区块链预言机审计框架构建研究

| 高思凡

区块链技术（B l o c k c h a i n Technology，BT）方兴未艾，当下应用范围已从加密货币和数字资产交易逐步扩展至供应链协同、产融协作、政府管理等各个领域，区块链技术与实体经济深度融合，成为促进我国数字经济发展和数字化转型的新动能。区块链可以防止篡改发生于链上（On-chain）的经济交易、行为和事项的数据，但是无法防止篡改链下（Off-chain）数据或链上数据与链下实物的映射关系，链上虚拟世界和链下现实世界数据的连接需要通过一个中间件（Middleware），即预言机（Oracle）。预言机存在固有悖论：区块链上与现实世界交互的数据可靠性依赖于预言机的可靠性。可靠性是数据价值的灵魂，预言机悖论是区块链技术进一步扩散和应用的关键障碍（Balagurusamy等，2019）。针对区块链预言机进行审计可以对区块链下数据流程控制进行评估与测试，发现数据流程中的漏洞，改善数据系统性能，进而提高区块链上数据的准确性与完整性，增加区块链上数据的要素价值，推进区块链技术驱动数字经济高质量发展。然而，现阶段尚缺乏一套成熟、完整的区块链预言机审计框架，而如何构建该框架正成为信息系统审计与区块链技术应用交叉领域中亟待解决的重要问题。本文构建了以区块链预言机审计本质、区块链预言机审计目标、区块链预言机审计模式、区块链预言机审计环境为构成要素的预言机审计框架，本文的学术贡献在于：聚焦于区块链预言机审计框架建构，基于审计视角为解决区块链技术落地的障碍或瓶颈进行了有益的探索，奠定了区块链技术与实体经济进一步融合的基础。

一、文献回顾

图1 预言机工作流程示意图

当下区块链技术已与审计活动密切融合并引起了学术界的广泛关注，而关于“区块链+审计”的实践成果遥遥领先于理论研究，尚有大量问题亟待解决。事实上，目前针对“区块链审计”概念的认识尚未统一（徐超和陈勇，2020），易造成混淆，在不同语境下的含义可能大相径庭，一种理解为“利用区块链技术进行审计”，另一种理解为“对区块链技术进行审计”，前者强调在区块链环境下，利用区块链防篡改、可追溯等特点，赋能审计业务，提高审计质量和效率，而后者主要是针对用户已经构建的区块链系统进行审计，鉴证区块链应用系统的可靠性，两种审计方式具有本质区别。纵览已有文献，诸多学者已针对第一种理解开展了系统缜密的研究以及颇具新意的探索，但仅有少数学者就第二种理解进行研究和讨论。Kokina等（2017）讨论了区块链的技术风险，指出“四大”会计师事务所尚未创建工具或设计协议来审计区块链系统中存储的相关交易。Dyball和Seethamtaju（2021）借助半结构访谈，研究了被审计单位应用区块链技术后对审计风险和审计方法的影响。Appelbaum和Nehmer（2020）探讨了有关基于云的区块链会计系统的相关风险并设计了相应的审计思路。Alles和Gray（2020）指出，区块链中的数据在一些溯源、存证等非闭环的应用场景下存在“第一英里问题”，并强调依靠审计人员专业胜任能力以及职业怀疑精神能够缓解该问题。预言机是区块链系统中的重要组成部分，少数学者就区块链预言机的审计问题开展探索。Sheldon（2021）指出区块链系统中存在预言机问题，并将预言机视为被审计单位的服务机构，并在此基础上勾勒了相应的审计风险。Albizri和Appelbaum (2021) 指出，人易受到串通、贿赂、错误和欺诈的影响，因此无法彻底解决预言机悖论，为此他们设计了一个以物联网为唯一第三方参与者的区块链智能合约供应链业务管理模型。

