比特币:独家 | 如何读审计报告之每个风险等级的实际案例

前面我们和大家介绍了灵踪安全对风险等级的划分,有读者看了一定会好奇:每种风险分别都是什么样的呢?

在这篇文章里我们就每个等级的风险具体举出一些案例来说明致命风险、高危风险、中度风险和低风险分别是什么样的。

致命风险是所有风险中等级最高的、最危险的,它需要项目方即刻解决,不能拖延。

这类风险最常见的就是合约中一些明显可能导致编译无法成功、或者在逻辑中出现明显错误导致代码的运行逻辑无法正确完成的地方。这种风险不处理,项目方的合约几乎不可能通过编译运行或不可能正常运行。

举例来说,在合约实现中,变量赋值类型的不匹配,编译器版本定义导致的编译问题等都属于这类风险。

由于灵踪安全在后期的报告中已经很少把这类风险写在报告中,而是一旦发现就要求项目方立即解决,所以在我们后期的报告中很难直接看到这类风险,只在我们早期的报告中有这类风险的罗列。

独家 | Bakkt期货合约数据一览:金色财经报道,Bakkt Volume Bot数据显示,2月26日,Bakkt比特币月度期货合约单日交易额为2932万美元,环比上升135%;未平仓合约量为1128万美元,环比下降4%。[2020/2/27]

高危风险在危险程度上仅次于致命风险,它极有可能给项目带来严重问题,也需要项目方解决。

这类风险最常见的就是合约实现中的逻辑错误,比如计算错误等。

举例来说,质押挖矿是很多DeFi合约中都有的功能,质押挖矿的基本逻辑是用户将某个数字资产抵押进矿池,然后合约会根据用户抵押的资产占总抵押资产的比例来核算用户该拿到多少奖励。如果这个比例计算错误或者实现有误,用户无法拿到正确的奖励,就会严重影响项目的声誉。

独家 | 褚康:删除分红描述可能是为Libra合规做出的正向修正:针对“Libra白皮书删除将利息用于分红给初期投资者的内容”一事,金色财经对犇睿资本创始人褚康进行了专访。褚康指出:包含分红功能的代币在大多数司法管辖区内都很有可能被界定为“证券”,从而受到相关证券法的管辖。以发行地美国为例,2017年7月25日美国SEC关于DAO币的调查报告中公开代币使用Howey Test进行证券属性的鉴定,而代币向初始投资者分红将使得Libra很可能符合“存在共同事业”的这一标准,从而适用Howey Test项下对于证券的定义。因此,删除分红描述的这一行为很可能是为了符合合规需要的积极修正。

如上所述,删除分红描述很可能是为了Libra的合规而做出的正向修正行为,当然这不仅仅是为了符合美国的合规需求,为其长远发展来说,删除分红描述也能极大程度符合其他司法管辖区的监管要求,但也不排除这一行为本身会为Libra的稳定性带来帮助,防止分红导向下的高风险投资行为。

对于Libra的后续发展来说,删除分红描述对于Libra来说,能解决一部分的监管问题,为了Libra的前期推行和合规化将起到一定的正向推动作用。[2019/12/13]

高危风险现在也很少会被我们罗列在报告中,而是我们一旦发现这类风险就会要求项目方立即修正。读者可以在我们早期出具的报告中看这类风险的详细举例。

独家 | 冉小波:马太效应在POW机制中逐步体现:POW共识机制近日遭V神质疑能耗大、易形成算力集中。对此,NULS联合发起人冉小波在接受金色财经独家采访时指出:“中本聪创造了POW机制,目的是为了规避人性,所以让机器来参与工作量的竞争,追求一个公平财富分配方式。他提出的点对点电子现金系统使得众多的自由主义极客被这种理念吸引,形成了庞大的社区。POW机制是最早的区块链共识机制,有很大的魅力和价值所在,现在依然是区块链项目中共识最大的一种机制。但是现阶段来看,人依然在金字塔的顶端,所以人性是不可规避的,POW并不能规避人性,随着矿池的发展,使得POW机制开始变得中心化,马太效应在POW机制中也体现了出来。其次,POW机制的算力并未对网络做出多大的贡献,大量的算力都在计算一个毫无意义的方程式去争夺记账权,使得大量的能源和资源的浪费,这些资源都可以通过改进共识机制让其产生更大的价值。再者,随着区块链的发展,区块链应用场景越来越广泛,使用频率不断上升,对区块链的性能要求不断提升,所以POW已经不能支撑大量的应用需求,当然也有很多的解决方案在探索中,例如以太坊的分片技术等。

