本文由“Fairyproof Tech”原创,授权“金色财经”独家首发,转载请注明出处。
在Fairyproof Tech的审计报告中,我们会交代对每一份合约的审计流程。大体上来说,这个流程主要包括两个步骤:一是标准化审计步骤,二是人工审计步骤。
实际上这也是目前业内比较通行的步骤。不同审计机构可能在审计流程中的具体步骤和细节上存在差异,但归纳起来也都会包含这两个大的步骤。
在Fairyproof Tech前面发布的文章中,我们特别强调过智能合约和传统工业流水线上批量产出的标准化产品不同,它不是按流水线、标准化作业生产出来的,而是人为编写出来的。即便是照抄现有的合约,合约的编写者通常也会在照抄的合约上做一些小的改动。因此,两份合约哪怕是功能上一样、逻辑一样、特点一样,在具体的编写方式上都会存在差异。而这个差异往往就是漏洞、风险的来源。但这个差异又很难用机器大工业中常见的标准工具检测出来。但如果无法用工具检测,单凭人力检测,不仅工作量大,而且效率低,并且时常还会出人为方面的错漏。这看似矛盾的两方面交织在一起,一直贯穿着整个审计过程的始终,也是推进行业前进和革新的根本动力。
独家 | AMPL流通市值升至第二:金色财经报道,据DappBirds DeFi Data专题数据显示,AMPL流通市值升至第二,仅次于cDAI,DeFi中锁定资产总价值达43.42亿美元,较昨日上涨1.32%,其中Maker,Compound,Aave,Synthetix,Curve分别以9.70亿美元,7.22亿美元,4.68亿美元,4.58亿美元,2.60亿美元位列前五名。[2020/7/27]
对Fairyproof Tech来说,我们对合约的检测一方面会尽量使用工具进行验证以提高效率并减轻人为验证时可能出现的差异和错漏;而另一方面我们又特别强调人工检测的重要性,并强调人工检测对合约质量的最后把关,因为人工检测不仅是用来检测工具无法检测出来的问题,更是用来预判和发现业界未曾记录的风险、做到防患于未然的保证。
Fairyproof Tech自成立以来便一直致力于对合约审计标准化工具的使用和开发。在这方面,我们大胆借鉴了业界前辈已经积累的经验,对目前市面上已经存在的合约检测工具(如Security、Mythril、Oyente、ECF、Maian、Lem等)都进行了细致的研究和测试。但我们发现这些工具或多或少都存在一定的局限,并且在我们具体的使用过程中还存在各种不便之处,因此我们也在前辈研发的基础上大力开发自己的自动化检测工具,并将我们的工具投入到合约的审计工作中。这一方面提高Fairyproof Tech的工作效率,另一方面将我们不断积累的经验优化、集成到这些工具中,让它们更好地服务于Fairyproof Tech的合约审计。
独家 | Bakkt期货合约数据一览:金色财经报道,Bakkt Volume Bot数据显示,4月9日,Bakkt比特币月度期货合约单日交易额为466万美元,环比下降66%,未平仓合约量为643万美元,环比上升1%。[2020/4/11]
对标准化检测工具的研发及推进将始终是Fairyproof Tech开发工作的重点和必须攻克的难点。我们认为这也是业界未来发展的方向和制高点。把握这个方向、占据这个制高点不仅对Fairyproof Tech本身的发展,更对整个行业的发展都将起到重要的推进作用。
对工具的研发和使用是Fairyproof Tech工作的重点,而对人工审查的强调及对审计工程师的培养、培训则是Fairyproof Tech工作的重心和核心。
Fairyproof Tech认为人工审计不仅是对工具审计的查漏补缺,人工审计所积累的经验和技能也是改进和提升工具最好的素材和动力,人工审计本身更是对整个审计过程的最后把关。所以无论从哪方面说,人工审计的重要性都不言而喻。
独家 | Bakkt期货合约数据一览:金色财经报道,Bakkt Volume Bot数据显示,3月15日,本周Bakkt比特币月度期货合约交易额为4600万美元,环比下降11%,最高未平仓合约量为810万美元,环比下降13%。[2020/3/16]
人工审计所进行的是非标准化的活动。所谓的非标准化活动就是因人而异,难以绝对统一。因为每个审计工程师都有自己的习惯和自己的思路。在这种情况下如何既发挥人工审计的灵活性和创造性又避免人工审计中人为因素导致的错漏则是Fairyproof Tech在人工审计过程中关注的重点和难点。
我们对此采取的主要措施是流程统一和交叉审计。这两点也是Fairyproof Tech在人工审计这个大步骤中重点进行的两个细分步骤
独家 | Dfund杨林苑:市场大跌是由沙特打响石油价格战导致:针对昨晚加密货币市场大跌,金色财经独家采访了Dfund管理合伙人杨林苑。杨林苑分析称,这次暴跌的主要诱因是沙特打响石油价格战,油价暴跌30%,对俄罗斯造成10000点伤害,同时导致BTC被当作大宗商品抛售,比特币的避险属性再次受到质疑,影响比特币走势的因素非常多,地缘、贸易争端、货币供应量等等,因为比特币体量小,容易受到场内资金、情绪等的影响而产生较大幅度波动,所以比特币仍然不是成熟的宏观资产,目前来看还难以成为超大型资金的避险选项,近期比特币与石油的波动性趋同,比特币和石油、黄金呈现微妙和令人迷惑的三角关系,预计短期内比特币仍会维持宽幅震荡。[2020/3/9]
