首發 | 智能合約的審計報告有什么內容？又該如何去審讀_BOS

本文由“靈蹤安全”原創，授權“金色財經”獨家首發，轉載請注明出處。

一個數字貨幣、去中心化應用或服務和所有的商品一樣都有它的用戶，因此用戶對它也有一個最基本、最底線的要求----那就是質量要過關。和傳統商品一樣，數字貨幣、DAPP的質量如何不能自說自話，還需要用戶或第三方機構對其進行檢測。但和普通商品不同的是，這個商品一旦被用了，發現質量不行退貨都沒用，因為它可能已經對用戶造成了經濟上的損失。所以在區塊鏈領域，對DAPP質量的檢測就必須交給第三方審計機構在產品正式上線前先嚴格把關。而這個嚴格把關的檢測過程最后所形成的結果就是我們常說的智能合約的審計報告。

一份智能合約的審計報告對審計機構來說相當于一本書的讀后感，這本“書”是一套智能合約的源代碼；而對讀者尤其是合約的使用者來說又相當于一份“質量檢測報告”。

LBank藍貝殼于4月10日01:00首發 BOSON，開放USDT交易:據官方公告，4月10日01:00，LBank藍貝殼首發BOSON(Boson Protocol)，開放USDT交易，4月9日23:00開放充值，4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ，可按凈充值量獲得等值1%的BOSON的USDT獎勵；交易賽將根據用戶的BOSON交易量進行排名，前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]

審計報告的這種雙重角色決定了它的作用就像是用戶和DAPP之間的一個橋梁，這個橋梁的制造者就是審計公司。這個橋造得好不好一方面決定了用戶能不能很好、很準確地把握這個DAPP的質量，放心地使用它；另一方面也決定了這個DAPP能不能走向更廣大的用戶，達到它的理想市場狀況。

《精靈達人3D》正式首發 Cocos-BCX 主網:據官方消息，近日，由生態合伙人 DAPPX 參與開發的《精靈達人3D》正式首發于游戲公鏈 Cocos-BCX 主網。《精靈達人3D》是一款以精靈寶可夢為題材的抓寵游戲，游戲美術采用全3D 制作。用戶可通過 CocosWallet ， DAPPX 或 IMCOCOS 登錄 COCOS 主網賬號即可體驗。截至目前，Cocos-BCX 主網已上線《加密騎士團》《惡龍必須死》《XPEX怪獸世界》《Go Block》《可可奪幣》《熊貓運動會》等多款玩法多樣的趣味性鏈游，游戲公鏈生態在逐步壯大和完善。[2020/8/20]

所以一份審計報告一定要極盡所能的客觀公正，如實反映審計機構看到的合約的真實“質量”，并羅列出所有的問題。

審計公司除了要把被審計合約的“讀后感”完整、真實地展現出來，還要想想怎么能讓讀者尤其是絕大多數非專業領域的讀者更容易地讀懂這份報告、很準確地把握這份報告的精髓和精華。

首發 | 區塊鏈技術及軟件安全實戰基地正式成立:金色財經報道，今日，中軟協區塊鏈分會、人民大學、菏澤市局相關部門聯合共建的區塊鏈技術及軟件安全實戰基地正式成立。同時聘任中軟協區塊鏈分會副秘書長宋愛陸為區塊鏈技術及軟件安全實戰基地特別專家。

區塊鏈技術及軟件安全實戰基地主要涉及領域為：非法數字貨幣交易與洗錢、區塊鏈傳銷與電信詐騙、網絡賭博、四方支付、冒用商標注冊等，聯合社會治理、城市安全、前沿技術領域的行業專家，進行警協合作。

據公開報道，近期菏澤市下屬機關剛破獲一起特大電信網絡詐騙案，打掉多個涉嫌以網貸和投資“比特幣”為名的詐騙團伙，抓獲犯罪嫌疑人83名，扣押凍結涉案資金2700萬元。[2020/7/21]

所以一份審計報告還要盡可能地讓讀者讀得懂、抓到重點、讀到精華。

首發 | 火幣集團全球業務副總裁：監管將決定區塊鏈技術和加密貨幣的落地速度:1月21日，火幣集團全球業務副總裁Ciara Sun在達沃斯世界經濟論壇上表示，對區塊鏈和數字貨幣的監管態度，2019年是重要的一年。在美國，到2019年底，針對加密貨幣和區塊鏈政策有21項法案，這些法案包括稅收問題，監管結構，跟蹤功能和ETF批準，哪些聯邦機構監管數字資產等。歐盟（EU）在2020年1月10日實施了一項新法律，要求加密貨幣平臺采取更嚴格的反洗錢做法。瑞士，日本，立陶宛，馬耳他和墨西哥通過法律，要求交易所必須根據KYC和AML準則獲得許可。中國，土耳其，泰國等國家正在計劃自己的中央銀行數字貨幣（CBDC）。而監管將決定區塊鏈技術和加密貨幣的落地速度。[2020/1/22]

