獨家 | 審計報告怎么記錄審計文件的存證? 又該如何去審讀_區塊鏈:HUB

本文由“靈蹤安全”原創，授權“金色財經”獨家首發，轉載請注明出處。

?一份審計報告是對一套智能合約的“質量檢測報告”，那報告就要告訴用戶所審計的對象是誰。

?和普通的有形商品不同，智能合約這種特殊的商品是摸不著的，那怎么才能讓用戶知道它呢？

?區塊鏈領域的絕大多數項目包括鼎鼎大名的比特幣和以太坊都有一個共同的特點：它們的源代碼都是”開源”的。所謂的“開源”就是它們的代碼都是公開的，放在某個公開、所有人都可以訪問的網站上，任何人都可以看到它的內容。

?我們所審計的智能合約絕大多數也是這樣，它們都是開源的，放在一些知名的、供所有人存放文件的網站比如github等。

?如果我們所審計的智能合約是開源并且放在了github上，我們要讓用戶知道它、看到它的源代碼，就會在審計報告中列出合約所存放的github的網址。這就好比一件商品存進了一個大倉庫，存在倉庫中的某個庫房，我們要讓用戶能找到這件商品就要告訴用戶倉庫的地址和庫房的門牌號碼。存放合約的github網址就等于倉庫地址+門牌號碼。

獨家 | DEX24小時交易額上漲51%:據DappBirds DeFi Data專題數據顯示，DEX24小時交易額上漲51%，Uniswap鎖倉量升至首位，DeFi中鎖定資產總價值達127.95億美元，較昨日上升11.56%，其中Uniswap，Maker，Aave，SushiSwap，Curve分別以16.79億美元，16.06億美元，15.46億美元，13.47億美元，10.51億美元位列前五名。[2020/9/2]

可是如果合約的編寫者在給審計機構審計時用的是放在github上的一套合約，但審計后尤其是項目上線后，用戶又修改了它的智能合約，我們怎么知道放在github上的合約就是審計時看到的合約而不是后來修改過或者其它“魚目混珠”的合約呢？

這就涉及到github這個倉庫的一個特性了。

獨家 | 清華x-lab鐘宏：海南發展區塊鏈需解決人才匱乏問題:海南自貿區(港)區塊鏈試驗區落地海南生態軟件園，就快速發展過程中遇到的問題，金色財經獨家采訪了清華x-lab區塊鏈3.0研究院院長鐘宏，他表示，“首先要面臨的就是人才挑戰，區塊鏈產業發展需要有大量的優秀人才愿意到海南，并且真正扎根海南，當地教育資源相對匱乏，人才培養能力不足，而人才遷移也需要一個周期，預計需要1-3年才可以形成一個完整的體系；其次就是區塊鏈產業生態的一個閉環也需要周期，比如，火幣中國落戶海南也是想為區塊鏈技術發展創建一個生態，但決定因素是有多少區塊鏈上下游企業能真正落戶海南，就火幣一家是不可能實現的，當然這一過程也需要很長時間；第三，就是客戶群體，區塊鏈以賦能實體經濟為主體，需要很大的客戶群體，而海南的客戶群體很少。”[2018/10/11]

當項目方往github中存放代碼時，github會給這次存放動作產生一個版本號。這就好比我們在比特幣、以太坊中申請一個新錢包時，這個錢包會有一個獨一無二的地址一樣，這個版本號也是唯一的。

獨家 | 瑪雅礦機創始人張嘉亮：比特幣觸及6000美元均有反彈 但行情復蘇仍需耐心:針對“挖礦與市場行情”問題，金色財經獨家采訪到瑪雅礦機創始人張嘉亮，他表示：“今年以來幣價總體低迷的態勢，對挖礦產業的確有不小的沖擊，當然我們也可以看到，比特幣在多次觸及6000美元附近的成本線時，都出現了力度比較大的反彈。這樣的行情也使得對算力的要求提高，對高性能礦機的需求量提升，目前我們也需要有足夠的耐心來等待市場的復蘇。”[2018/9/4]

當項目方之后對任何文件有了任何改動：小到一個字的修改，大到文件的刪除、添加等，當把這些改動提交到github中，github又會給這次動作產生一個新的版本號。

所以github中的版本號就是對所存放的文件的一份唯一存證，它保證了這個版本號所對應的文件就是某時某刻放進倉庫中的文件，而不是之前或之后放進去的文件。

獨家 | 肖磊：比特幣ETF若獲批 投資者可望達到兩三千萬:近日，比特幣“小陽春”的到來給市場投資者以牛市的期盼。與此同時，有消息指出此次SEC放行比特幣ETF勝算大增，或將促進比特幣價格在短時間內沖破前高。

