具有不可篡改性以及可追溯性的分布式账本,为企业内部审计工作提供了不同以往的全新数据基础,然而它也在技术方面带来了挑战,正因如此区块链技术正在对企业内部审计的作业模式予以重塑,而理解区块链态势下的审计逻辑,是当下内审人员必定要面对的课题。
区块链内审与传统审计有何不同
传统审计依靠对抽样检查以及对账的依赖,这是由于没办法获取全部数据或者面临手工处理成本过高的状况导致的。而在区块链系统里,所有的交易记录呈现出公开、透明并且按照时间戳进行排列的特点,审计人员在理论层面上能够审查完整的数据链条,并不用依赖被审计方去提供片段信息的。
但数据的完整性并不意味着业务的真实性,区块链仅能确保上链之后的数据不会被篡改,却没办法验证上链之前的业务是不是真实发生,所以,内审的重点得从 “核对账表”向着“核验源头”转变,留意链下资产与链上凭证的匹配程度。
区块链内审重点关注哪些风险
私钥的管理是首要的风险要点,一旦私钥出现泄露的情况,那么攻击者便能够完全掌控对应的账户,并且交易记录是无法进行撤销的,内部审计需要对私钥的存储方式、权限分级以及多签机制的落实状况展开检查,以此来防范由于内部人员进行权限滥用或者外部攻击从而导致资产出现损失的情况。
共识机制所存在的漏洞,以及智能合约所存在的漏洞,同样是不能够被忽视的。要是节点分布过度集中,那么就存在着51%攻击这一可能性;而合约代码之中的逻辑缺陷,则有可能会被恶意调用。审计团队,需要与技术部门展开协作,去评估网络的去中心化程度,并且针对合约代码予以专项审查。
智能合约审计怎么做
智能合约一经部署便会自动执行,传统的控制测试没办法对其运行进行干预。审计人员要去审查合约源代码的规范性以及安全性,查看是不是存在重入攻击、整数溢出这类常见漏洞,并且要验证合约逻辑是否等同于业务规则和预期功能。
与此同时,针对合约的权限设置切实展开重点审计工作。具体涵盖谁具备合约暂停、升级或者销毁的权限,这些操作是不是需要多重签名,以及是不是拥有完备的应急响应预案。在代码开源的情形下,还得关注第三方依赖库的安全性。
区块链内审需要什么技能
内审团队得补充那技术理解方面的能力,虽说不非得精通编码,可必须要理解区块链自身的基本原理,以及其交易结构,还有主流的共识算法。像这样才行,才能够看懂技术团队所提供的日志跟数据,进而提出存在针对性的问题。
跨部门之间的沟通能力,变得越发重要起来,技术团队跟业务团队,常常会呈现出信息的断层状况,对此审计人员可得充当翻译以及协调者这样的角色,要把技术蕴含的风险,转变成管理层能够理解的那种语言模样,以此推动起建立像既安全兼具高效这般的链上业务规则。
于你们企业的实践当中,区块链应用有没有被纳入到内审范围,当下所碰到的最大障碍是技术理解欠缺,抑或是数据获取艰难?欢迎于评论区分享你所持的观点,经点赞使得更多人瞧见这个正改变着审计行业的话题。
转载请注明出处:imtoken,如有疑问,请联系()。
本文地址:https://www.zmdyd.cn/zbimqbxz/5514.html