獨家 | 如何讀審計報告之每個風險等級的實際案例_SDT

前面我們和大家介紹了Fairyproof Tech對風險等級的劃分，有讀者看了一定會好奇：每種風險分別都是什么樣的呢？

在這篇文章里我們就每個等級的風險具體舉出一些案例來說明致命風險、高危風險、中度風險和低風險分別是什么樣的。

致命風險是所有風險中等級最高的、最危險的，它需要項目方即刻解決，不能拖延。

這類風險最常見的就是合約中一些明顯可能導致編譯無法成功、或者在邏輯中出現明顯錯誤導致代碼的運行邏輯無法正確完成的地方。這種風險不處理，項目方的合約幾乎不可能通過編譯運行或不可能正常運行。

舉例來說，在合約實現中，變量賦值類型的不匹配，編譯器版本定義導致的編譯問題等都屬于這類風險。

獨家 | BTC 24h鏈上交易量上升8.09%:據歐科云鏈OKLink數據顯示，BTC 24h鏈上活躍地址數總計923215，較前日下降2.68%；鏈上交易量總計539575.91 BTC，較前日上升8.09%；鏈上交易筆數總計299084，較前日下降5.83%；BTC鏈上活躍度下降。

截至上午10時，BTC全網算力約為115.23EH/s，較前日下降2.45EH/s，全網算力呈下降趨勢。[2020/7/1]

由于Fairyproof Tech在后期的報告中已經很少把這類風險寫在報告中，而是一旦發現就要求項目方立即解決，所以在我們后期的報告中很難直接看到這類風險，只在我們早期的報告中有這類風險的羅列。

高危風險在危險程度上僅次于致命風險，它極有可能給項目帶來嚴重問題，也需要項目方解決。

這類風險最常見的就是合約實現中的邏輯錯誤，比如計算錯誤等。

獨家 | Bakkt期貨合約數據一覽:金色財經報道，Bakkt Volume Bot數據顯示，6月10日，Bakkt比特幣月度期貨合約日交易額為1294萬美元，同比上升23%，未平倉合約量為1277萬美元，同比上升1%。[2020/6/11]

舉例來說，質押挖礦是很多DeFi合約中都有的功能，質押挖礦的基本邏輯是用戶將某個數字資產抵押進礦池，然后合約會根據用戶抵押的資產占總抵押資產的比例來核算用戶該拿到多少獎勵。如果這個比例計算錯誤或者實現有誤，用戶無法拿到正確的獎勵，就會嚴重影響項目的聲譽。

高危風險現在也很少會被我們羅列在報告中，而是我們一旦發現這類風險就會要求項目方立即修正。讀者可以在我們早期出具的報告中看這類風險的詳細舉例。

獨家 | 杜文康：USDT資產的不透明性實際上是有意為之:針對今天USDT導致比特幣大漲一事，金色財經特采訪到OnFund合伙人杜文康，杜文康表示：這次所謂所謂“穩定幣”USDT大跌，來源無非是受到政府對于Tether公司的調查。USDT作為錨定美元充當衡量價值標尺，來做交易對，但卻沒有遵循規則和底線，也沒有響應的監管和公開透明。去年9.4之后，很長一段時間內BTC的價格就是通過BTC/USDT來回不斷交易對敲來推升拉高的，這就是所謂的真空泡沫，這種真空泡沫是難以為繼的，加上做空的開通，因此砸下來也非常快。

另外，自從與其合作的審計公司終止合作之后，USDT公司沒有提供詳細的審計報告（最近一份為去年9月），也未證明資產是否全部為美元。這也是人們質疑 USDT 超發的一個原因。Tether 官網說明: 所有USDT的背后都有100%真實資產。

實際上，USDT公司的這種不透明性實際上是有意為之。僅提供加總的信息更有利于 USDT 的流動性。資產儲備是一個模糊的詞語，我并不清楚 USDT 背后的真實資產代表著什么，但同樣其他人也不知道。因此，市場上的“對稱無知” 達成了均衡 。

在我們看來，穩定幣應該是具有權威性、公正性，并且有真實資產做映射的加密資產，它的價值暫不會消失，就像區塊鏈行業不會因為幣價的漲跌受影響一樣。[2018/10/15]

