Exclusivo | Cómo leer el caso real de cada nivel de riesgo en el informe de auditoría

Anteriormente, presentamos la clasificación de niveles de riesgo de Fairyproof Tech. Algunos lectores tendrán curiosidad: ¿cómo es cada riesgo?

En este artículo, damos algunos casos específicos para cada nivel de riesgo para ilustrar qué es el riesgo fatal, el riesgo alto, el riesgo moderado y el riesgo bajo.

El riesgo fatal es el mayor y más peligroso de todos los riesgos, y debe ser resuelto inmediatamente por la parte del proyecto sin demora.

El riesgo más común de este tipo son algunos lugares en el contrato que obviamente pueden causar que la compilación falle, o donde errores obvios en la lógica impiden que el código ejecute la lógica para completarse correctamente. Si no se aborda este riesgo, es casi imposible que el contrato de la parte del proyecto se compile y ejecute o se ejecute normalmente.

Por ejemplo, en la implementación del contrato, la falta de coincidencia de los tipos de asignación de variables, los problemas de compilación causados ​​por las definiciones de la versión del compilador, etc., son todos esos riesgos.

Exclusivo | Rich Man Road: Bitcoin es casi el activo más líquido del mundo en la actualidad: hoy, en una entrevista con el tema "Global Assets Plummet, Why Bitcoin is Lying on the Gun" con el apoyo exclusivo de Jinse Finance, conocido el inversionista Rich Man Lu dijo que todos los activos más líquidos se venden, y el oro no es una excepción. Bitcoin es casi el activo más líquido del mundo en la actualidad y, por supuesto, también se venderá. A medida que cayó el mercado de valores, todos los activos comenzaron a caer en picado, el día 3.12-3.13, Bitcoin se vendió repentinamente, lo que provocó una fuerte caída en el precio y las grandes fluctuaciones posteriores hasta ahora. Además, Bitcoin fluctuó casi en sincronía con las acciones estadounidenses hace unos días. Bitcoin El precio de los bitcoins es causado por la compra y venta de esos grandes jugadores en ciertos momentos, lo que provocó que el precio se disparara y cayera en picado.El 13 de marzo (según la hora estándar mundial UTC), se negociaron alrededor de 14,9 millones de bitcoins. [2020/3/19]

Dado que Fairyproof Tech rara vez escribe tales riesgos en los informes posteriores, pero requiere que la parte del proyecto los resuelva de inmediato una vez que se descubren, es difícil ver directamente dichos riesgos en nuestros informes posteriores.

Exclusivo | Transmisión de ganancias de monedas mineras del 14 de febrero de Jinse Finance: Jinse Finance informó, según los datos de Coinin Mining Pool:

El ingreso diario de la minería de divisas convencional es: BTC (¥1,18/T), ZEC (¥0,55/T), LTC (¥24,71/G), BSV (¥1,22/T), BCH (¥1,15/T), DASH (0,20 yenes/G).

Los datos y los ingresos netos actuales de las máquinas de minería populares son: Innosilicon T3+ (BTC, ¥ 35,13), Innosilicon A9 (ZEC, ¥ 21,87) y Antminer L3+ (LTC, ¥ 4,47). [2020/2/14]

Los riesgos de alto riesgo son superados solo por los riesgos fatales en términos de peligro. Es muy probable que traigan serios problemas al proyecto y deben ser resueltos por la parte del proyecto.

El riesgo más común de este tipo son los errores lógicos en la ejecución del contrato, como los errores de cálculo.