既然一份報告既要客觀公正、準確詳實，又要通俗易懂、清晰明了，所以我們在寫一份審計報告時采取了提綱挈領、層層展開的方式。

首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊，近日，DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞，攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息，嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件，DVP安全團隊在收到該漏洞后，第一時間通知該平臺進行修復，但未收到回應。DVP提醒相關用戶關注個人信息安全，以免造成損失。[2019/8/13]

所謂的提綱挈領就是用最簡單最概括性的語言把讀者最關注的重點和痛點首先寫出來，讓讀者直接從這部分內容看到整篇報告最重要、最精華的部分。所謂的層層展開就是讓讀者在讀完這部分內容后，如果還想更進一步了解審計機構的審計詳情以及被審計合約的詳細細節則可以隨著后續的章節一步步展開，進一步閱讀，進一步深入。

基于這個思路，我們對一份審計報告的內容布局就有了如下的安排：

我們的審計報告通常包含12章內容。

我們首先就會在第一章介紹所審計的合約文件，包括文件名、文件所能被公開查詢、訪問的位置、對文件內容的存證標識、審計機構的審計方式及流程、審計機構審計時所依賴的客觀材料及這些材料的出處、本審計報告的責任聲明、本次審計的最終結論。

對于絕大多數讀者而言，當他只關注被審計合約的最終質量和風險評估時，他可以只看這一章內容，而略掉后續章節。這一章也可以說是我們審計報告的精華和重點。

接下來的章節則主要就是對審計過程和更多審計細節的披露和展開。

我們會在第二章介紹我們的公司、官網、背景、業務范圍等。

第三章介紹被審計項目的應用及服務。

第四章介紹本審計報告所審計的合約的主要功能。

第四章和第三章是相輔相成缺一不可的。對于第三章很多讀者能夠理解它的存在必要，但對第四章，有些讀者不理解。實際上在我們所審計的一些項目中，存在這樣的問題：項目方所開發的項目是個龐大的應用，它涉及諸多功能，而項目方給我們所審計的合約僅僅只是這諸多功能中的一個或幾個。

舉個例子：通常一個去中心化交易所，它有通證交易的功能、提供流動性的功能、發行治理代幣及分發治理代幣的功能等。而則個交易所的項目方可能只給審計機構審查了提供流動性的功能和發行治理代幣的的功能。

所以第四章是對第三章的進一步說明和對審計范圍的進一步細化。

第五章介紹了審計機構在本次審計過程中具體做了什么工作。

第六章介紹了審計機構在審計過程中可能涉及審查的風險種類。

第七章介紹了審計機構對每一個羅列的風險進行的等級評定。這些等級通常分為：致命風險、高危風險、中度風險和低風險。

第八章介紹了審計機構在全面閱讀了項目代碼后根據項目的應用場景和功能特別關注的可能產生風險的領域和功能。

第九章羅列了根據風險等級，每個等級中審計機構所發現的風險數量。

第十章羅列了根據合約文件，每個文件中審計機構所發現的風險數量。

第十一章是第十章的細化，在第十章的基礎上對每個風險，詳細描述了這個風險的名稱、等級、產生的位置、風險描述、審計機構給出的修改建議以及項目方對此風險的回應。

第十二章是在第十一章的基礎上對項目方的進一步建議。這一章所羅列的不是風險，也不是項目方必須修改的問題，而是為了讓代碼有更好的可維護性、可讀性、可擴展性、抗風險性等特點審計機構額外提出的一些完善建議和質量提升建議。對此，項目方可采納也可不采納。

至此，一份審計報告就完成了。

作者：

靈蹤安全CEO?譚粵飛

美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師，負責半導體設備程序的開發、負責與公司關鍵客戶---臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事。擁有4項區塊鏈相關專利四項。

關于靈蹤安全：

靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目，并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：區塊鏈BOSBOSONSON區塊鏈專業是冷門專業嗎KabosuCEOboson幣v2Boson Protocol

Pol幣