大数据会对审计行业形成冲击吗？审计行业是否会因此而消失？

审计本意上来讲是对企业账目的稽查，同时也包括对财务的修正等等。利用大数据可以更快的发现审计底稿的一些问题，因为这部分是重复的，机械的劳动。那么剩余的需要审计人员同企业沟通的很多内容，这个不用说，肯定要审计人员来完成了。小编的观点是大数据可以替代一小部分重复性的工作，审计还是以会计师为主的一个多方位的人力活动。

审计行业真的很辛苦吗？

每个行业都很辛苦。审计行业也不例外。他的专业性更强。脑力劳动的强度更大。肩负的责任更重。

“天天加班，动不动熬夜通宵，全年无休”是没有踏入审计这行的小伙伴对会计师事务所的印象。虽然要比一般企业的会计辛苦点，当我愿用我10年立信会计师事务所工作经验告诉你们，并非如此高强度。

只要是财会工作的月头忙月末忙，是一个事实，因为要报税要出报表，这种情况在正规的大公司尤其明显，经常每个月前后5天来的最早的是财务，走的最迟的是财务。

另外，上半年忙也是事实，因为4月底之前要出审计报告，5月底之前完成企业所得税汇算清缴。

近几年过年都比较早，1月底2月初就过年，所以年前基本上做不了什么大项目，项目全部挤压到年后。

刚过完年，企业其他业务部门还没有缓过神来上班，等到正月十五过完元宵节才来上班，企业财务可不行，初七就要奋斗在工作的岗位上，跟着审计师加班搞数据。

忙的时候，国际四大会计师事务所加班的时间比较晚一点，内资所多数时候最迟都在10点左右，这个还要看带队项目经理的行事风格，有团队愿意窝在一起弄工作的东西，有团队撤场后，回到家里处理好个人事务后，夜里可以自己安安静静弄工作的东西。

过了4月其实就没有那么辛苦了，前面4个月，每一个在会计师事务所干过审计这行的，都有过辞职的念头。

只是低段位的审计员了无牵挂，受不了压力就走了，待了4、5年高级审计以上级别的，在事务所待遇还不错，突然离职，暂时不一定能有好的单位接纳，也就硬着头皮留下来了。

4月一过，慢慢就变成朝九晚五的上下班节奏，现在很多事务所还开始实习不坐班制度，没事可以不来，保持电话畅通就行，突然就觉得干审计也挺好，也就一直坚持留下来了。

总结一下，就是：上半年忙，那是整个行业都这样，但是也不是大家想象的那么恐怖，动不动猝si不存在的；下半年如果不出项目基本都是早九晚五，有事不用请假的那种，出项目了也是跟着企业的作息习惯正常上下班。

项目代码审计如何去做？

区块链元宇宙NFT项目最近火爆安全代码审计成了重中之重

传统互联网的发展初期大伙儿说着玩的“互联网技术靠黄”，如今则是“区块链技术靠赌”，实际上也是有一定的大道理：相比于金融业等行业，区块链游戏自身的众多特点也纯天然兼容了区块链和游戏的特性。

尽管现阶段是网上B菜类游戏为主导156，但这类“旁氏骗局”的赌性6991能够当作是人们的一种刚性需求3780，没法防止，而正巧区块链技术利用智能合约又恰好能够打造出彻底的公正的区块链旁氏骗局，绝不老板跑路，与用户共进退，当然就分外合适它的发展趋势。这也体现了区块链技术在游戏层面的在其中一个与众不同优点：游戏财产无须取决于游戏服务提供商，其自身的续存能够无尽拓宽下来。

此外，区块链游戏也有一些通用性特点，如同以前走红的NeoWorld，尽管一地鸡毛，但仍有许多粉丝，重要就取决于其完成了游戏道具的财产化、个性化：在NeoWorld上拼成的房子、专用工具、工艺品这些将是彻底100%线上存储的数字货币，而且无法复制到别的互联网，具备独一性。

管理中心网络服务器另较大的一个风险之一便是它能够随便地变更标准，要了解V神当初“冲冠一怒”进区块链世界便是由于《暴雪》太过管理中心“专权”而不管不顾别的游戏玩家的建议强制变更标准。

而区块链游戏纯天然地解决了这种难题，在这里以外，实际上区块链游戏现阶段逆势而上的趋势下也是有致命性威胁的——安全系数。众多网上菠菜类游戏变成网络黑客“取款机”的不容乐观形势自无需再多赘述，这会严重地危害大伙儿的参加区块链游戏的激情以及未来的发展趋势。这种危机下，一些独特的“安全合约”平台，便能很好地与目前的区块链游戏配合。

“玩家不用立即编码，只是利用安全性合同插口来便捷迅速地开展通证的发售和迁移”，这类状况下，在网络层撰写的独有的安全性合同架构便不同于传统式的智能合约，它减少了用户的应用门槛，另外防止了个人撰写的安全性合同很有可能存在的系统漏洞或逻辑错误，因此在这类公链固定不动编码架构下撰写的合同基本上不容易存有事前掩藏的系统漏洞，它是与众不同的设置方法。

而许多网上菠菜类DAPP黑客攻击也就是由于其在早期合同撰写时便留有了纯天然的系统漏洞，因此“安全性合同”前端开发明确合同编码自身安全性的特点毫无疑问是一个福利，恰可以较大 水平上避免游戏系统漏洞产生。

国家互联网应急中心互联网金融监管技术支撑专项组组长吴震表示，目前除了数字货币交易损失等引起社会事件外，区块截留、私自、代码漏洞、密匙窃取等技术风险也更为明显。

“目前来看，发生过的风险主要集中在代码实现以及外部风险。”吴震举例说，2013年Mt.Gox交易所丢失85万个比特币，造成企业破产；2016年，香港Bitfinex交易所遭黑客入侵，丢失了12万个比特币；2017年，韩国Youbit交易所遭黑客入侵，导致公司不得不申请破产；2018年，日本Coincheck交易所丢失5.2亿个新经币，损失达5.4亿美元。