Exclusivo | Descripción general de los datos del contrato de futuros de Bakkt: informes de Jinse Finance, los datos de Bakkt Volume Bot muestran que el 11 de febrero, el volumen de transacciones de un solo día del contrato de futuros mensual de Bakkt Bitcoin fue de 28,04 millones de dólares estadounidenses, un aumento mensual del 71% ; el interés abierto fue de 1557 millones, un aumento del 2%. [2020/2/12]

Por ejemplo, staking mining es una función en muchos contratos DeFi. La lógica básica de staking mining es que el usuario hipoteca un determinado activo digital en el grupo de minería, y luego el contrato calculará la cantidad de acuerdo con la proporción de los activos hipotecados del usuario. al total de los activos hipotecados Calcular cuántas recompensas debe obtener el usuario. Si esta proporción se calcula mal o se implementa incorrectamente, los usuarios no podrán obtener las recompensas correctas, lo que afectará seriamente la reputación del proyecto.

Rara vez enumeramos los riesgos de alto riesgo en el informe ahora, pero una vez que los descubramos, le pediremos a la parte del proyecto que los corrija de inmediato. Los lectores pueden ver ejemplos detallados de tales riesgos en nuestros informes anteriores.

El riesgo moderado es un nivel más bajo que el nivel de riesgo alto, puede traer problemas potenciales al proyecto, y la parte del proyecto debe finalmente resolverlo.

Exclusivo | Chu Kang: La disminución en el volumen de negociación de Bakkt es la razón principal del aumento continuo en la proporción de interés abierto en los futuros de Bitcoin: Jinse Finance informó que hoy, Chu Kang, el fundador de Benrui Capital, fue entrevistado y se enfrentó a " Futuros Mensuales de Bitcoin de Bakkt ¿Cuáles son las razones principales por las que el interés abierto continúa alcanzando un máximo histórico?" La pregunta decía que el interés abierto solo resalta el tamaño del contrato cerrado entre el comprador y el vendedor en el intercambio. Generalmente, un Se realiza un análisis exhaustivo junto con el precio de Bitcoin. Si el contrato y el precio de Bitcoin aumentan en la misma dirección, es probable que se considere que existe una fuerte tendencia de crecimiento en el mercado. Si el interés abierto y las tendencias del precio de Bitcoin son contradictorio, se puede llegar a la conclusión opuesta.

El volumen de negociación de futuros de bitcoin de Bakkt ha mostrado una tendencia a la baja desde diciembre de 2019, lo que es la razón principal del aumento continuo en la proporción de sus contratos de interés abierto de futuros de bitcoin, lo que en cierta medida explica la compra y venta de futuros de bitcoin. por los usuarios de la plataforma Bakkt El fenómeno del comercio débil también puede interpretarse como que tanto los lados largos como los cortos están esperando una dirección más clara, especialmente las posiciones largas que no se han movido. [2020/2/7]

Este tipo de riesgo es más común con el problema del control de autoridad del administrador.

Por ejemplo, los protocolos DeFi suelen tener la función de emitir tokens. La dirección que suele controlar la emisión de tokens es la del administrador, por lo que en este tipo de contrato, la autoridad del administrador es bastante grande. En algunas implementaciones de código, debido a las funciones complejas del proyecto y las necesidades de operación y mantenimiento, el administrador no solo tiene el derecho de decidir si emite tokens, sino que también tiene el poder de decidir si otorga a otras direcciones el poder de emitir fichas.

Esto crea un riesgo de seguridad: si se roba la autoridad del administrador del proyecto o si el administrador mismo tiene un riesgo moral y abusa de este poder, la emisión de tokens estará fuera de control.

Este tipo de riesgo lo introduce la lógica del contrato, pero la implementación de la lógica tiene que ser así y, a veces, en la etapa inicial de implementación del contrato, para permitir que el proyecto funcione de manera eficiente, es necesario mantener este administrador. autoridad por un período de tiempo, lo que trae Aquí viene el riesgo potencial.

El partido del proyecto también es cauteloso al operar con este riesgo, que camina sobre una fina capa de hielo, que pende sobre las cabezas del partido del proyecto y de los usuarios como una espada de Damocles, y existe el riesgo de caer en cualquier momento.

