独家 | 如何读审计报告之每个风险等级的实际案例

在这篇文章里我们就每个等级的风险具体举出一些案例来说明致命风险、高危风险、中度风险和低风险分别是什么样的。

你不知道的DeFi真相 它的未来会是什么样子?

去中心化金融(DeFi)与整个加密货币领域一起,在2021初始之际大放光芒。

前边大家和大伙儿详细介绍了灵踪安全性对风险级别的区划,有阅读者看过一定会好奇心:每一种风险各自全是哪些的呢?

在本文里大家就每一个级别的风险实际列举一些实例来表明致命性风险、高风险风险、轻中度风险和低风险分别是哪些的。

致命性风险是全部风险中级别最大的、最风险的,它必须项目方立刻处理,不可以推迟。

这类风险最普遍的便是合约中一些显著很有可能造成 编译程序没法取得成功、或是在逻辑性中发生显著不正确造成 编码的运作逻辑性没法恰当进行的地区。这类风险不解决,项目方的合约基本上不太可能根据编译程序运作或不太可能一切正常运作。

独家 | 如何读审计报告之每个风险等级的实际案例插图

举例来说,在合约完成中,自变量取值种类的不配对,c语言编译器版本号界定造成 的编译程序难题等都归属于这类风险。

因为灵踪安全性在中后期的汇报中早已非常少把这种风险写在汇报中,只是一旦发觉就规定项目方马上处理,因此在大家中后期的汇报中难以立即见到这类风险,只在大家初期的汇报中有这种风险的列举。

高风险风险在风险水平上仅次致命性风险,它极有可能给项目产生比较严重难题,也必须项目方处理。

这类风险最普遍的便是合约完成中的逻辑错误,例如计算误差等。

独家 | 如何读审计报告之每个风险等级的实际案例插图(1)

举例来说,质押贷款挖币是许多DeFi合约上都有的作用,质押贷款挖币的基本上逻辑性是客户将某一数字货币质押进挖矿软件,随后合约会依据客户质押的财产占总质押财产的占比来结转客户该取得是多少奖赏。假如这一占比计算误差或是完成不正确,客户没法取得恰当的奖赏,就会比较严重危害项目的信誉。

高风险风险如今也非常少会被大家列举在汇报中,只是大家一旦发觉这类风险就会规定项目方马上调整。阅读者能够在大家初期出示的汇报看出这类风险的详尽举例说明。

轻中度风险相比于高风险风险级别又次一级,它有可能给项目产生潜在性难题,最后或是要项目方处理。

这类风险较为普遍的有访问权限操纵的难题。

例如在DeFi协议书中一般都是会有发售代币总的作用。而一般操纵代币总发售的详细地址便是管理人员,因此在这里类合约中,管理人员的管理权限是非常大的。在一些编码完成中,因为项目作用繁杂及其运维管理层面的必须,管理人员不但自身有权利决策是不是发售代币总乃至也有权利决策是不是授予其他的详细地址那样的权利,让其他详细地址也可以发售代币总。

潍坊首笔“中银厂房贷”落地寒亭

4月2日,寒亭区嘉实孵化产业园1.8亿元“中银厂房贷”项目,在中国银行山东省分行普惠金融事业部通过,标志着“中银厂房贷”信贷产品在潍坊正式落地。 潍坊嘉实孵化产业园是由

这就造成了安全风险:假如项目管理人员的管理权限失窃或是管理人员自身发生社会道德风险、乱用这一权利,那代币总的发售也不受操纵了。

这类风险是由合约逻辑性引进的,但逻辑性的完成又迫不得已这般,而且有时候在合约布署前期,为了更好地让项目能高效率运行,也要维持这类访问权限运行一段时间,这都给项目产生了潜在性的风险。

项目方带上这类风险开展实际操作也是提心吊胆、战战兢兢,它如同达摩克里斯剑一样悬在项目方和客户的头上,随时随地有爆出的风险。

对这种风险大家会强烈要求项目放在运行一段时间后,将访问权限转送小区(例如DAO)或是多签钱夹,以避开这类风险。

低风险是全部风险中等级最少的,一般它主要表现为一些关键点难题、警示信息内容等,临时而言这一级别的难题能够无需处理,但项目方最终在未来某一最新版本中处理这类难题。

这类风险涉及到的关键点和实际难题较为零散和零碎,大家普遍的有函数或变量命名层面的难题。

对函数或自变量的取名怎样一般单用户是不容易认知的,但对项目方自身维护保养编码或其他(例如第三方)合约启用这种函数在一些状况下能造成一定困惑。

一般函数或便令取名发生的难题便是“词不达意”,即取名和它具体在合约中起的逻辑性功效不一样,例如一个函数是要设定某一自变量的值,大家一般会将这一函数取名为“setXXX”(设定XXX),但因为错写或其他缘故,项目方将其取名为“getXXX”(载入XXX),这就要函数的姓名和它的真正功效读起來揠苗助长了。

那样的编码時间一久,当项目方自身再回首来维护保养或改动时,如果不细心看编码就会误会函数的作用,进而不正确地启用它。

因而灵踪安全性对这种风险也提议项目放在便捷的時间改动。

创作者:

灵踪安全性CEO 谭粤飞

英国弗吉尼亚理工学院(Virginia Tech, Blacksburg, VA, USA) 工业工程专业(Industrial Engineering) 研究生(Master)。曾任硅谷半导体公司 AIBT Inc(San Jose, CA, USA) 前端工程师,承担最底层自动控制系统的开发设计、机器设备制造的程序代码、优化算法的设计方案,并承担与tsmc的全方位技术性连接和沟通交流。自2011迄今,从业内嵌式,互联网技术及区块链应用的科学研究,中山大学创业学院《区块链概论》课程内容老师,广东医学院区块链技术与智能化管理中心讲座研究者,广东金融科技促进会理事 。本人有着4项区块链技术有关专利权、3本出版发行经典著作。

有关灵踪安全性:

灵踪安全性高新科技有限责任公司是一家潜心区块链技术生态安全的企业。灵踪安全性高新科技关键根据“编码风险检验 逻辑性风险检验“的一体化综合性计划方案服务项目了众多新起著名项目。公司成立于2021年01月,精英团队由一支有着丰富多彩智能化合约程序编写工作经验及网络信息安全工作经验的精英团队建立。

精英团队组员参加进行并递交了以太币行业的多种规范议案,包含ERC-1646、ERC-2569、ERC-2794,在其中ERC-2569 被以太币精英团队宣布收益。

如何购买打折的 ETH(vETH)?

Bifrost 致力于成为质押资产提供流动性的基础设施

作者: 791650988

为您推荐

联系我们

联系我们

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部