以太坊审计

1. 怎么看以太坊上的去中心交易所

去中心化交易所被很多人看好，私钥掌握在自己手里，享有用户资产完全的控制权。但是受限于以太坊公链的拥堵情况，以太坊上的去中心化交易所交易体验都不太好，比较慢。目前最被人看好的是0x协议，但如果以太坊的问题不解决，它上面的应用问题根本无法着手。
相比而言，基于EOS上的去中心化交易所就会好很多，因为它的TPS足够快，处理现阶段的去中心化应用是完全足够的，速度要比以太坊上好很多。特别是鲸交所WhaleEx，使用起来很流畅，挂单成交很快，并不输于那些中心化交易所，在所有的去中心化交易所里，算是非常优秀的了。
所以我觉得EOS上的去中心化交易所可能会比以太坊上的更快爆发，特别是鲸交所，会是一匹黑马。它们家的智能合约也是唯一一个通过慢雾安全审计的，安全性特别高，使用放心。

2. 以太坊带来了那些争议和质疑呢

以太坊和比特币是有着本质区别的，区别在哪里呢？比特币定义的是一套货币体系，而以太坊侧重的是打造一条主链（可以理解为一条公路），可以让大量的区块链应用跑在这条公路上。

从这一点来看，以太坊的应用场景更广泛，这也是为什么我们说以太坊标志着区块链

1.0时代一个单纯的货币体系，向区块链2.0时代实现其他行业以及应用场景的转变。

但是，世界上没有十全十美的事物，以太坊虽然拓展了区块链在各行各业的应用范围，还提升了处理交易的速度，但是它也存在着一定的争议与质疑。

一、以太坊的扩展性不足的解决之道：分片技术和雷电网络

以太坊的底层设计，最大的问题是以太坊只有一条链，没有侧链，这就意味着，所有程序都要对等地跑在这条链上，消耗资源的同时，还会引发系统拥堵。正如去年非常火爆的以太坊游戏“加密猫”，这个游戏火爆的时候，一度引发以太坊网络瘫痪。

对于提升处理能力这个问题，以太坊提出两种方式：一个是分片技术（shard），一个是雷电网络，下面我们分别介绍一下这两种技术。

（一）分片技术

以太坊创始人 V 神（Vitalik Buterin）认为，诸如比特币这种主流的区块链网络，之所以处理交易的速度很慢，是因为每一个矿工要处理全网的每一笔交易，这样的效率其实是非常低下的。分片技术的构想是：一笔交易不必发动全网所有节点都去处理，只要让网络中的一部分节点（矿工）处理就好了。于是，以太坊网络被划分成很多片，同一时间，每一分片都可以处理不同的交易，这样一来，会大大提升网络性能。

但是，分片技术也是有一定争议的。我们知道，区块链技术的重要思想是去中心化，全网都去见证（处理）同一交易，这才具有最高的权威性。而以太坊分片技术，并不是所有节点共同见证，而是类似于分小组见证，这样一来，它便失去了绝对的“去中心化”属性，只能通过牺牲掉一定的去中心化特性来达到高性能的目的。

（二）雷电网络

雷电网络使用的是链下交易的方式。这是什么意思呢？它的意思是：使用雷电网络的参与者在互相转账时，不需要通过以太坊主链交易确认，而是通过参与者之间创建支付通道，在链下完成。

不过，雷电网络并不是脱离主链的，在建立支付通道之前，需要先用主链上的资产做抵押，生成余额证明（Balance Proof），拥有余额证明才能表明你能做出相应余额的转账。在交易双方都持有余额证明的情况下，双方可通过支付通道在链下进行无限制次数的转账。

只有在完成链下交易，需要将资产转回链上时，才会在以太坊主链上登记主链账户的余额变化信息，而这期间不管发生多少次交易在主链上是不会有记录的。

雷电网络还有一个实实在在的好处，就是可以为你省下矿工费用。目前我们在以太坊主链上进行交易，需要消耗 Gas，需要支付矿工费用，那么一旦将交易搬到链下，就可以节省这一部分的成本。

当然，雷电网络并不是十全十美的。在使用雷电网络时需要用主链上的资产作抵押；而这部分资产作为抵押物，在使用者完成链下交易之前是不能使用的。这也就决定了，雷电交易只适合小额交易。

上面就是以太坊扩展性不足的问题，以及目前提出的两个主要解决方案：分片技术和雷电网络。

二、以太坊的智能合约存在漏洞与臭名昭著的 The Dao 事件

以太坊的智能合约很强大，但是，凡是代码都会存在漏洞的，以太坊智能合约最大的争议就在于所谓的漏洞，也就是安全性问题。据相关研究表明，在基于以太坊的近100万个智能合约上，发现有34200(约3%)个含有安全漏洞，将允许黑客窃取ETH、冻结资产或删除合约，比如说，臭名昭著的The Dao 事件。

（一）Dao是什么意思？

介绍 The Dao 事件之前， 我们先见到介绍一下 DAO 是什么。DAO 是 Decentralized

Autonomous Organization 的简称，可以理解为：去中心化自治组织。从以太坊的角度来理解，DAO 是区块链上的某一类合约，或者一个合约组合，用来代替政府的审查以及复杂等中间程序，从而实现高效的、去中心化的信任的系统。所以，DAO 不是特定的某个组织，也就说呢，可以有很多的DAO，各种各样的DAO。

（二）臭名昭著的The Dao事件

但是，我们现在提到DAO，基本上所指的都是The DAO事件，也就是我们刚刚说的那个臭名昭著的黑客攻击事件。我们知道，英文中的 The是特指的意思，The DAO事件呢就

