ITH:獨家 | 審計報告怎么記錄審計文件的存證? 又該如何去審讀

本文由“靈蹤安全”原創，授權“金色財經”獨家首發，轉載請注明出處。

?一份審計報告是對一套智能合約的“質量檢測報告”，那報告就要告訴用戶所審計的對象是誰。

?和普通的有形商品不同，智能合約這種特殊的商品是摸不著的，那怎么才能讓用戶知道它呢？

?區塊鏈領域的絕大多數項目包括鼎鼎大名的比特幣和以太坊都有一個共同的特點：它們的源代碼都是”開源”的。所謂的“開源”就是它們的代碼都是公開的，放在某個公開、所有人都可以訪問的網站上，任何人都可以看到它的內容。

?我們所審計的智能合約絕大多數也是這樣，它們都是開源的，放在一些知名的、供所有人存放文件的網站比如github等。

?如果我們所審計的智能合約是開源并且放在了github上，我們要讓用戶知道它、看到它的源代碼，就會在審計報告中列出合約所存放的github的網址。這就好比一件商品存進了一個大倉庫，存在倉庫中的某個庫房，我們要讓用戶能找到這件商品就要告訴用戶倉庫的地址和庫房的門牌號碼。存放合約的github網址就等于倉庫地址+門牌號碼。

獨家 | Bakkt期貨合約數據一覽:金色財經報道，Bakkt Volume Bot數據顯示，3月25日，Bakkt比特幣月度期貨合約單日交易額為773萬美元，環比下降32%，未平倉合約量為416萬美元，環比下降3%。[2020/3/26]

可是如果合約的編寫者在給審計機構審計時用的是放在github上的一套合約，但審計后尤其是項目上線后，用戶又修改了它的智能合約，我們怎么知道放在github上的合約就是審計時看到的合約而不是后來修改過或者其它“魚目混珠”的合約呢？

這就涉及到github這個倉庫的一個特性了。

當項目方往github中存放代碼時，github會給這次存放動作產生一個版本號。這就好比我們在比特幣、以太坊中申請一個新錢包時，這個錢包會有一個獨一無二的地址一樣，這個版本號也是唯一的。

獨家 | 李煉炫：無論是黃金還是證券，目前都與比特幣沒有太大的關聯:金色財經報道，對于“凌晨比特幣和山寨幣下跌，有分析稱與美國股票市場相關，您如何看待？主要的影響還會持續多久？”記者提問，歐科研究院首席研究員李煉炫接受采訪時表示，這里需要再次強調，數字貨幣市場規模還是太小，且尚未納入全球主要機構投資者的資產配置池中，因此跟傳統資本市場的聯動性是很小的。前段時間說比特幣跟黃金一樣有避險功能，那為什么這次又像股票一樣不漲反跌呢？實際上，無論是黃金還是證券，目前都與比特幣都沒有太大的關聯，如果未來有一天，比特幣納入了全球主要機構投資者的資產配置池中，那么數字貨幣走勢就可能會與其他傳統金融資產行情產生聯動了。

兩周前我已經提及過，比特幣在10,000美元關口會出現劇烈震蕩，因為10,000美元對于市場而言是一個重要心理關口，市場空頭和多頭會在這價格附近展開激烈博弈。目前尚未看到比特幣趨勢反轉的主要信號，估計未來一段時間仍會劇烈震蕩，直到出現明顯的趨勢信號。[2020/2/25]

當項目方之后對任何文件有了任何改動：小到一個字的修改，大到文件的刪除、添加等，當把這些改動提交到github中，github又會給這次動作產生一個新的版本號。

獨家 | 加密貨幣市值前十幣種全線上漲 XTZ領漲:金色財經數據顯示，截止當前，加密貨幣市值前十幣種全線上漲。近24小時漲跌情況分別為：BTC（10132.47美元，+4.83%）、ETH（280.49美元，+5.87%）、XRP（0.2972美元，+4.25%）、BCH（417.39美元，+2.69%）、BSV（308.86美元，+0.84%）、LTC（76.84美元，+5.29%）、USDT（1.00美元，+0.23%）、EOS（4.57美元，+5.20%）、BNB（23.99美元，+3.08%）、XTZ（3.42美元，+9.82%）。[2020/2/19]

