区块链是金融服务业中一项令人期待的新兴技术,它可以为处理广泛的金融交易提供一种更有效的方式。那么金融服务机构能够依靠它?内部审计团队可以信任它吗?毛球科技技术研究不认为,是可以的。
区块链和金融业
毫无疑问,区块链的概念已经吸引了金融机构、政府、公司等机构的广泛关注。让我们先回顾一下区块链实际上是什么,为什么它们很重要,以及如何使用它们。
区块链是跨点对点网络的分散的事务分类帐。让我们来分解一下这个定义。交易分类账只是一个可以记录某些东西的地方。区块链之所以是分散的账本,因为网络上的每个人都有自己的同步副本。
区块链允许多方确认交易,并将其记录在分散的、防篡改的分类账上.来源于PWC
Numen发布微软漏洞解析,黑客可通过该漏洞获取Windows完全控制权:6月9日消息,安全机构 Numen Cyber Labs 发布微软 win32k 提权漏洞解析。Numen 表示,该漏洞系 win32k 提权漏洞,是微软 Windows 系统层面的漏洞。通过该漏洞,黑客可获取 Windows 的完全控制权。
Numen 指出,win32k 漏洞历史众所周知。但在最新的 windows11 预览版中,微软已经在尝试使用 Rust 重构该部分内核代码。未来该类型的漏洞在新系统可能被杜绝。
此前报道,5 月,微软发布的补丁更新解决了 38 个安全漏洞,其中包括一个零日漏洞。[2023/6/9 21:25:55]
分类账之所以如此特别,可以追溯到基于应用密码学的技术上。想象一方希望将项目添加到分类帐,例如资产所有权转移时。该提议事务使用已知算法编码,并通知网络的所有成员。
每个区块链都有自己的“共识机制”。“每个人都使用相同的、已定义的过程来确认交易是有效的。一旦他们同意了,这些信息将被添加到永久记录中,并且新的分类帐条目则成为相关交易链中的另一个数据块。
Beosin:Avalanche链上Platypus项目损失850万美元攻击事件解析:2月17日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、 预警与阻断平台监测显示,Avalanche链上的Platypus项目合约遭受闪电贷攻击,Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用Platypus Finance合约的deposit函数质押,该函数会为攻击者铸造等量的LP-USDC,随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中,然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额,_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限,利用该返回值通过borrow函数铸造了大量USP(获利点),由于攻击者自身存在利用LP-USDC借贷的大量债务(USP),那么在正常逻辑下是不应该能提取出质押品的,但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的borrowLimitUSP(借贷上限)而没有检查用户是否归还债务的情况下,使攻击者成功提取出了质押品(4400万LP-USDC)。归还4400万USDC闪电贷后, 攻击者还剩余41,794,533USP,随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。[2023/2/17 12:12:32]
而且因为每个人都使用相同的数据工作,所以无法篡改事务记录。
1inch:分配给解析器激励计划的1000万枚INCH已启动发放:1月26日消息,DEX聚合器1inch Network表示,此前分配给解析器激励计划的1000万枚INCH Token已启动发放,旨在激励更多1INCH利益相关者将其UnicornPower委托给解析器,同时补偿解析器为满足用户的Fusion订单而支付的Gas费用。
据悉,每个解析器收到的Token数量将取决于其网络份额,预计每周将分发25万枚1INCHToken。此前消息,去年12月,1inch宣布推出1inch Resolver激励计划,旨在为补偿解析器为满足用户的Fusion订单而支付的Gas费用。该计划于2022年12月24日启动,总计将发放1000万枚1INCH Token。[2023/1/26 11:30:44]
潜在的用途
金融服务公司依赖于拥有特定资产的准确记录。为了确保各方就所有权达成一致,他们通常会寻求一个值得信任的“中介人”,如政府、银行、票据交换所或交易所。其中包括托管、清算和公司信托等功能。
奇虎360公开“基于联盟区块链的标识解析方法”专利:8月30日消息,北京奇虎科技有限公司、中国信息通信研究院日前联合公开一种“基于联盟区块链的标识解析方法、装置、存储介质及服务器”专利,申请日期为2021年4月29日,申请公布号:CN113315811A。天眼查App显示,该专利属于计算机技术领域。方法包括在第一对外节点接收到标识解析请求的情况下,从第一对外节点对应的本地数据库中查询是否存在与标识解析请求中的标识符对应的IPFS哈希值。
若未查询到IPFS哈希值,则基于标识解析请求向联盟区块链中除第一对外节点之外的其他节点发送第一查询请求;接收由联盟区块链中响应于第一查询请求的节点发送的IPFS哈希值,并基于IPFS哈希值通过第一对外节点访问IPFS服务,以获取IPFS哈希值对应的标识解析信息由此可有效提高对标识解析过程的安全性,保证通过标识解析得到的数据不易被篡改。(邮箱网)[2021/8/30 22:45:51]
