區塊鏈:獨家 | 審計機構審計合約的流程_區塊鏈專業好找工作嗎

本文由“靈蹤安全”原創，授權“金色財經”獨家首發，轉載請注明出處。

在靈蹤安全的審計報告中，我們會交代對每一份合約的審計流程。大體上來說，這個流程主要包括兩個步驟：一是標準化審計步驟，二是人工審計步驟。

實際上這也是目前業內比較通行的步驟。不同審計機構可能在審計流程中的具體步驟和細節上存在差異，但歸納起來也都會包含這兩個大的步驟。?

在靈蹤安全前面發布的文章中，我們特別強調過智能合約和傳統工業流水線上批量產出的標準化產品不同，它不是按流水線、標準化作業生產出來的，而是人為編寫出來的。即便是照抄現有的合約，合約的編寫者通常也會在照抄的合約上做一些小的改動。因此，兩份合約哪怕是功能上一樣、邏輯一樣、特點一樣，在具體的編寫方式上都會存在差異。而這個差異往往就是漏洞、風險的來源。但這個差異又很難用機器大工業中常見的標準工具檢測出來。但如果無法用工具檢測，單憑人力檢測，不僅工作量大，而且效率低，并且時常還會出人為方面的錯漏。這看似矛盾的兩方面交織在一起，一直貫穿著整個審計過程的始終，也是推進行業前進和革新的根本動力。

獨家 | BTC 24h 鏈上活躍地址數上升13.59%:據歐科云鏈OKLink數據顯示，BTC 24h 鏈上活躍地址數總計986287，較前日上升13.59%；鏈上交易量總計620255.44 BTC，較前日下降4.15%；鏈上交易筆數總計341520，較前日上升15.7%；BTC鏈上活躍度上升。

截至上午10時，全網算力約為109.17EH/s，較前日下降2.85EH/s，全網算力呈下降趨勢。[2020/6/17]

對靈蹤安全來說，我們對合約的檢測一方面會盡量使用工具進行驗證以提高效率并減輕人為驗證時可能出現的差異和錯漏；而另一方面我們又特別強調人工檢測的重要性，并強調人工檢測對合約質量的最后把關，因為人工檢測不僅是用來檢測工具無法檢測出來的問題，更是用來預判和發現業界未曾記錄的風險、做到防患于未然的保證。

獨家 | 清華x-lab鐘宏：政策先行 搶占區塊鏈產業制高點:海南自貿區(港)區塊鏈試驗區落地海南生態軟件園，此舉意圖搶占區塊鏈產業制高點，海南在發展區塊鏈技術上相比其他省份具備哪些優勢，對此有哪些優勢金色財經獨家采訪了清華x-lab區塊鏈3.0研究院院長鐘宏，他表示，“海南在區塊鏈政策方面先試先行，是政策的開放區，中國政策開放區可謂是一南一北。北邊是雄安新區，南邊是海南島。雄安新區是面向未來的百年大計，千年大計，從區塊鏈經濟發展和治理層面上看，未來區塊鏈的社會形式是在雄安新區。海南島由于其非常獨特的地理位置和自貿港這一特點，在區塊鏈產業發展方面具有很強的優勢，特別在政策先行方面有獨特的優勢。”[2018/10/11]

靈蹤安全自成立以來便一直致力于對合約審計標準化工具的使用和開發。在這方面，我們大膽借鑒了業界前輩已經積累的經驗，對目前市面上已經存在的合約檢測工具都進行了細致的研究和測試。但我們發現這些工具或多或少都存在一定的局限，并且在我們具體的使用過程中還存在各種不便之處，因此我們也在前輩研發的基礎上大力開發自己的自動化檢測工具，并將我們的工具投入到合約的審計工作中。這一方面提高靈蹤安全的工作效率，另一方面將我們不斷積累的經驗優化、集成到這些工具中，讓它們更好地服務于靈蹤安全的合約審計。?

