Exclusiva | ¿Cómo registra el informe de auditoría el depósito de los documentos de auditoría?, y cómo revisarlo

Este artículo fue creado originalmente por "Fairyproof Tech", autorizado por "Jinjin Finance" para publicación exclusiva, indique la fuente para la reimpresión.

 Un informe de auditoría es un "informe de inspección de calidad" para un conjunto de contratos inteligentes, y el informe debe informar al usuario quién está siendo auditado.

 A diferencia de los bienes tangibles ordinarios, los contratos inteligentes son intangibles, entonces, ¿cómo pueden los usuarios conocerlos?

 La gran mayoría de proyectos en el campo de la cadena de bloques, incluidos los conocidos Bitcoin y Ethereum, tienen una característica común: sus códigos fuente son "código abierto". El llamado "código abierto" significa que su código es público y se coloca en un sitio web público al que todos pueden acceder y cualquiera puede ver su contenido.

 Lo mismo ocurre con la mayoría de los contratos inteligentes que auditamos. Todos son de código abierto y se colocan en algunos sitios web conocidos para que todos almacenen archivos, como github.

 Si el contrato inteligente que auditamos es de código abierto y está ubicado en github, queremos que los usuarios lo conozcan y vean su código fuente, y enumeraremos la URL de github donde se almacena el contrato en el informe de auditoría. Esto es como un producto almacenado en un almacén grande, que se almacena en un almacén en el almacén.Si queremos que los usuarios encuentren este producto, debemos decirle al usuario la dirección del almacén y el número de casa del almacén. La URL de github donde se almacena el contrato es igual a la dirección del almacén + número de casa.

Sin embargo, si el escritor del contrato (generalmente lo llamamos la parte del proyecto) usa un conjunto de contratos en github cuando audita a la agencia de auditoría, pero después de la auditoría, especialmente después de que el proyecto se pone en línea, el usuario modifica su contrato inteligente, ¿Cómo? ¿sabemos que el contrato colocado en github es el contrato que vimos durante la auditoría y no el contrato que se modificó más tarde u otros contratos "engañosos"?

Esto implica una característica del repositorio de github.

Cuando la parte del proyecto almacena el código en github, github generará un número de versión para esta acción de almacenamiento. Esto es como cuando solicitamos una nueva billetera en Bitcoin y Ethereum, esta billetera tendrá una dirección única y este número de versión también es único.

Cuando la parte del proyecto realiza cambios en cualquier archivo: tan pequeños como la modificación de una palabra, tan grandes como la eliminación de archivos, la adición, etc., cuando estos cambios se envían a github, github generará un nuevo número de versión para esta acción.

Por lo tanto, el número de versión en github es una prueba única del archivo almacenado, lo que garantiza que el archivo correspondiente a este número de versión es el archivo que se colocó en el almacén en un momento determinado, no el archivo que se colocó antes o después. .

Por lo tanto, además de enumerar la URL de github del contrato auditado en el informe de auditoría, también enumeramos el número de versión del contrato auditado en github.

Estos dos elementos aseguran que los lectores puedan saber con precisión lo que hemos auditado al leer nuestro informe.

Además de ponerlo en github, algunas partes del proyecto ya implementaron el contrato en la red blockchain durante la auditoría. Dado que un contrato inteligente no se puede alterar ni revocar una vez que se implementa en la red de la cadena de bloques, la dirección de la cadena de bloques implementada por el contrato inteligente también se puede usar como la dirección del certificado del contrato.

Para tal contrato, generalmente también registramos su dirección en la cadena de bloques como única prueba.

Dijimos anteriormente que los contratos inteligentes de la mayoría de los proyectos son de código abierto, lo que significa que todavía hay algunos contratos de proyectos que no eran de código abierto durante la auditoría. En este caso, ¿cómo registramos la evidencia de este contrato?

Usaremos el valor SHA-256 para marcar el depósito del expediente del contrato.

Algunos lectores, especialmente los jugadores de moneda digital, encontrarán familiar la palabra "SHA-256": ¿No es esta una técnica comúnmente utilizada en los algoritmos de cifrado de moneda digital?