除了以上功能,还有对账、确认、身份管理和其他步骤,以创建所发生事情的书面记录。所有这些都以时间、金钱等形式增加了中间摩擦成本。
直播|YOYO >普通人的财富密码全球经纪人解析:金色财经 · 直播主办的《 币圈 “后浪” 仙女直播周》第10期,本期由58COIN TOP天团组成,20:00正在直播中,本期“后浪”仙女58TOP女团超模担当 YOYO将在直播间分享“普通人的财富密码全球经纪人解析”,请扫码移步收听![2020/7/29]
区块链可以提供一种更有效的方式来处理各种金融交易,包括支付、衍生品、结算、证券、银团贷款和贸易金融的应用。
这些广泛的应用解释了为什么有这么多的概念验证项目。与此同时,技术人员不断遇到砖墙,因为这些潜在的好处都没有解决IA的担忧。让我们从他们的角度来看一下区块链。
内部审计经济的作用依赖于那些愿意投资和贷款的人的资本流动借用和建造。投资者和贷款人需要一种检测欺诈行为和促进问责制的方法。这是内部审计的职责:向董事会或其他外部利益相关者提供独立保证,确保管理层正在按照既定政策和风险偏好执行其职责。
该流程的工作原理是这样的:首先,管理创建了一组流程和控件,能够方便、无障碍地提供记录准确性。然后,确保IA测试系统是否正常工作,以及数据确认记录的内容。
此外,审计员与管理层合作,帮助改进流程和控制。最后,该公司进行了一次外部审计。一旦完成,利益相关方可以合理保证报告的真实性。
是什么让内部审计师在晚上熬夜
IA可能难以适应区块链应用程序有许多逻辑方面的原因,通过理解并解决这些问题,区块链可以获得更广泛的接受。例如:
区块链相对较新。区块链的第一步还不到10年,而且基于区块链的大多数应用程序时间都短于这个时间。相比之下,管理层目前所依赖的系统已经经过了几十年的测试,并有特定的指导和原则,可以让IA团队轻松上手。同时,审计团队可能还没有专业知识或对信任加密算法的系统的指导。
控制方式不同。因为区块链是一项新技术,所以它需要一种新的控制思维方式。审计员可能不排斥这样的改变,但他们需要考虑一些问题:谁控制区块链?谁可以访问权限?服务器在哪里?存在哪些物理控制和数字控制?由谁来监控活动?
缺乏专业知识。在PWC最近的一项调查中,86%的金融服务高管表示,他们的组织还没有开发出必要的区块链技能。很少有IT部门有相关的经验,甚至更少的公司拥有具有足够专业知识的IA团队来围绕技术和相关工作提供任何形式的保证。
开始很艰难。虽然区块链是因为比特币而名声大噪,但两者现在已经属于不同的两条道。对于那些没有密切关注的人来说,考虑到数字货币的一些早期问题,整个话题可能看起来很棘手。但分类账只是记录工具。一些IA团队可能明白,区块链现在使用了电子投票、跟踪知识产权和地址注册,但这些知识可能没有传达到他们的控制委员会。
区块链保证
如果一项技术要在商界获得广泛的认可,那么推广者应该承认并解决怀疑论者的问题。区块链是新技术,但它已经在逐渐走向成熟。
要让区块链获得更广泛的认可,才能明确表明IA的担忧已经得到解决。我想我们现在正处于这个引爆点。对于区块链保证,需要有一个真实、实用、经济高效的解决方案。
毛球科技预计区块链保证将包括以下步骤:
评估业务用例和所有利益相关者的需求。
评估底层加密学,包括如何管理私钥以及如何维护区块链引擎的安全性。这将包括审查正在使用的共识机制,以清楚何时应增加新的记录。
检查特定网络的设置方式、如何生成系统报告以及指导该网络操作的控件。这里需要记住一点,没有标准统一的区块链。有许多区块链系统,每个区块链都是独特的。
根据以上的方法,则可以消除内部审计员对分布式分类账的担忧。
案例研究:基于区块链的交易平台的内部审计
为了说明这一点,让我们看看资本市场行业中区块链保证。
一家公司被称为区块链服务提供商(BSP),已从事分布式分类账项目好几年。两年前,它推出了一个基于区块链的交易平台,使公司能够发行股票,将这些股票转让给投资者,然后支持二级市场交易,所有这些都不需要中介机构的直接干预。这个平台现在已经上线,解决了一个具有商业化潜力的真正的商业问题。
使用分布式分类帐记录资本化表是一个典型的区块链用例,但保证问题有一个转折。BSP的内部审计团队已经完全参与其中,但BSP还必须说服他们的外部审计师,他们的法律和合规团队,以及监管机构。毕竟,如果对资产出售时谁拥有资产有任何疑问,交易都可能会失败。该公司经营着股票和期权的电子交易交易所,还为全球各地的交易所、票据交换所、中央证券保管机构和监管机构提供市场基础设施。
为了解决潜在的问题,BSP的内部审计师与一个独立的、中立的第三方——一个区块链保证提供商(BAP)合作。BAP被要求评估交易所是否以一种交易员可以依赖于每笔交易的完整性和最终性的方式建立了其平台。在规划和风险评估阶段,BAP采取措施确认其独立性,并评估潜在风险。
为此,BAP利用了它对行业、技术、客户期望、法规等的知识。然后,它帮助设计了一种测试方法,并收集了数据。BAP评估了这项技术,并测验了它是如何连接到邻近的技术平台的。BAP还研究了控制环境:数据如何保护和访问,存在什么保护来防止篡改,等等。最后,BAP作为一个观察的成员加入了该网络,允许它实时审查和确认交易的有效性。实时审查发生的事情,而不是有选择地测试,这也与当前的审计技术明显不同。
前方的道路
现代金融服务业已经发展到包括一系列复杂的参与者和流程网络。
技术的转变现在使人们能够重新思考哪些关系有意义,以及它们是否仍有必要。
传统上,交易双方的公司都依赖于叠加的控制,以确保一切都做得正确。
还有选择性的事后测试,以确保控制装置已按预期工作。区块链可以通过减少中间过程的摩擦和实时测试一切,而不是以后测试一些东西来改变这一切。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。