本文由“灵踪安全”原创,授权“金色财经”独家首发,转载请注明出处。
?一份审计报告是对一套智能合约的“质量检测报告”,那报告就要告诉用户所审计的对象是谁。
?和普通的有形商品不同,智能合约这种特殊的商品是摸不着的,那怎么才能让用户知道它呢?
?区块链领域的绝大多数项目包括鼎鼎大名的比特币和以太坊都有一个共同的特点:它们的源代码都是”开源”的。所谓的“开源”就是它们的代码都是公开的,放在某个公开、所有人都可以访问的网站上,任何人都可以看到它的内容。
?我们所审计的智能合约绝大多数也是这样,它们都是开源的,放在一些知名的、供所有人存放文件的网站比如github等。
?如果我们所审计的智能合约是开源并且放在了github上,我们要让用户知道它、看到它的源代码,就会在审计报告中列出合约所存放的github的网址。这就好比一件商品存进了一个大仓库,存在仓库中的某个库房,我们要让用户能找到这件商品就要告诉用户仓库的地址和库房的门牌号码。存放合约的github网址就等于仓库地址+门牌号码。
独家 | 超过21000枚BTC被锁定在以太坊上:据DappBirds DeFi Data专题数据显示,超过21000枚BTC被锁定在以太坊上,其中WBTC有超过16000枚,DeFi中锁定资产总价值达53.03亿美元,较昨日上涨0.32%,其中Maker,Compound,Synthetix,Aave,InstaDApp分别以13.20亿美元,8.01亿美元,6.51亿美元,5.07亿美元,3.12亿美元位列前五名[2020/8/7]
可是如果合约的编写者在给审计机构审计时用的是放在github上的一套合约,但审计后尤其是项目上线后,用户又修改了它的智能合约,我们怎么知道放在github上的合约就是审计时看到的合约而不是后来修改过或者其它“鱼目混珠”的合约呢?
独家 | 短期市场仍面临重要阻力抑制价格上涨:金色财经报道,针对“BTC价格后市展望”问题,2月5日,OKEx投研总监K爷接受金色财经独家采访时表示,从技术分析角度看,当前BTC价格已经突破长达半年的震荡下行调整趋势,目前中长期的上涨(多头)拥有优势,上涨仍有一定空间。
但短期走势面临一定压力,当前价格受阻于9950美元附近,MACD和成交量都与对应价格呈现出顶背离(价格再创新高,而成交量和MACD都未能对应再创新高),这是典型的上涨动能减弱现象。
当前BTC多空持仓人数比为1.79,从整体数据曲线看,但前数据处于较高范围,接近下跌预警范围1.8—2.0区间,数据预示BTC存在一定的回调风险。
基本面上,BTC、BCH等奖励减产仍是市场热议话题,也是BTC、BCH潜在上涨动力的核心推动力,Google等搜索“比特币”关键词也有明显增长,市场存在潜在资金伺机而动。
总和技术面、数据面、基本面等客观分析,我认为短期市场仍面临重要阻力抑制价格上涨,多头上涨动能需要横盘或下跌方式获得休整蓄力。短期关键支撑参考9188美元(OKEx BTC季度合约价格),短期阻力9950美金(OKEx BTC季度合约价格)。
中长期走势,以技术分析和潜在炒作概念看,仍有继续上涨潜力和空间。中长期的多空分水岭以8420美金(OKEx BTC季度合约价格)为参考,若价格维持在8420之上,仍是多头优势格局,保持上涨潜力和趋势;若价格有效跌穿8420之下,则可判断后市上涨无望,此轮行情宣布结束或失败。
以上观点仅为个人分析,不作为投资决策依据。[2020/2/5]
这就涉及到github这个仓库的一个特性了。
独家 | Top fund 创始人刘思宇:公众资金募集和交易的行为都应受到监管:针对“ICO现状及其如何发展演化”的问题,金色财经独家采访到Top fund 创始人刘思宇,他表示:“某种程度上,ICO是在区块链技术尚未大规模普及应用的背景下,形成的一种前置投资预期,ICO的出现能够帮助创业者更快的募集到项目开发需要的资金,对于一些早期区块链创业项目是有益的。但我坚持,但凡涉及公众资金募集和交易的行为,都应受到监管。项目方在ICO时,需要进一步区分通证的类型,即需要进一步明确所发行和ICO的通证是属于证券型还是积分型通证。如果是证券型通证,需要主动接受政府和法律的监管。同时,募资的项目方应该向社区公开资产管理和财务情况。有序,才会有发展;无序,只有乱象。[2018/9/6]
当项目方往github中存放代码时,github会给这次存放动作产生一个版本号。这就好比我们在比特币、以太坊中申请一个新钱包时,这个钱包会有一个独一无二的地址一样,这个版本号也是唯一的。
独家 | Chrome扩展被植入窃密代码 降维发布数字货币威胁预警:降维安全实验室观测到有未知攻击者向Google官方扩展商店上传了文件共享服务MEGA的一个木马版本version3.39.4,该恶意代码可以窃取amazon、live、github和google以及myetherwallet、mymonero、idex market 等网站的登录凭证和钱包私钥。MEGA在4个小时后释出了干净的扩展版本version3.39.5。
降维安全提示:如果在9月4日22时30分到次日2时30分期间安装了MEGA Chrome扩展3.39.4版本,请重置相关网站的密码并升级到3.39.5版本。需要了解更多详细的攻击信息可以联系降维安全。[2018/9/6]
