申请成立一个社区合约审计小组,助力Conflux社区项目远航

近期在开发DApp过程中了解到了合约审计的重要性。但是摆在我们面前的是审计费用高企和审计时间不定,会对社区的很多创意项目造成一定影响。
审计的最终目的是什么?现在很多人认为是一种背书,但是去中心化的区块链是需要找人背书的项目吗?我们应该有技术自信,能力自信,发展自信,我们自己给自己背书。

通过近期的感悟,我感觉所谓审计,就是找Bug,其实最好的方法就是让有开发经验的专业开发人员对代码进行分析,找出里面可能的逻辑缺陷。这也就是说其实我们开发人员才是最好的审计员。当然,还需要一整套规范流程保证代码分析的全面性。
因此,参考目前各种学术论文的开放评审机制,我认为我们社区的合约开源项目可以在规范流程的基础上,通过社区审计小组进行众包审计。
大家通过自愿,对社区开源项目进行定期和不定期审计,不断夯实合约完善程度,最终带给Conflux世界的,将是一个完美的下一代网际金融、交流、服务平台。

如果技术委员会同意,大家需要一起制定相关规则,可借鉴目前已有的审计方案,结合conflux实际,不断迭代进化。同时,要制定规则,通过社区基金对审计人员进行有效激励,为未来建立起具有深度的社区技术团队不断努力。
这将是一个纯粹的技术小组,大家只有一个目的,消除链上风险,维护Conflux稳定,保障我们的发展。

3 Likes

赞同,又能学习进步又能自给自足!省去不少麻烦。

支持这个想法。建议把历史上所有被黑的新闻事件都找到,并贴在帖子里, 紧接着在把hack tx贴在对应的黑客事件下面,然后复盘合约代码的漏洞一个一个啃, 全都吃透了,我相信从社区走出来的审计团队一定是中国顶级的。完全不用担心声望不足的问题,因为功夫做到家了!

1 Like

好想法

给了项目扶持资金,还要给项目审计资金扶持!?
最大的风险还在于,一但发生黑客盗币事件,社区基金就处在风口浪尖,浪里个浪
吃力不讨好!

协议里面最好责任由项目方承担写好

最近会把历史事件放到帖子里先:
智能合约安全漏洞研究综述:
http://jcs.iie.ac.cn/xxaqxb/ch/reader/create_pdf.aspx?file_no=20200308&year_id=2020&quarter_id=3&falg=1

我们只是一个辅助安全的社区自发行动,目标是提高社区项目的合约质量和社区人员合约审计水平,目前不承担合约相关安全风险责任。我们的公信力完全建立在自身能力基础上,但不享有相关权力和义务对合约负责。

审计讲求独立性,这个独立性,既要有形式上的,也要有实质上的。自己给自己背书,首先从形式上就不独立。我们可以搞这样的内部审计以进一步降低风险,但只能作为外部审计的补充。你见过那家上市公司搞了内部审计就不搞注册会计师审计的。

我们是为了找bug,不是为了背书,纯学术讨论。前面也说了,根本没让你把这个作为具有公信力的一个合同来看,我们仅在自己能力基础上来做学术讨论,方式是开放评审模式,最终你看到的不是我们这个小组的结论,而是一个个社区成员对相关合约某一部分的分析、测试和评估,谁都可以参与。
合约其实是区块链安全性的核心设施,但其在编程上是很小的一部分工作量,其可靠性要求很高;我们的目标是大家一起读代码,让bug无所遁形而已~~至于你说的背书,让CX组织去找起个外国名字的地方搞吧,这里确实没这个功能~

我的观点是,你发起的这个提案确实可以帮助降低风险,但它不能代替外部第三方机构的审计。至于“背书”,我针对的是“我们应该有技术自信,能力自信,发展自信,我们自己给自己背书”这句话。

你说的其实没错,嘿嘿。你指出那句话确实是我表述有点膨胀了,嘿嘿,共勉共勉。都是为了理想努力中~~