中度風險相較于高危風險等級又次一級，它有可能給項目帶來潛在問題，最終還是要項目方解決。

獨家 | Fomo3D玩法被Retro Block項目升級至“預購分紅” 資金監管存重大疑問:第三方大數據評級機構RatingToken最新數據顯示，2018年8月20日全球共新增1243個合約地址，其中340個為代幣型智能合約。在RatingToken同時發布的“新增代幣型智能合約風險榜”中，FourInOne Long Official(FD)、POHMO(POHMO)和duang8(duang8)風險最高排名前三，其中FourInOne Long Official(FD)存在23個安全風險，檢測得分為2。

另外RatingToken安全審計團隊發出風險提示，類Fomo3D的山寨項目層出不窮，未發布游戲項目出現利用“預購分紅”的形式，要求用戶提前購買游戲分紅配額的案例增加。近期上線的Retro Block項目官網和白皮書都頗為粗糙，更嚴重的是，80%的眾籌金額都會進入finance和jackpot兩個個人地址，白皮書所描述的資金分配和監管無任何約束力。官網顯示該項目眾籌金額已完成soft cap要求的300個 ETH。RatingToken提醒此類“預購分紅”玩法無任何有效約束風險極大，請投資者一定謹慎關注。

此外，其他登上該風險榜TOP10的還包括VRclearsky(SKY)、Orderbook GBP(OGBP)、abcdEfg(a2g)、NMB520(嫩模幣)、AssetAdviceRCompany(AARC)、多比特幣(DOBT)和FairyCoin(Fairy)。如需查看更多智能合約檢測結果，請查看原文鏈接。[2018/8/21]

這類風險比較常見的有管理員權限控制的問題。

比如在DeFi協議中通常都會有發行代幣的功能。而通常控制代幣發行的地址就是管理員，所以在這類合約中，管理員的權限是相當大的。在一些代碼實現中，由于項目功能復雜以及運維方面的需要，管理員不僅自己有權決定是否發行代幣甚至還有權力決定是否賦予其它的地址這樣的權力，讓其它地址也能發行代幣。

這就產生了安全隱患：如果項目管理員的權限被盜或者管理員自己出現道德風險、濫用這個權力，那代幣的發行就不受控制了。

這類風險是由合約邏輯引入的，但邏輯的實現又不得不如此，并且有時在合約部署初期，為了讓項目能高效運轉，還要保持這種管理員權限運作一段時間，這都給項目帶來了潛在的風險。

項目方帶著這種風險進行操作也是小心翼翼、如履薄冰，它就像達摩克里斯劍一樣懸在項目方和用戶的頭頂，隨時有掉落的風險。

對這類風險我們會強烈建議項目方在運作一段時間后，將管理員權限轉交社區（比如DAO）或者多簽錢包，以規避這類風險。

低風險是所有風險中級別最低的，通常它表現為一些細節問題、警告信息等，暫時來說這個等級的問題可以不用解決，但項目方最后在未來某個新版本中解決這類問題。

這類風險涉及的細節和具體問題比較零散和瑣碎，我們常見的有函數或變量命名方面的問題。

對函數或變量的命名如何通常普通用戶是不會感知的，但對項目方自己維護代碼或其它（比如第三方）合約調用這些函數在某些情況下會產生一定困擾。

通常函數或便令命名出現的問題就是“詞不達意”，即命名和它實際在合約中起的邏輯作用不同，比如一個函數是要設置某個變量的值，我們通常會將這個函數命名為“setXXX”（設置XXX），但由于筆誤或其它原因，項目方將其命名為“getXXX”（讀取XXX），這就讓函數的名字和它的真實作用讀起來南轅北轍了。

這樣的代碼時間一久，當項目方自己再回頭來維護或修改時，如果不仔細看代碼就會誤解函數的功能，從而錯誤地調用它。

因此Fairyproof Tech對這類風險也建議項目方在方便的時間修改。

作者：

Fairyproof TechCEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程（Industrial Engineering） 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc（San Jose, CA, USA） 軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。

關于Fairyproof Tech：

Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目， 并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：USDUSDTSDTAIRBond Appetite USDusdt幣圈搭建bitvenus交易所USDT腫么提現Wanaka Farm WAIRERE Token

波場