所以github中的版本號就是對所存放的文件的一份唯一存證，它保證了這個版本號所對應的文件就是某時某刻放進倉庫中的文件，而不是之前或之后放進去的文件。

獨家 | 比特幣突破一萬美金指日可待:據Huobi數據顯示，BTC現報9673美元，日內漲幅2%。針對當前走勢，金色盤面特邀分析師老張的投資課表示:如上圖BTC從底部6500美金上來每一步都走的特別穩，特別是9500美金這個位置有站穩的意思，但是上面10000美金才是重頭戲，這個位置是大大喊話區塊鏈的套牢區間，就想圖中必須有一根巨量突破上去那么減產之前14000美金的新高是可期待的，技術面四小時級別，在9600附近開始震蕩，短期需技術面需要回調修整，像這穩打穩扎上漲的局面，基本上就是積蓄量能后上攻，所以目前我們整體的思路就是繼續持幣，上漲的格局基本不變，所以突破一萬美金老張認為是肯定的，所以現貨以回調強勢買入為主，同樣合約低多為主。

幾個減產幣同樣也是我們重點布局的對象，就像我在文章中寫到的的幾個主流幣BCH DASH ZEC都是非常看好的，可以加入自選等待好的買點。[2020/2/6]

所以我們在審計報告中除了羅列被審計合約的github網址，還要羅列被審計合約在github中的版本號。

獨家 | 警惕以太坊里的垃圾合約?偽造交易進行廣告推廣:近日，降維安全實驗室(johnwick.io)在以太坊智能合約監控系統中監測到一個垃圾推廣合約ERC20 (blockwell.ai KYC Casper Token)，垃圾推廣通過調用垃圾合約的某公開方法(方法簽名: 0x975ef7df)虛構了大量(每500個一組,轉賬數量100個代幣)受害地址之間的轉賬交易，并虛假記錄了這些轉賬交易的Transfer()事件日志，導致大批錢包應用依據此事件記錄，向無辜受害用戶推送了此垃圾代幣的交易轉賬通知，變相成為了此垃圾代幣的推廣宣傳幫兇。在短短一天時間內，該交易者偽造了50余萬筆虛假交易(截至發稿前為止)進行垃圾推廣。

垃圾交易者地址: 0xaaf70e052b76c9bd177e24a0e249f17cc3486ea0

垃圾合約地址: 0x212d95fccdf0366343350f486bda1ceafc0c2d63

垃圾代幣名稱: ERC20 (blockwell.ai KYC Casper Token)[2018/9/10]

這兩個要素就保證了讀者看我們報告時能準確知道我們所審計的內容。

除了放在github上，還有的項目方在審計時已經把合約部署在區塊鏈網絡上了。由于智能合約一旦部署到區塊鏈網絡上，它就是無法篡改和撤銷的，因此智能合約所部署的區塊鏈地址也可以作為合約的存證地址。

對這樣的合約，我們通常也會記錄下它在區塊鏈上的地址作為唯一存證。

我們前面說絕大多數項目的智能合約是開源的，這也就意味著還有一些項目的合約在審計時是未開源的，在這種情況下，我們怎么記錄這份合約的存證呢？

我們會用SHA-256的值來標記合約文件的存證。

有些讀者尤其是數字貨幣的玩家看到“SHA-256”這個詞會覺得很眼熟：這不是數字貨幣加密算法中常用的一個技術嗎？

確實是這樣，更準確的說，它是一種經過“哈希函數”運算得出的值，這個值也被稱為“哈希值”，它有256位。

所謂的哈希函數又稱散列函數，是一種從任何一種數據中創建小的數字“指紋”的方法。哈希函數把消息或數據壓縮成摘要，使數據量變小，將數據的格式固定下來。該函數將原有的數據打亂混合，重新創建一個結果叫做哈希值。

我們為什么要用這個值來記錄合約文件的存證呢？因為一個SHA-256的值所對應的文件內容是唯一的。這就和上面我們用github中的版本號來保證github中的文件是唯一的一樣。

那我們怎么用這個值來記錄合約文件的存證呢？

我們自己編寫了一套這樣的工具，對所審計的每個合約文件的內容都用這個工具進行一次運算，所得到的值就是一個SHA-256的值。這個值就代表了我們所審計的文件內容的唯一。

我們會羅列每個文件及其所對應的SHA-256值，這就記錄了文件的存證。

當用戶或讀者要檢測他看到的合約文件是否是我們所審計的合約時，將他看到的文件用我們的工具計算一下，將所得出的SHA-256值與我們所得到的值進行比較，如果一樣就證明是，如果不一樣就證明不是。

所以總結起來說，我們會用github網址+版本號、區塊鏈地址或SHA-256值這三種方式中的一種或幾種來記錄文件的存證。

作者：

靈蹤安全CEO譚粵飛

美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事。個人擁有4項區塊鏈相關專利、3本出版著作。

關于靈蹤安全：

靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目，并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：ITHHUB區塊鏈比特幣bitcoinfaithPHUB幣區塊鏈存證多少錢比特幣錢包余額截圖

狗狗幣最新價格