独家 | QuestGroup创始人曲鸣:挖矿难度上调将促使云算力增长:在今晚由算力互联主办,金色财经独家支持直播的2020矿业新势力AMA上,针对嘉宾提问“2020年比特币减半前后挖矿难度再度上调是否会促进云算力需求的爆发增长”的问题,QuestGroup创始人曲鸣表示,随着挖矿难度上调,用户的需求点一定是需要满足自身资产升值,在此其实云算力的供给和需求会有极大的相关性。我并不认为云算力的供给需求关系会像传统经济学的供需曲线呈现,因为云算力不是简单的商品,而是一项需要满足多种功能的服务或者解决方案,因此在云算力市场中需要更多良性的供给来推动更多的需求。
云算力产品若能做得很好,一定是有很多的入场者在一定竞争下才会出现的。此次疫情其实对大多数线上行业都是利好,对于云算力平台也是,在币价稳定在一万美元左右的同时更多非专业人士有时间精力了解了当然是2020年非常好的开始。[2020/2/25]
所谓的流程统一就是我们为合约人工审计的流程制定了一个统一的框架和流程,这个框架和流程确保我们每个审计工程师都要延这个大方向走,不出方向性错误,这也是企业战略中常说的目标一致、路径一致,在合约审计中,我们也需要这种一致。
在这种一致框架和流程的规制下,每个审计工程师可以发挥自己的主观能动性和创造性,按自己的习惯和特点审计合约,我们不予具体地干预。
但是即便方向一致,每个工程师在具体的进度、能力、判断上还是会出现差异,而这些差异就有可能导致风险、漏洞逃过审计。
这时我们就需要第二个手段----交叉审计来防范这个问题。
所谓的交叉审计就是一份合约我们会由多个工程师审计。这个过程是将不同工程师的不同的思路和理解进行汇总的过程,也就是我们常说的“集思广益”。通过这种方式,我们能尽量大地覆盖风险的范围和种类,尽量小地减少个人理解偏差在审计中造成的误判。
所以Fairyproof Tech的审计报告中所提到的审计流程归纳起来就是利用工具的标准化审计和依赖工程师经验的人工审计。
作者:
Fairyproof TechCEO 谭粤飞
美国弗吉尼亚理工大学(Virginia Tech, Blacksburg, VA, USA) 工业工程(Industrial Engineering) 硕士(Master)。曾任美国硅谷半导体公司 AIBT Inc(San Jose, CA, USA) 软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事 。个人拥有4项区块链相关专利、3本出版著作。
关于Fairyproof Tech:
Fairyproof Tech科技有限公司是一家专注区块链生态安全的公司。Fairyproof Tech科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。
团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569 被以太坊团队正式收入。
团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目, 并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。
标签:TECTECHECHProoftech币价格Intelligent Trading TechTriveChainProof Of Pepe
俄乌战争是 2022 年最具黑天鹅性质的事件。战争的爆发催生了包括粮食、能源等多重大宗商品的供应危机,而美元在新冠暴虐时期的大放水所带来的高通胀风险也因此显现出来.
1900/1/1 0:00:00一直以来,区块链都是执行状态机复制的分布式网络,分成了数据、共识、执行这三层。这也是基于互联网创建货币的关键点,也就是引入一种外部无法干预的共识系统,而最初中本聪所提出的解决方案则是引入“中本聪.
1900/1/1 0:00:00以太坊的Layer2解决方案Polygon被选入了一个独家创业计划,该计划由迪士尼公司发起。Polygon是唯一进入2021年迪士尼加速器计划的Crypto公司.
1900/1/1 0:00:00引言本文是比特币资讯网站coindesk 发表的一篇讽刺现在那些骂比特币的言论。从中我们可以看到一些针对比特币安全性质疑的回应.
1900/1/1 0:00:001.先来讲两个励志故事故事1:从前,有个小时候就是学渣的年轻人,他可能得到一张很神奇的纸,因为他捣鼓了没多久后,就变得名声大噪,这张纸也变得非常昂贵起来.
1900/1/1 0:00:00构思的歌曲如何宣发?创建的艺术作品如何销售?我们的作品集又如何展示呢?当然,我们可以通过去各个类别相对应的网站进行操作,但是,创建一个独属于自己的网站,不失为一种更好的办法.
1900/1/1 0:00:00