對此，幣策首席分析師肖磊在接受金色財經采訪時指出：“ETF代表了一個市場進入成熟期后，為了滿足更多場外投資者的需求，提供的一種專業投資基金。這是一個市場被大眾領域認可的標志。ETF確實可以引起更多資金進入比特幣市場，但實際上一個品種對投資者的吸引力，最終取決于產品本身。ETF從無到有的過程，可以說是買入量增加的過程。這個過程對價格是有推動力的，但隨之而來的也是贖回引起的拋售，需要分時間周期來看。此前，四年內15份比特幣ETF被拒主要的原因是，關于流動性、估值，以及缺乏監管，存在著欺詐風險的問題。這個問題現在看，還沒有完全得到解決，整體來說，依然存在市場操縱的行為，但如果依據是比特幣期貨，其實可以做到一定的監管規范。只能說能被批準的概率，依然是50%。比特幣ETF的上市，只是時間問題，未來如果有一些現貨交易所，在美國拿到了合法的牌照，比如Coinbase這種的，一旦被認可，實際上就意味著有了規則，ETF被批準的可能性會大增。一旦比特幣ETF被批準，比特幣價格可能會出現階段性穩步上升的態勢，也會引發全球更多投資者參與其中，比特幣投資者群體可能很快會突破兩三千萬。”[2018/7/21]

所以我們在審計報告中除了羅列被審計合約的github網址，還要羅列被審計合約在github中的版本號。

獨家 | 李剛強：金融企業進行區塊鏈探索前途光明但道路曲折:

歐洲八大金融機構已經宣布將共同開發區塊鏈技術項目，旨在記錄金融權證的發行情況。但西班牙畢爾巴鄂比斯開銀行首席執行官曾表示，目前區塊鏈技術還不成熟，金融企業仍需要面臨很多挑戰。對此，ShareX創始人李剛強在接受金色財經獨家采訪時指出，目前區塊鏈在金融領域的探索困難還較多。

首先是原有的金融法律體系不適應未來通證的法律體系，通證法律體系各國還在探索之中。其次，傳統的金融體系對從業者有嚴格限制，有牌照、從業資格、進入門檻的要求，但在token領域目前還沒有太多門檻限制，比如說合格投資者的要求等。以股權為例，李剛強指出，原來的股權投資，作為基金的出資人要有一個百萬以上的凈資產的證明，在基金出資時要超過一百萬，而在token領域則任何人可以以任何金額進行投資。第三方面，原來IPO政策也有明顯的標準，比如在國內證券市場上市凈利潤要超過三千萬，在公司的凈資產以及合規性等方面也有相關要求，但在目前的token領域對于凈利潤等沒有相關的約束條件。

同時我們還看到現有的行政部門技術的基礎設施還不完備。行政部門是中心化的機構，當用區塊鏈來登記股權，變成非中心化的時候，行政機構是否愿意進一步放權還存疑。

盡管如此，我們能夠看到市場大的方向是向好的，前途是光明的，道路確實是曲折的。今天區塊鏈的時代，就像歐洲中世紀公司制度誕生的時代一樣，一切還處于蠻荒時代，有待先行者去開拓和實踐。[2018/6/26]

這兩個要素就保證了讀者看我們報告時能準確知道我們所審計的內容。

除了放在github上，還有的項目方在審計時已經把合約部署在區塊鏈網絡上了。由于智能合約一旦部署到區塊鏈網絡上，它就是無法篡改和撤銷的，因此智能合約所部署的區塊鏈地址也可以作為合約的存證地址。

對這樣的合約，我們通常也會記錄下它在區塊鏈上的地址作為唯一存證。

我們前面說絕大多數項目的智能合約是開源的，這也就意味著還有一些項目的合約在審計時是未開源的，在這種情況下，我們怎么記錄這份合約的存證呢？

我們會用SHA-256的值來標記合約文件的存證。

有些讀者尤其是數字貨幣的玩家看到“SHA-256”這個詞會覺得很眼熟：這不是數字貨幣加密算法中常用的一個技術嗎？

確實是這樣，更準確的說，它是一種經過“哈希函數”運算得出的值，這個值也被稱為“哈希值”，它有256位。

所謂的哈希函數又稱散列函數，是一種從任何一種數據中創建小的數字“指紋”的方法。哈希函數把消息或數據壓縮成摘要，使數據量變小，將數據的格式固定下來。該函數將原有的數據打亂混合，重新創建一個結果叫做哈希值。

我們為什么要用這個值來記錄合約文件的存證呢？因為一個SHA-256的值所對應的文件內容是唯一的。這就和上面我們用github中的版本號來保證github中的文件是唯一的一樣。

那我們怎么用這個值來記錄合約文件的存證呢？

我們自己編寫了一套這樣的工具，對所審計的每個合約文件的內容都用這個工具進行一次運算，所得到的值就是一個SHA-256的值。這個值就代表了我們所審計的文件內容的唯一。

我們會羅列每個文件及其所對應的SHA-256值，這就記錄了文件的存證。

當用戶或讀者要檢測他看到的合約文件是否是我們所審計的合約時，將他看到的文件用我們的工具計算一下，將所得出的SHA-256值與我們所得到的值進行比較，如果一樣就證明是，如果不一樣就證明不是。

所以總結起來說，我們會用github網址+版本號、區塊鏈地址或SHA-256值這三種方式中的一種或幾種來記錄文件的存證。

作者：

靈蹤安全CEO譚粵飛

美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事。個人擁有4項區塊鏈相關專利、3本出版著作。

關于靈蹤安全：

靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目，并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：區塊鏈HUBITH比特幣區塊鏈包括哪些方面GHUB價格ITH幣特比特幣多少錢一個

FTT