Para tales riesgos, recomendamos enfáticamente que la parte del proyecto transfiera los derechos de administrador a la comunidad (como DAO) o billeteras de múltiples firmas después de un período de operación para evitar tales riesgos.

El riesgo bajo es el nivel más bajo de todos los riesgos. Por lo general, se manifiesta como algunos problemas detallados, mensajes de advertencia, etc. Por el momento, los problemas de este nivel no se pueden resolver, pero la parte del proyecto finalmente los resolverá en un nuevo versión en el futuro.

Los detalles y las cuestiones específicas involucradas en este tipo de riesgo son relativamente dispersos y triviales. A menudo tenemos problemas con la función o la denominación de variables.

Los nombres de funciones o variables generalmente no son percibidos por los usuarios comunes, pero en algunos casos causará algunos problemas para que la parte del proyecto mantenga el código u otros contratos (como terceros) para llamar a estas funciones.

Por lo general, el problema con la denominación de funciones o comandos es que "la palabra no transmite el significado", es decir, la denominación es diferente del papel lógico que realmente juega en el contrato. Por ejemplo, si una función debe establecer el valor de una variable, generalmente nombramos esta función como "setXXX" (establecer XXX), pero debido a un error tipográfico u otras razones, la parte del proyecto la denominó "getXXX" (leer XXX), lo que hace que el nombre de la función se lea diferente de su función real.

Después de que un código de este tipo se haya utilizado durante mucho tiempo, cuando la parte del proyecto vuelva a mantenerlo o modificarlo, si no observa el código detenidamente, entenderá mal la función de la función y la llamará por error.

Por lo tanto, Fairyproof Tech también recomienda que la parte del proyecto revise en un momento conveniente para tales riesgos.

Autor:

Tan Yuefei, CEO de Fairyproof Tech

Maestría en Ingeniería Industrial de Virginia Tech, Blacksburg, VA, EE. UU. Solía ​​ser ingeniero de software de AIBT Inc (San José, CA, EUA), una compañía de semiconductores de Silicon Valley en los Estados Unidos, responsable del desarrollo del sistema de control subyacente, la implementación del programa del proceso de fabricación del equipo y la diseño del algoritmo, y fue responsable del acoplamiento técnico general y la comunicación con TSMC. Desde 2011, se ha dedicado a la investigación de tecnología integrada, de Internet y de cadena de bloques, profesor del curso "Introducción a la cadena de bloques" del Entrepreneurship College de la Universidad de Shenzhen, investigador visitante del Centro de Inteligencia y Cadena de Bloques de la Universidad Sun Yat-sen, y director ejecutivo de la Asociación de Investigación de Innovación Financiera de Guangdong . Posee personalmente 4 patentes relacionadas con blockchain y 3 trabajos publicados.

Acerca de la tecnología a prueba de hadas:

Fairyproof Tech Technology Co., Ltd. es una empresa que se centra en la seguridad ecológica de blockchain. Fairyproof Tech ha servido a muchos proyectos emergentes y conocidos principalmente a través de la solución integral integrada de "detección de riesgo de código + detección de riesgo lógico". La empresa se estableció en enero de 2021 y el equipo fue creado por un equipo con amplia experiencia en programación de contratos inteligentes y seguridad de red.

Los miembros del equipo participaron en la iniciación y presentación de una serie de borradores estándar en el campo de Ethereum, incluidos ERC-1646, ERC-2569 y ERC-2794, entre los cuales ERC-2569 fue aceptado oficialmente por el equipo de Ethereum.

El equipo participó en el inicio y la construcción de varios proyectos de Ethereum, incluidas plataformas de cadena de bloques, organizaciones de DAO, almacenamiento de datos en cadena, intercambios descentralizados y otros proyectos, y participó en las auditorías de seguridad de varios proyectos. Gracias a la rica experiencia del equipo, se ha construido un sistema completo de seguimiento de vulnerabilidades y prevención de seguridad.

Tags：

ADA