木星链 木星链
Ctrl+D收藏木星链

区块链:独家 | 如何读审计报告之每个风险等级的实际案例

作者:

时间:1900/1/1 0:00:00

前面我们和大家介绍了灵踪安全对风险等级的划分,有读者看了一定会好奇:每种风险分别都是什么样的呢?

在这篇文章里我们就每个等级的风险具体举出一些案例来说明致命风险、高危风险、中度风险和低风险分别是什么样的。

致命风险是所有风险中等级最高的、最危险的,它需要项目方即刻解决,不能拖延。

这类风险最常见的就是合约中一些明显可能导致编译无法成功、或者在逻辑中出现明显错误导致代码的运行逻辑无法正确完成的地方。这种风险不处理,项目方的合约几乎不可能通过编译运行或不可能正常运行。

举例来说,在合约实现中,变量赋值类型的不匹配,编译器版本定义导致的编译问题等都属于这类风险。

由于灵踪安全在后期的报告中已经很少把这类风险写在报告中,而是一旦发现就要求项目方立即解决,所以在我们后期的报告中很难直接看到这类风险,只在我们早期的报告中有这类风险的罗列。

独家 | Bakkt期货合约数据一览:金色财经报道,Bakkt Volume Bot数据显示,2月28日,Bakkt比特币月度期货合约单日交易额为830万美元,环比下降56%;未平仓合约量为895万美元,环比下降25%。[2020/2/29]

高危风险在危险程度上仅次于致命风险,它极有可能给项目带来严重问题,也需要项目方解决。

这类风险最常见的就是合约实现中的逻辑错误,比如计算错误等。

举例来说,质押挖矿是很多DeFi合约中都有的功能,质押挖矿的基本逻辑是用户将某个数字资产抵押进矿池,然后合约会根据用户抵押的资产占总抵押资产的比例来核算用户该拿到多少奖励。如果这个比例计算错误或者实现有误,用户无法拿到正确的奖励,就会严重影响项目的声誉。

独家 | 库神钱包CEO袁大伟:减半行情可能还会再持续四个月:在今日的由库神主办,金色财经独家直播的减半行情分享会上,对于“ZEC、DASH、BCH、BSV等币最近疯狂上涨,后面还会持续吗?估计持续多久?支撑他们疯涨的基础(逻辑)是什么?”问题,库神钱包CEO袁大伟表示关于减半行情,今年两个多月的时间很多币都已经涨了好几倍,可以说非常的疯狂。通过经验来看,短期冲高之后,应该会有一个回调,回调之后,行情应该还会持续下去,主要是目前这个赚钱效应比较明显,从走势来看,估计可能还会再持续四个月的时间。目前涨的较多的概念币,从上涨时间和上涨的方式来看,应该是有大的资金在进行运作。而且他们进行了这个充分的吸筹,然后借助减半的利好进行暴力拉升。目前没有必要去追高这些币,这些币就算买了也需要等回调之后才能够介入。所以这个上涨的基础,还是比较强劲,主要是前期。主力的成本比较低,他们有比较大运作空间。[2020/2/14]

高危风险现在也很少会被我们罗列在报告中,而是我们一旦发现这类风险就会要求项目方立即修正。读者可以在我们早期出具的报告中看这类风险的详细举例。

独家 | 注意BTC小周期压力位得失:据Okex数据显示,BTC季度合约现报9951.44美元,今日涨幅5.28%。针对当前走势,金色盘面特邀分析师提示:OKex季度合约BTC/USD,15分钟级别上涨至前期高点压力位,后期小周期请注意此关键点位得失。根据历史数据:当价格至压力位,无法突破时K线会产生波段回踩;突破则会产生新的拉升行情。合约15分钟级别压力位10050-10100美元,支撑位9850美元。[2020/2/6]

中度风险相较于高危风险等级又次一级,它有可能给项目带来潜在问题,最终还是要项目方解决。

这类风险比较常见的有管理员权限控制的问题。

比如在DeFi协议中通常都会有发行代币的功能。而通常控制代币发行的地址就是管理员,所以在这类合约中,管理员的权限是相当大的。在一些代码实现中,由于项目功能复杂以及运维方面的需要,管理员不仅自己有权决定是否发行代币甚至还有权力决定是否赋予其它的地址这样的权力,让其它地址也能发行代币。