以太坊最早使用POW机制,有着和中本聪一样的愿景和目标,然而以太坊提供了智能合约环境,面对的是一个更大的生态,而不是单一的数字货币系统,这使得对区块链性能的要求必然要高得多。当Vitalik看到现如今以太坊面临的困难时,他提出了更改共识机制,但是想要更改共识机制是一件非常难的事情,以太坊有一个庞大的社区,更改共识机制使得社区中充当生产者的矿工部分的利益并不一致,然而POW机制的以太坊中,矿工才是区块链的决策者,所以以太坊基本上从POW直接过渡到POS是非常困难的。以太坊的升级并不是技术的问题,而是社区难以达成共识,如果直接升级做硬分叉,则可能造成社区的分裂,大部分以太坊上的生态也会分裂。[2018/7/12]

中度风险相较于高危风险等级又次一级,它有可能给项目带来潜在问题,最终还是要项目方解决。

独家 | 郝丹:东南亚数字货币监管政策较为友好:近期柬埔寨明确加密货币监管态度,泰国正式颁布加密货币有关法律,东南亚国家对于加密货币领域政策频频。对此,哈利资本创始人、越南投资证券公司董事长郝丹在接受金色财经独家采访时分析,东南亚地区对数字货币的监管政策普遍较为友好。其中新加坡、马来西亚、泰国、菲律宾的监管政策较明朗,都允许交易所按照规定进行运营。新加坡金融管理局对数字货币交易所进行监管以保护投资者,要求数字货币中介机构应遵守相关监管框架。泰国今年6月正式颁布了《数字资产法》,标志着加密货币合法地位的确定,并正式为加密货币交易所颁发合法执照。马来西亚央行年初也出台了相关政策,适用于数字货币交易所业务,并且对交易所颁发了牌照。另外菲律宾政府官员在今年7月份透露,计划今后向数字货币交易所发放25个许可证。越南、缅甸、柬埔寨等国虽然尚未明确的政策针对数字货币交易所,但事实上已经有交易所在这些国家进行运营。

另外,各国对开矿场没有政策限制,但越南政府正在考虑是否禁止进口数字货币矿机。东南亚各国的基础设施普遍较为落后,电力较为紧张,电力成本高,如果要开矿场的话,要做好相关成本测算。在东南亚投资数字货币产业,政策上的限制目前不多,监管政策普遍较为友好。但作为外商投资,应该遵守当地的公司法,外商投资法,税法,劳动法等,要通盘考虑各国的局势、对华关系、经济发展、市场环境、人文风俗等,避免掉进坑里。[2018/7/6]

这类风险比较常见的有管理员权限控制的问题。

比如在DeFi协议中通常都会有发行代币的功能。而通常控制代币发行的地址就是管理员,所以在这类合约中,管理员的权限是相当大的。在一些代码实现中,由于项目功能复杂以及运维方面的需要,管理员不仅自己有权决定是否发行代币甚至还有权力决定是否赋予其它的地址这样的权力,让其它地址也能发行代币。

这就产生了安全隐患:如果项目管理员的权限被盗或者管理员自己出现道德风险、滥用这个权力,那代币的发行就不受控制了。

这类风险是由合约逻辑引入的,但逻辑的实现又不得不如此,并且有时在合约部署初期,为了让项目能高效运转,还要保持这种管理员权限运作一段时间,这都给项目带来了潜在的风险。

项目方带着这种风险进行操作也是小心翼翼、如履薄冰,它就像达摩克里斯剑一样悬在项目方和用户的头顶,随时有掉落的风险。

对这类风险我们会强烈建议项目方在运作一段时间后,将管理员权限转交社区或者多签钱包,以规避这类风险。

低风险是所有风险中级别最低的,通常它表现为一些细节问题、警告信息等,暂时来说这个等级的问题可以不用解决,但项目方最后在未来某个新版本中解决这类问题。

这类风险涉及的细节和具体问题比较零散和琐碎,我们常见的有函数或变量命名方面的问题。

对函数或变量的命名如何通常普通用户是不会感知的,但对项目方自己维护代码或其它合约调用这些函数在某些情况下会产生一定困扰。

通常函数或便令命名出现的问题就是“词不达意”,即命名和它实际在合约中起的逻辑作用不同,比如一个函数是要设置某个变量的值,我们通常会将这个函数命名为“setXXX”,但由于笔误或其它原因,项目方将其命名为“getXXX”,这就让函数的名字和它的真实作用读起来南辕北辙了。

这样的代码时间一久,当项目方自己再回头来维护或修改时,如果不仔细看代码就会误解函数的功能,从而错误地调用它。

因此灵踪安全对这类风险也建议项目方在方便的时间修改。

作者:

灵踪安全CEO谭粤飞

美国弗吉尼亚理工大学(VirginiaTech,Blacksburg,VA,USA)工业工程硕士(Master)。曾任美国硅谷半导体公司AIBTInc软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事?。个人拥有4项区块链相关专利、3本出版著作。

关于灵踪安全:

灵踪安全科技有限公司是一家专注区块链生态安全的公司。灵踪安全科技主要通过“代码风险检测逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。

团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊团队正式收入。

团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目,并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:0ms0-4:463ms