当项目方之后对任何文件有了任何改动:小到一个字的修改,大到文件的删除、添加等,当把这些改动提交到github中,github又会给这次动作产生一个新的版本号。
独家 Mike:真正的预测市场类产品不是利好尽出 而是刚刚起步:在世界杯火爆之际,区块链世界杯概念板遇冷。对此天算联合创始人Mike在接受金色财经独家采访时表示,预测市场不是菠菜,如果把预测市场当菠菜做,就透支了概念。至于世界杯,我们发现不论是在产品模式还是监管方面,都有绕不过去的大坑,造成了产品落地困难。最终大家会发现,很难通过token参与,承诺与实际情况相距甚远,失望之余导致很多人抛售离场。
预测市场有很大潜力,但在如何形成有效的用户价值方面仍存众多挑战。在商业模式和激励机制上还有很长的路要走,大家对于预测市场的价值还不太能衡量,真正的预测市场类产品,不是利好尽出,而是刚刚起步。[2018/6/22]
所以github中的版本号就是对所存放的文件的一份唯一存证,它保证了这个版本号所对应的文件就是某时某刻放进仓库中的文件,而不是之前或之后放进去的文件。
所以我们在审计报告中除了罗列被审计合约的github网址,还要罗列被审计合约在github中的版本号。
这两个要素就保证了读者看我们报告时能准确知道我们所审计的内容。
除了放在github上,还有的项目方在审计时已经把合约部署在区块链网络上了。由于智能合约一旦部署到区块链网络上,它就是无法篡改和撤销的,因此智能合约所部署的区块链地址也可以作为合约的存证地址。
对这样的合约,我们通常也会记录下它在区块链上的地址作为唯一存证。
我们前面说绝大多数项目的智能合约是开源的,这也就意味着还有一些项目的合约在审计时是未开源的,在这种情况下,我们怎么记录这份合约的存证呢?
我们会用SHA-256的值来标记合约文件的存证。
有些读者尤其是数字货币的玩家看到“SHA-256”这个词会觉得很眼熟:这不是数字货币加密算法中常用的一个技术吗?
确实是这样,更准确的说,它是一种经过“哈希函数”运算得出的值,这个值也被称为“哈希值”,它有256位。
所谓的哈希函数又称散列函数,是一种从任何一种数据中创建小的数字“指纹”的方法。哈希函数把消息或数据压缩成摘要,使数据量变小,将数据的格式固定下来。该函数将原有的数据打乱混合,重新创建一个结果叫做哈希值。
我们为什么要用这个值来记录合约文件的存证呢?因为一个SHA-256的值所对应的文件内容是唯一的。这就和上面我们用github中的版本号来保证github中的文件是唯一的一样。
那我们怎么用这个值来记录合约文件的存证呢?
我们自己编写了一套这样的工具,对所审计的每个合约文件的内容都用这个工具进行一次运算,所得到的值就是一个SHA-256的值。这个值就代表了我们所审计的文件内容的唯一。
我们会罗列每个文件及其所对应的SHA-256值,这就记录了文件的存证。
当用户或读者要检测他看到的合约文件是否是我们所审计的合约时,将他看到的文件用我们的工具计算一下,将所得出的SHA-256值与我们所得到的值进行比较,如果一样就证明是,如果不一样就证明不是。
所以总结起来说,我们会用github网址+版本号、区块链地址或SHA-256值这三种方式中的一种或几种来记录文件的存证。
作者:
灵踪安全CEO谭粤飞
美国弗吉尼亚理工大学(VirginiaTech,Blacksburg,VA,USA)工业工程硕士(Master)。曾任美国硅谷半导体公司AIBTInc软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事。个人拥有4项区块链相关专利、3本出版著作。
关于灵踪安全:
灵踪安全科技有限公司是一家专注区块链生态安全的公司。灵踪安全科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。
团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊团队正式收入。
团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目,并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。
头条 ▌灰度BTC信托和ETH信托溢价率达历史低点数据显示,灰度比特币信托溢价率为-14.34%,以太坊信托溢价率为-13.54%,均达历史低点,灰度GBTC的溢价率已经持续23天保持负值.
来源:金十数据,作者:王跳跳Paypal周二宣布推出加密货币结算服务,允许美国消费者使用其持有的加密货币向全球数百万在线商户支付。此举可能会显著促进数字资产在日常商务中的使用.
要点: StarkWare宣布完成7500万美元融资加密货币投资公司Paradigm领投StarkWare关注NFT领域的扩容和安全技术据TheBlock3月25日报道.
“先跟大家做一个小小的预告,我们会在下一周的时间呢,做一个大概三集的系列,和大家一起系统的讨论一下虚拟币这件事儿.
自从2月份特斯拉正式进入加密货币市场后,埃隆·马斯克似乎在许多方面影响着比特币市场。以致于马斯克的影响力被许多人称为“埃隆效应”,在市场运作方面也发挥了重要作用.
在NFT浪潮火热的如今,我们可以关注一下相应的NFT标准概念,在行业中,掌握概念制定一般便是掌握先机.