综合来看，少数文献已涉足探索区块链技术的风险以及审计在其风险管理中的重要贡献，但目前针对区块链技术的风险仍缺乏一以贯之的审计逻辑。同时，预言机是区块链技术基础设施的重要组成部分，预言机的可靠性与区块链上数据的可靠性密切相关，零星的国外研究已涉足此领域，但尚未系统、深入讨论这一重要议题，而国内尚未有文献讨论此议题。有鉴于此，本文致力于开展有关区块链预言机审计方向的学术研究，以期为区块链审计实践以及区块链技术进一步扩散与应用提供理论与现实支持。

二、区块链预言机审计框架构建的现实依据

（一）预言机（Oracle）

区块链上的智能合约对链下数据往往存在交互需求。例如，贸易金融领域的智能合约必须获取区块链下与项目相关的文件或数字签名（Digital Signature）方可执行放款。但区块链的设计对象是完全的虚拟世界，链上智能合约无法自动接收来自现实世界的数据输入，因此区块链上和区块链下处于相对割裂状态。当智能合约的触发条件取决于区块链下经济交易、行为或事项的数据时，这些数据首先需要写入区块链内记录，这必须通过预言机来提供数据服务。预言机从现实世界中检索和认证经济活动的数据，将其提供至区块链上智能合约，在此基础上，区块链将验证是否符合合同条款的条件履行情况，以便智能合约顺利履行（John和Pam，2018）。Oracle（拉丁文Oraculum）起源于希腊神话，意指针对祈祷者发出的神谕或指预言本身的所在地。在计算机科学领域，预言机（单带图灵机）最早由图灵于20世纪30年代提出，本质是一个用于回答决策类或功能类问题的黑箱。区块链生态系统中的预言机是连接区块链上虚拟世界和区块链下现实世界的纽带，是实现数据互通的工具。区块链预言机可被定义为收集区块链下发生的经济交易、行为和事项的数据，临时存储，将数据转化为智能合约可以读取的格式后传输至指定的智能合约以通知其执行的第三方网关。理想情况下的预言机的工作流程如图1所示。当智能合约将请求发送至预言机，预言机利用区块链下的应用程序接口（Application Programming Interface，API）获得链下发生的经济活动的数据，之后再将相关数据传递至智能合约。实践中，区块链能够通过预言机连接至互联网、企业后端、云服务商、物联网设备、电子支付系统等各类链下场景。

（二）预言机悖论及其解决思路

预言机将现实世界中链下各类场景经济活动的数据输入至区块链中，以提供智能合约履行的必要条件，然而，如果区块链下数据在源头和写入环节不能保证真实准确，写入链上则仅仅意味着数据不可篡改，并未提高数据真实性以及准确性(徐忠和邹传伟，2018)，这不可避免地涉及到了预言机悖论(Oracle Paradox)。“预言机悖论”被定义为与现实世界交互的区块链上数据的可靠性依赖于联结链上虚拟世界和链下现实世界的预言机的可靠性。鉴于预言机的可靠性关乎其收集、记录、转换、传输至智能合约的链上数据的完整性和准确性，若预言机不可靠，则意味着链下数据被引入区块链时充斥着大量的信息风险，这将直接影响智能合约用户对区块链技术的信任程度，而用户必须信任区块链技术带来的安全及利益远大于伤害和成本，才有可能进一步应用及发展区块链和智能合约。因此预言机悖论能否解决关乎区块链技术能否与实体经济进一步融合以及区块链技术能否持续驱动经济高质量发展。

现阶段解决预言机悖论主要从技术角度出发，依赖三种路径：一是依赖以媒体为代表的中心化数据源，但媒体数据并不能保证完全真实，同时极大提高了中心化程度；二是将链下数据进行分布式处理（Distributed Data Processing），在博弈论激励机制下依靠集体决策，根据结果实施奖惩，但这并无法从根源确保决策的科学合理；三是利用共识机制，利用多个相互独立的预言机从同一数据来源采集数据，或同一个预言机从多个数据源获得某特定数据，以降低预言机通过单一数据源所采集的数据被操纵或不恰当管理的风险。在这三条路径下，用户通过声誉机制、博弈论激励机制抑或共识机制，虽然能够在一定程度上确保预言机有效运行，但上述手段毕竟属于预言机自身的内置控制范畴，还需要外部控制进行检查并对预言机内置控制失灵实施再控制，外部控制即为审计。除此之外，受到区块链用户自身能力等诸多因素的限制，用户自身往往难以对预言机可靠性风险水平作出准确评估，他们迫切需要在独立第三方的审计部门或机构的帮助下，合理保证预言机的可靠性状况。因此，审计有望在预言机悖论的解决中发挥重要作用，这亦为区块链预言机审计框架的构建提供了现实依据。