是特指的那个DAO事件，因为我们刚刚说了DAO不是特定的某个组织，可以有很多的DAO，各种各样的DAO。

2016 年的时候，德国一家专注“智能锁”的公司 Slock.it，为了实现去中心化的实物交换（比如说：公寓啊，船只啊），在以太坊上发布了 DAO项目。并且于2016年4月

30日开始，融资窗口开放了28天。

没想到，这个DAO项目的人气非常高，短短半个月就筹得了超过一亿美元，而到整个融资期结束，一共筹集到1.5亿美元，由此呢，它成为历史上最大的众筹项目。然而好景不长，到了6月份，黑客利用智能合约里面的漏洞，成功转移了超过360万个以太币，并投入到一个DAO子组织中，这个组织和The DAO有着同样的结构。以至于当时以太币价格从20多美元直接跌破13美元。

这个事件说明智能合约的确是有漏洞的，而且一旦漏洞被黑客利用，那么后果是非常严重的。这就是现在很多人批评以太坊，说它的智能合约不智能。

对于这个问题，目前国外有很多公司为了解决智能合约的漏洞问题 ，开始提供代码审计服务。而从技术的角度来说，目前一些团队正在对智能合约进行检验，这些团队多数由哈佛、斯坦福和耶鲁的教授带队，部分团队已经获得了头部机构的投资。

除了目前以太坊存在的扩展性不足、智能合约漏洞问题，对于以太坊的争议还在于它所追求的POS共识机制，也就是权益证明机制，在权益证明机制下，如果说谁持币的数量越大、持币时间越久，获得的“权益”（利息）就越多，还有机会得到记账权力，记账又可以获得奖励，那么这样一来，容易造成“强者越强”的寡头优势。

还有一个问题就是ICO乱象的问题。ICO是区块链项目筹措资金的常用方式，咱们可以理解为预售。以太坊上ICO项目的爆发，滋生了打着ICO旗号进行资金盘、诈骗圈钱等不法行为，对社会和金融稳定造成安全隐患。

3. 智能合约审计是什么，一定要做吗

智能合约审计就是仔细研究代码的过程，（130）在这里就是指在把Solidity合约部署到以太坊主网络中（1890）并使用之前发现错（7296）误、漏洞和风险；因为一旦发布，这些代码将无法再被修改。这个定义仅仅是为了讨论目的。
智能合约审计报告的结构
免责声明： 在这里你会说审计不是一个具有法律约束力的文件，它不保证任何东西。这只是一个讨论性质的文件。
审计概览和优良特性： 快速查看将被审计的智能合约并找到良好的实践。
合约中发现的中等漏洞： 那些可能损害合约但危害有限的漏洞。比如一个允许人们修改随机变量的错误。
低严重性的漏洞： 这些问题并不会真正损害合约，并且可能已经存在于合约的已部署版本中。
逐行评注： 在这部分中，你将分析那些具有潜在改进可能的最重要的语句行。
审计总结： 你对合约的看法和关于审计的最终结论。

4. 以太坊架构是怎么样的

以太坊最上层的是DApp。它通过Web3.js和智能合约层进行交换。所有的智能合约都运行在EVM（以太坊虚拟机）上，并会用到RPC的调用。在EVM和RPC下面是以太坊的四大核心内容，包括：blockChain, 共识算法，挖矿以及网络层。除了DApp外，其他的所有部分都在以太坊的客户端里，目前最流行的以太坊客户端就是Geth（Go-Ethereum）

5. 区块链运作需要了解的基本问题分析

区块链是一种共享的分布式数据库技术。尽管不同报告中对区块链的一句话介绍措辞都不相同，但以下4个技术特点是共识性的。
1. 去中心化（Decentralized）：图1的左侧描述了当今金融系统的中心化特征，右侧描述的是正在形成的去中心化金融系统，其没有中介机构，所有节点的权利和义务都相等，任一节点停止工作都会不影响系统整体的运作；
2. 去信任（Trustless）：系统中所有节点之间无需信任也可以进行交易，因为数据库和整个系统的运作是公开透明的，在系统的规则和时间范围内，节点之间无法欺骗彼此；
3. 集体维护（Collectively Maintain）：系统是由其中所有具有维护功能的节点共同维护的，系统中所有人共同参与维护工作；
4. 可靠数据库（Reliable Database）：系统中每一个节点都拥有最新的完整数据库拷贝，修改单个节点的数据库是无效的，因为系统会自动比较，认为最多次出现的相同数据记录为真。
比特币、以太坊、DECENT这些项目的区块链都是具备这些特点的。

6. 区块链除了数字货币外，还有哪些应用落地了

防伪 例如蛙币和唯链 最终商品如进口奶粉、奢侈品：红酒、包包、冷库的冷冻食品监控的来源及过程 因为写入区块链 无法作弊、反悔修改 正在落地中或已落地 （唯链的合作商很强大）

智能合约 或知识产权 例如发布一首歌在区块链 你拥有这个歌 利用智能合约 销售 以及保护产权 如NEO、以太坊。 游戏开发或程序开发：如电子猫（CryptoKitties） 自由繁育和交易不同花色不用年代或稀有的猫（年代越靠近0 越贵）

ICO IPO的进化版 首次公开募币 2017年募了400亿美元 就是任何公司或个人 开发币 来支持其发展 电子币的证券预计再过几个月就有初步平台（Polymath）

游戏物品自由交易 正在开发

7. 智能合约审计到底是什么

计就是仔细研究代码的过