美聯儲最初成立時的做法:針對“Libra白皮書刪除將利息用于分紅給初期投資者的內容”一事,中國政法大學區塊鏈金融法治研究中心主任胡繼曄教授在接受金色財經采訪時表示:Libra的行為可能是在借鑒美聯儲最初成立時的做法。美聯儲最初大概55%的股份是私人股份,日本央行大概45%的股份是私人股份,所以宋鴻兵在《貨幣戰爭》一書中就將美聯儲定位為私人銀行。但實際上美聯儲和日本央行并非私人銀行,而是都會給私人股東一個固定的、長期的定息,比如年利率6%,這就相當于私人股東投資央行的永續債,獲得了一個長期的收益。
Libra白皮書刪除有關分紅的描述,我的猜測是想給投資人一個更長期的希望,Libra學習美聯儲和日本央行的做法,給予投資者一個長期的回報,但現在沒有明確寫出來,或許是要給投資者一個永續債,但至于什么時候給還不確定,因為Libra現在還處于投入期,前些年不會給到。
另外一個猜測是,之所以刪掉這部分信息,是必須等到Libra將來有盈利后才會給到。讓Libra的經營團隊可以在最初階段不必承受支付紅利和債券利息的壓力,從而得到更好的運轉。[2019/12/13]
在羅列問題的出處后,我們會對問題進行詳細地描述,這包括問題是由什么原因造成的,它會帶來什么風險,這些風險隱患不解除會造成什么后果。
獨家 | 度小滿金融發布區塊鏈研究與應用白皮書:金色財經12月7日訊,今日,度小滿金融(原百度金融)發布了區塊鏈研究與應用白皮書(2018),度小滿金融區塊鏈負責人李豐在接受金色財經獨家專訪時表示,這次白皮書其實是對度小滿金融3年區塊鏈探索經驗的一個總結,以及沉淀下來的一些系統、平臺甚至認知的展示。本次發布白皮書最主要的目的就是想通過白皮書這個媒介,分享度小滿金融這么久探索落地的成功和失敗的經驗、方法,分享我們研究市面上各種技術后提煉的認知,分享我們支撐業務的系統的技術細節。這是一個我們區塊鏈技術和落地能力的展示,希望行業聽到度小滿區塊鏈務實的聲音;但我們更認為是一次促進行業朝落地和務實方面發展的嘗試:讓技術回歸,行業變清,對所有人都是有益的。[2018/12/7]
我們對問題進行詳細描述一是為了讓項目方明晰問題的嚴重性,引起項目方的關注,并促使項目方改進;另一方面也是希望引起讀者的注意:他在使用這個應用或服務時,可能會遭遇什么風險甚至受到什么損失。這和我們平時在進行投資時,金融機構在我們作出最后決定前給我們看風險提示的目的是一樣的。
現場 | 金色獨家 SEC專家Gary:屏蔽美國公民購買數字資產有悖國家長期利益:SEC專家Gary Aguirre在接受金色財經采訪時提到,SEC完全屏蔽美國公民購買數字資產的行為是不合理的,而且有悖于美國的長期利益。他舉例說,假設把帝國大廈變成可以購買的數字資產但不能被美國公民所購買,那么以后美國的數字資產將全部被外國人所持有,甚至,今后的升值也跟美國人沒有關系,這是很不合理的,而行業正在倒逼SEC重新審視ICO。[2018/6/26]
我們給出問題的細節是指出問題,但更重要的還是解決問題,所以接下來我們就會給出靈蹤安全對這個問題所提出的修改建議。我們的修改建議會具體到代碼該怎么改,在哪一行改等這些細節。我們希望用這樣的細節讓項目方第一時間就能迅速、精準地定位問題并解決問題。
我們前面說過,我們希望通過對問題的詳細描述,闡明前因后果,引起項目方的高度重視,最終目的還是希望項目方盡量解決這些問題。所以我們在每個問題描述的最后專門留出一欄,叫做“項目方反饋”。這一欄就是記錄項目方對這個問題的態度及行動的。項目方有沒有對我們發現的問題引起關注、有沒有立刻修改或者即便暫時無法修改后續有沒有修改的計劃等都會被我們記錄在這一欄。
至此,我們對一個問題的詳細描述就結束了。
在這些細節中,我們會特別對三個細節用黑體字高亮標出,它們分別是:問題的標題、問題的風險等級和項目方的反饋。用更通俗的話來說就是:問題是什么?問題嚴重嗎?問題解決了嗎?
我們認為這三點是讀者在閱讀某個風險隱患的描述時需要關注的重中之重。
讀者需要注意的是,在靈蹤安全的報告中,除了第11章“問題詳述“之外,還有第12章”增強建議“。
第12章所給出的建議是我們從代碼可維護性、可讀性、抗風險性等諸多方面考察后,綜合給出的建議。項目方如果采納這些建議會整體提高代碼的質量、但如果由于條件限制暫時無法采納,也不會讓項目暴露在即時可能引發的風險中。
需要指出的是,靈蹤安全對風險等級的分類及描述是按照我們既往的經驗總結的。每個審計機構都會有自己的標準和定義,這些標準和定義很可能不盡相同。但我們認為最重要的還是所找出的問題是否會引發風險、引發的風險是否嚴重以及風險最終是否得到了妥善處理。這才是對問題處理的核心和根本。
作者:
靈蹤安全CEO譚粵飛
美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師,負責底層控制系統的開發、設備制程的程序實現、算法的設計,并負責與臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學創業學院《區塊鏈概論》課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事。個人擁有4項區塊鏈相關專利、3本出版著作。
關于靈蹤安全:
靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月,團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。
團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊團隊正式收入。
團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目,并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。
4月13日,0x協議正式上線由ZRX持幣者組成的去中心化自治組織0xDAO。 0xDAO合約地址 已部署到主網,初始金庫含有200萬枚ZRX。金色財經帶你一文速覽0xDAO要點.
1900/1/1 0:00:00?新型穩定幣項目FeiProtocol出師未捷,創世啟動后形成巨大的市場拋壓,導致穩定幣FEI沒能穩定在1美元,跌落「水下」.
1900/1/1 0:00:00中本聰迎來46歲生日 BTC匿名創始人中本聰的網絡資料顯示其生日為1975年4月5日。88年前的今天,美國聯邦政府頒布了第6102號行政命令,規定公民私自擁有黃金是非法行為,此命令是政府強制貨幣.
1900/1/1 0:00:00比特幣的生命力依賴于用戶、礦工和節點,而不論是用戶還是礦工節點都擁有地理屬性。因此研究分析比特幣的地域分布可以用來幫助分析預測比特幣的生命力.
1900/1/1 0:00:00現在市場對比特幣的價值有了更多的了解。這直接體現在比特幣的市值方面。比特幣只用了12年就達到1萬億美元的市值,而且是在沒有一分錢的推廣經費的前提下.
1900/1/1 0:00:00“數字人民幣”這一名詞,在當下中國人的日常生活里可謂“既熟悉又陌生”,但隨著一批又一批試點的推進,數字人民幣不僅離日常生活越來越近,也引起外媒的廣泛關注.
1900/1/1 0:00:00