三、区块链预言机审计框架的构成要素

（一）区块链预言机审计本质

区块链预言机审计的本质是区块链预言机可靠性风险的控制机制。立足于自身的专业胜任能力和职业怀疑精神，审计人员将收集和评估与预言机可靠性相关的审计证据，针对预言机的可靠性状况开展审查和评价，发现审计问题及提出审计建议，将预言机可靠性风险控制在用户可接受的低水平，进而保障预言机收集、记录、转换、传输至智能合约的链下经济活动数据的可靠性，发挥“不在场可信任”或“消除不信任感”的效果，增加用户对区块链预言机的信任程度，从而为解决预言机悖论做出贡献。

一方面，预言机悖论中暗含了预言机存在固有的可靠性风险的假设，因此解决预言机悖论的关键在于控制预言机的可靠性风险。鉴于以下原因的存在，预言机存在固有的可靠性风险。(1) 预言机无法保证链下数据来源中数据的准确性。预言机只是解决数据在传输流程中可能会被篡改的风险，然而一旦数据来源本身出现问题，反馈至智能合约的数据同样是失真的。(2) 区块链固有的不可篡改性导致预言机修复安全漏洞的成本高昂。不可篡改性的劣势在于，一旦调用数据的智能合约出现了安全漏洞，将导致漏洞难以修复，而现有的修复措施往往缺乏可行性，例如社区以硬分叉的方式更新软件难以符合成本效益原则。(3) 智能合约源代码开源可能导致系统更容易遭受黑客的恶意攻击。虽然源代码开源可以令更多参与者投入漏洞修复及功能改进的工作，从而不断完善智能合约，但实际上大多数参与者明显缺乏足够的时间和精力去检查代码或逻辑漏洞，而且区块链的技术壁垒显著，一旦程序出现漏洞再进行升级或打补丁的难度巨大。区块链预言机的可靠性风险是制约区块链技术落地的最为棘手的障碍或瓶颈之一，如若不能将区块链预言机可靠性风险控制在一定水平，那么区块链上数据的准确性和完整性将存疑，区块链技术与实体经济深度融合发展等国家战略规划将可能“纸上谈兵”。

另一方面，过程控制论认为，事物在其发展过程中遵循着某种循序渐进的规律，而规律在于事物内部内置控制，而区块链预言机审计中的“控制”是一种外部控制，强调对预言机内置控制失灵实施再控制，旨在确保预言机沿其固有可能性空间内确定的方向或状态发展。区块链预言机审计通过查明预言机可靠性状况与既定标准的符合程度，监测预言机可靠性状况的变化，依据预言机循序渐进的规律对预言机的偏差行为下达纠偏指令，在此过程中，审计人员如有审计处理权即可对审计过程中发现的问题（即预言机不可靠的情形）直接实施反馈纠偏，审计人员若没有审计处理权，即通过审计报告反馈至区块链及智能合约用户，由用户实施纠偏，以此起到间接纠偏的效果，最终将区块链预言机可靠性风险控制在用户可接受的低水平。

（二）区块链预言机审计目标

1.区块链预言机审计的根本目标。按照层次不同，区块链预言机审计目标可划分为根本目标和具体目标。区块链预言机审计的根本目标直接反映了其终极追求，作为区块链预言机可靠性风险的控制机制，区块链预言机审计能够在增强用户对区块链技术信任程度、解决预言机悖论方面发挥重要作用，因此区块链预言机审计的根本目标是控制预言机可靠性风险，保障区块链上数据的真实、完整和准确，推动区块链技术进一步扩散与应用，最终促进区块链技术国家战略的实现，进而为实体经济和数字经济高质量发展增添动力。