金色独家 数字彗星创始人张东谊:区块链企业从四个方面提升安全:金色财经独家专访,针对近期热议的安全问题, 数字彗星创始人张东谊指出:目前区块链创业者、从业者、数字货币持有者的区块链安全意识是不够的,安全是个非常庞大的系统架构,其中包括系统安全、网络安全、代码安全、通信安全、中间件安全、业务安全,涵盖面很广。区块链企业应该从:a.使用专业的代码审计服务;b.熟悉安全编码规范,严进宽出规则;c.密码算法的安全性;d.多人代码审核、内部测评小组、外部专家评测,白帽黑客激励机制等四个方面提升安全性。安全是个相对的概念,没有绝对的安全,安全的本质是信任问题。企业应该做好边界的安全,提升入侵检测和应急响应的能力。[2018/6/18]

这就产生了安全隐患:如果项目管理员的权限被盗或者管理员自己出现道德风险、滥用这个权力,那代币的发行就不受控制了。

这类风险是由合约逻辑引入的,但逻辑的实现又不得不如此,并且有时在合约部署初期,为了让项目能高效运转,还要保持这种管理员权限运作一段时间,这都给项目带来了潜在的风险。

项目方带着这种风险进行操作也是小心翼翼、如履薄冰,它就像达摩克里斯剑一样悬在项目方和用户的头顶,随时有掉落的风险。

对这类风险我们会强烈建议项目方在运作一段时间后,将管理员权限转交社区或者多签钱包,以规避这类风险。

低风险是所有风险中级别最低的,通常它表现为一些细节问题、警告信息等,暂时来说这个等级的问题可以不用解决,但项目方最后在未来某个新版本中解决这类问题。

这类风险涉及的细节和具体问题比较零散和琐碎,我们常见的有函数或变量命名方面的问题。

对函数或变量的命名如何通常普通用户是不会感知的,但对项目方自己维护代码或其它合约调用这些函数在某些情况下会产生一定困扰。

通常函数或便令命名出现的问题就是“词不达意”,即命名和它实际在合约中起的逻辑作用不同,比如一个函数是要设置某个变量的值,我们通常会将这个函数命名为“setXXX”,但由于笔误或其它原因,项目方将其命名为“getXXX”,这就让函数的名字和它的真实作用读起来南辕北辙了。

这样的代码时间一久,当项目方自己再回头来维护或修改时,如果不仔细看代码就会误解函数的功能,从而错误地调用它。

因此灵踪安全对这类风险也建议项目方在方便的时间修改。

作者:

灵踪安全CEO谭粤飞

美国弗吉尼亚理工大学(VirginiaTech,Blacksburg,VA,USA)工业工程硕士(Master)。曾任美国硅谷半导体公司AIBTInc软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事?。个人拥有4项区块链相关专利、3本出版著作。

关于灵踪安全:

灵踪安全科技有限公司是一家专注区块链生态安全的公司。灵踪安全科技主要通过“代码风险检测逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。

团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊团队正式收入。

团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目,并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。

标签:区块链BTCCEOKKT区块链包括哪些方面FCBTC价格CCEO价格KKT价格

狗狗币价格热门资讯
COM:“HYDRA持仓竞赛第二轮来袭,年化最高可享180%,参与瓜分$100,000豪华奖池!”活动奖励已发放

亲爱的Pool-X用户:Poo-X已完成HydraChain(HYDRA)第二轮持仓返利活动奖励发放!请获奖者登陆Pool-X账户查收奖励.

1900/1/1 0:00:00
EOS:关于ZT红包产品升级的公告

尊敬的ZT用户:为给用户带来更好的产品体验,平台将于2021年4月7日22:00期间进行红包产品产品升级。升级期间红包功能页面暂时无法访问或页面报错。请注意在升级期间不要去访问相关的红包产品.

1900/1/1 0:00:00
NEAR:ETH-NEAR彩虹桥发射 什么是彩虹桥?

原文标题:《彩虹桥:常见问题解答》最近,NEAR小组发布了一个重大公告:?ETH←→NEARRainbowBridge的发射.

1900/1/1 0:00:00
ETH:晚间必读五篇 | 万物皆可代币化?或许合成资产是个入口

1.金色观察丨万物皆可代币化?或许合成资产是个入口现在,加密货币世界里又出现了另一种能与现实世界完美交互并实现“万物皆可代币化”的资产形式——合成资产.

1900/1/1 0:00:00
比特币:2021年一季度加密领域初创公司共获26亿美元投资,超去年全年融资额

4月6日,彭博社援引商业分析公司CBInsights的数据称,在2021年第一季度,专注于加密和区块链技术的129家初创公司获得了总计26亿美元的融资.

1900/1/1 0:00:00
UBI:UBitMEX关于平台更新

尊敬的用户Ubitmex为提高平台稳定性定于北京时间2021年4月7日下午15:30更新交易系统,预计用时1小时.

1900/1/1 0:00:00