獨家 | 李祥明：加密貨幣合規化發展即將迎來新的歷史階段:最近，Coinbase表示，美國證券交易委員會和金融業監管局已經批準Coinbase收購券商Keystone Capital，Venovate Marketlpace和Digital Wealth LLC。這些收購動作將使Coinbase提供被視為證券的加密貨幣，并將其業務置于聯邦政府的監管之下。私家云創始人、信息安全專家李祥明在接受金色財經獨家專訪時表示：美國證券交易委員會（SEC）和金融業監管局（Finra）對本次交易的批準，意味著coinbase已經從數字貨幣交易平臺一舉變身成為全牌照的合法正規的加密貨幣券商，最終甚至可以與監管機構合作，將現有的傳統證券產品Token化，完成傳統金融與加密貨幣的融合，未來發展前景和想象空間非常廣闊。

Coinbase的舉動也將會引發全球主流交易所的迅速效仿，接下來，我們將繼續看到主流數字貨幣交易所對傳統券商的并購，也會看到傳統大型券商對數字貨幣交易所的并購。傳統金融機構與數字貨幣交易所之間的并購熱潮會在全球范圍內愈演愈烈，加速加密經濟和傳統金融的融合。

總體看來，美國已經認識到加密貨幣未來趨勢不可阻擋，本次決定代表美國政府對加密貨幣的監管方案討論已經結束，已形成了共識和具體的監管方案，個人對SEC的這一決定表示贊賞和歡迎。美國將加密貨幣納入證券領域進行監管，也一定程度上代表了各國政府數字貨幣監管方式的發展方向，會對未來全球各國尤其是主要大國對加密貨幣監管方式形成巨大的示范效應。加密貨幣的合規化發展即將迎來新的歷史階段。[2018/7/18]

對標準化檢測工具的研發及推進將始終是靈蹤安全開發工作的重點和必須攻克的難點。我們認為這也是業界未來發展的方向和制高點。把握這個方向、占據這個制高點不僅對靈蹤安全本身的發展，更對整個行業的發展都將起到重要的推進作用。

金色獨家 Hydro Protocol 聯合創始人：傳統分布式交易大致需要4步鏈上操作:Hydro Protocol 聯合創始人王博聞在接受金色財經獨家專訪時表示：在傳統分布式交易所中，一筆交易大致需要4步鏈上操作：鏈上充值、鏈上掛單、鏈上撤單、鏈上成交。如此一來，一筆成功的交易就需要在以太坊上完成4次鏈上交易，這不僅花費4筆gas費，每一步的完成還要花費很長的等待時間。[2018/6/14]

?對工具的研發和使用是靈蹤安全工作的重點，而對人工審查的強調及對審計工程師的培養、培訓則是靈蹤安全工作的重心和核心。

靈蹤安全認為人工審計不僅是對工具審計的查漏補缺，人工審計所積累的經驗和技能也是改進和提升工具最好的素材和動力，人工審計本身更是對整個審計過程的最后把關。所以無論從哪方面說，人工審計的重要性都不言而喻。

?人工審計所進行的是非標準化的活動。所謂的非標準化活動就是因人而異，難以絕對統一。因為每個審計工程師都有自己的習慣和自己的思路。在這種情況下如何既發揮人工審計的靈活性和創造性又避免人工審計中人為因素導致的錯漏則是靈蹤安全在人工審計過程中關注的重點和難點。

我們對此采取的主要措施是流程統一和交叉審計。這兩點也是靈蹤安全在人工審計這個大步驟中重點進行的兩個細分步驟?

所謂的流程統一就是我們為合約人工審計的流程制定了一個統一的框架和流程，這個框架和流程確保我們每個審計工程師都要延這個大方向走，不出方向性錯誤，這也是企業戰略中常說的目標一致、路徑一致，在合約審計中，我們也需要這種一致。

在這種一致框架和流程的規制下，每個審計工程師可以發揮自己的主觀能動性和創造性，按自己的習慣和特點審計合約，我們不予具體地干預。

但是即便方向一致，每個工程師在具體的進度、能力、判斷上還是會出現差異，而這些差異就有可能導致風險、漏洞逃過審計。

這時我們就需要第二個手段----交叉審計來防范這個問題。

所謂的交叉審計就是一份合約我們會由多個工程師審計。這個過程是將不同工程師的不同的思路和理解進行匯總的過程，也就是我們常說的“集思廣益”。通過這種方式，我們能盡量大地覆蓋風險的范圍和種類，盡量小地減少個人理解偏差在審計中造成的誤判。

所以靈蹤安全的審計報告中所提到的審計流程歸納起來就是利用工具的標準化審計和依賴工程師經驗的人工審計。

作者：

靈蹤安全CEO譚粵飛

美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事。個人擁有4項區塊鏈相關專利、3本出版著作。

關于靈蹤安全：

靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目，并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：區塊鏈加密貨幣coinbaseOIN區塊鏈專業好找工作嗎htb幣加密貨幣能退款嗎coinbase交易所靠譜嗎kucoin下載

MATIC