区块链项目评分网站ICO Rating对100家24小时交易额超过100万美元的加密货币交易所分析发现，超过54％的交易所都没有执行标准的安全措施。此前，去中心化漏洞平台DVP更是发现，超过600家交易所使用了存在漏洞、已被废弃的开源程序。

吴震表示，从发展形势上看，区块链系统安全受多个层面影响，攻击手段日益升级，损失不断增加。随着区块链应用范围逐渐扩大，安全是必须重视的课题。必须加强区块链安全威胁分析和检测手段建设，提高防护水平。

李鸣透露，区块链相关团体标准将逐步出台，其中安全层面的标准将是重中之重。

代码审计在区块链的安全事件中，大多都是由于源代码存在漏洞而使黑客趁虚而入。智能合约受到区块链本身保护，所以智能合约代码可以最大限度的开源和让人阅读。但是代码的公开性使得黑客容易掌握代码的缺陷，进一步利用代码缺陷触发条件改变智能合约执行结果，使得区块链项目存在巨大的经济隐患。所以智能合约代码的开源性需要代码的高可靠性，这种可靠性要求100%的正确。

但是，对于程序员来说，写一个完全没有漏洞的代码实在是太难了，即使采取了所有可能的预防措施，在复杂的软件中也总会出现没有预料到的漏洞。所以，代码审计的重要性不言而喻。

代码审计，顾名思义就是检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范的地方，通过自动化工具或者人工审查的方式，对程序源代码逐条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议。

代码审计对于区块链的发展具有重要意义：一方面，代码审计可以节约安全投入，降低修复成本。研究表明，当应用发布后再执行代码修复，修复成本大约是设计编码阶段的30倍。所以，变被动防护为主动防御，从源头上控制安全隐患，可以最大程度节约成本；另一方面，代码审计可以降低系统安全风险。通过代码审计及时对代码层缺陷进行修复，从而大幅度提升系统整体安全性，避免巨额经济损失。

越来越多的区块链安全事件正在倒BI代码审计的发展。目前，智能化代码审计，即利用计算机进行稳健性检验是代码审计最重要的方式，但掌握该项技术标准的国内公司并不多。代码审计亟待进一步普及与发展。

什么是代码审计

源代码审计（Code Review）是由具130备丰富9370编码经6165验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。

源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷，从而让开发人员了解其开发的应用系统可能会面临的威胁，并指导开发人员正确修复程序缺陷

最近，随着YFI的推出，去中心化金融(DeFI)出现了一个趋势，即发布未经代码审计的项目供用户访问。但正如我们从Yam Finance的事件中看到的那样，在项目的智能合约中发现的bug会对未经审计的项目的用户和投资者造成经济上的损害。

虽然审计绝不意味着项目的完全安全，但正如Hegic的bug所表明的那样，智能合约审计师在生态系统中继续发挥着重要作用。通过让第三方审计师仔细检查代码并采取行动修复漏洞，项目向其用户发出信号，表明他们认真对待资金的安全性。

在这篇报道中，The Block对加密货币审计公司的数据进行了研究，并特别关注了DeFi项目，因为在当前的环境下，大部分用户资金都流向了那里。我们还研究了DeFi项目设立的bug赏金计划。我们的数据集由68个DeFi项目组成，这些项目已经处理和管理了数十亿美元的加密货币。

DeFi审计机构

根据我们的研究，至少有29家网络安全公司为加密货币项目提供审计服务，并延伸到DeFi项目。按审计的项目数量计算，领先的DeFi审计机构是OpenZeppelin、TraiofBits和ConsenSys Diligence。certik.

这三家审计公司总共审计了我们数据集中一半以上的项目。在我们的数据集中，每家公司单独审计了近五分之一的项目。

DeFi项目聘请的审计师平均人数约为两名。下图显示的是已经聘用了三个或更多审计师来检查其项目的项目。Gnosis以最多样化的审计师队伍领先。拥有一套多样化的审计师可以使项目获得不同审计师所特有的更广泛的技能组合

但是这背后有俩问题：项目方要直接跑路呢？大家赚的是谁的钱？项目方跑路和代码是挂钩的，这也和18年的交易，有着本质上的区别，只要代码在，稳定币体系就会正常流转，币就在。

很多人根本不怕项目方跑路，反而怕项目方“做事情”，一旦推出新版本，就会让老版本的币种贬值，只要代码安全性合格，保证去中心化的机制，项目方也拿这些币没办法。当然最怕的是代码不合格，最后币全让黑客端走了，比如YAM深夜爆出漏洞，目前还调整呢。

基于以太坊的一DeFi项目YFV发文称遭到勒索。攻击者利用staking的合约漏洞，可以任意重置用户锁定的YFV。并表示，此次事件可能和不久前的“pool0”事件相关，勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。成都链安分析称，合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押，此函数中的 lastStakeTimes[stakeFor] = block.timestamp; 语句会更新用户地址映射的laseStakeTimes[user]。而用户取出抵押所用的函数中又存在验证，要求用户取出时间必须大于lastStakeTimes[account]+72小时。

本次事件的根本原因在于，没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。根据成都链安在代码审计方面的经验，个别项目方在进行代码审计时，未提供完整的项目相关资料，使得代码审计无法发现一些业务漏洞，导致上线后损失惨重。在此提醒各项目方：安全是发展的基石，做好代码审计是上线的前提条件。可想而知项目上线之前做好代码审计工作有多重要！

针对于本次事件，究其根本原因，还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。