Este es el caso, para ser más precisos, es un valor obtenido a través de una "función hash", este valor también se llama "valor hash", y tiene 256 bits (bit).

La llamada función hash, también conocida como función hash, es un método para crear pequeñas "huellas dactilares" digitales a partir de cualquier tipo de datos. La función hash comprime el mensaje o los datos en un resumen, lo que reduce la cantidad de datos y corrige el formato de los datos. Esta función codifica y mezcla los datos originales y recrea un resultado llamado valor hash (valor hash, código hash, suma hash o hash).

¿Por qué utilizamos este valor para registrar el depósito del expediente del contrato? Porque el contenido del archivo correspondiente a un valor SHA-256 es único. Esto es lo mismo que arriba, donde usamos el número de versión en github para garantizar que los archivos en github sean únicos.

Entonces, ¿cómo usamos este valor para registrar el depósito del archivo del contrato?

Nosotros mismos escribimos un conjunto de tales herramientas y usamos esta herramienta para realizar una operación en el contenido de cada archivo de contrato que auditamos, y el valor obtenido fue un valor SHA-256. Este valor representa la singularidad del contenido del archivo que estamos auditando.

Enumeraremos cada archivo y su valor SHA-256 correspondiente, que registra la prueba del archivo.

Cuando un usuario o lector quiera verificar si el archivo de contrato que ve es el contrato que auditamos, use nuestra herramienta para calcular el archivo que ve y compare el valor SHA-256 obtenido con el valor que obtuvimos nosotros, si son iguales, se prueba que es verdad, y si no son lo mismo, se prueba que no.

Entonces, para resumir, usaremos uno o más de los tres métodos de URL de github + número de versión, dirección de blockchain o valor SHA-256 para registrar el certificado de depósito del archivo.

Autor:

Tan Yuefei, CEO de Fairyproof Tech

Maestría en Ingeniería Industrial de Virginia Tech, Blacksburg, VA, EE. UU. Solía ​​ser ingeniero de software de AIBT Inc (San José, CA, EUA), una compañía de semiconductores de Silicon Valley en los Estados Unidos, responsable del desarrollo del sistema de control subyacente, la implementación del programa del proceso de fabricación del equipo y la diseño del algoritmo, y fue responsable del acoplamiento técnico general y la comunicación con TSMC. Desde 2011, se ha dedicado a la investigación de la tecnología integrada, de Internet y de cadena de bloques. Es profesor del curso "Introducción a la cadena de bloques" en la Escuela de Emprendimiento de la Universidad de Shenzhen, investigador visitante en el Centro de Inteligencia y Cadena de Bloques de la Universidad Sun Yat-sen. y director ejecutivo de la Asociación de Investigación de Innovación Financiera de Guangdong. Posee personalmente 4 patentes relacionadas con blockchain y 3 trabajos publicados.

Acerca de la tecnología a prueba de hadas:

Fairyproof Tech Technology Co., Ltd. es una empresa que se centra en la seguridad ecológica de blockchain. Fairyproof Tech ha servido a muchos proyectos emergentes y conocidos principalmente a través de la solución integral integrada de "detección de riesgo de código + detección de riesgo lógico". La empresa se estableció en enero de 2021 y el equipo fue creado por un equipo con amplia experiencia en programación de contratos inteligentes y seguridad de red.

Los miembros del equipo participaron en la iniciación y presentación de una serie de borradores estándar en el campo de Ethereum, incluidos ERC-1646, ERC-2569 y ERC-2794, entre los cuales ERC-2569 fue aceptado oficialmente por el equipo de Ethereum.

El equipo participó en el inicio y la construcción de varios proyectos de Ethereum, incluidas plataformas de cadena de bloques, organizaciones de DAO, almacenamiento de datos en cadena, intercambios descentralizados y otros proyectos, y participó en las auditorías de seguridad de varios proyectos. Gracias a la rica experiencia del equipo, se ha construido un sistema completo de seguimiento de vulnerabilidades y prevención de seguridad.

Tags：

SOL