2.区块链预言机审计的具体目标。基于数据流程的视角，预言机收集、存储、转换和传递链下经济活动的数据至智能合约及区块链时，审计人员需要就区块链预言机中针对数据流程的内置控制的符合性和有效性进行评价，因此，审计人员必须明确预言机数据流程中的相关控制点，例如，Sheldon（2021）系统剖析了预言机的11大控制目标。在此基础上，审计人员应当将相关控制点转化为具体审计目标。预言机数据流程可划分为两阶段，数据采集阶段以及数据存储、转换阶段分析，具体介绍如下。

（1）数据采集阶段的风险以及具体审计目标。预言机采集数据而非“生产”数据，因此预言机依赖不同的数据源并从中提取目标数据。常见的数据源包括硬件源（Hardware Data Source）和软件源（Software Data Source）。预言机通过软件源可以获取来自虚拟世界的相关信息，包括门户网站、搜索引擎、社交网络等渠道的图像、音频、视频等数据；硬件源可以获得来自现实世界的相关信息，包括热传感器、地理定位器、射频识别（Radio Frequency Identification，RFID）传感器等渠道的实物（例如，机器、生产线和库存物品）的条件状况、空间位置、所处环境、历史变迁等多元化数据。为了评估预言机可靠性风险，审计人员有必要了解以下问题。具体来说，预言机涉及的各方利益者有哪些，哪些资产是由智能合约持有的，用于执行智能合约的触发条件是什么，以及如何根据触发条件是否发生来分配资产？同时要考虑合约触发条件是否能够客观地加以观察和报告。

在此基础上，当从软件数据源收集数据时，审计人员需要了解用于向区块链提供这些链下数据的预言机，以及其被要求使用的软件源，具体审计目标应涵盖：预言机是否从所请求的软件源中获取完整且准确的数据，等等。当从硬件数据源收集数据时，在保证所收集数据可靠方面，本身存在着更多的风险需要解决。例如，审计人员需要评估硬件设备是如何调试的，有什么证据可以证明设备仍然附在预期资产上；基于RFID的电子标签技术可以实现对实物进行跟踪，但需要识别标签与实物是否一一对应。预言机如何观察和捕获目标事件，预言机如何在传输前临时存储数据，预言机如何避免数据在传输过程中以及设备维护或更换的过程中不被截获或操纵，具体的审计目标应当包括：硬件源是否附加并保持附加到预定资产（或留在指定的地理位置）；是否配置硬件源，以是否完整准确地捕获预期事件；是否定期对硬件源进行物理维护或更换，以防止数据采集存在问题或缺陷；预言机是否仅接受来自现用硬件源的数据（即不处理已停用的数据源的信号）；是否已禁止预言机对存储在硬件源中的数据作不当修改；预言机是否从指定的硬件源获取完整准确的数据，等等。

（2）数据存储、转换阶段的风险以及具体审计目标。对于预言机当下采集的数据，有必要评估预言机如何临时存储这些数据，以使其不会被不适当地修改。存储在预言机中的数据也可能需要转换为目标区块链及智能合约可读的格式，审计人员应明确在转换过程中原始数据是否能够保持真实性，并且明确转换后的数据是否仍然是完整的和准确的。当数据准备好传递至智能合约时，审计人员还需要评估预言机如何确定在条件触发时传递该数据（即在特定的日期、时间或以特定的间隔），然后评估传递过程的安全性。具体的审计目标可能包括：若未经授权，是否能够阻止或检测并纠正对预言机存储的数据的更改；预言机是否将原始数据完整准确地转换为智能合约可读的数据；是否能够根据任何协定的计时规范，将数据传输至智能合约；预言机是否建立安全连接至智能合约，以进行数据传输，使得数据能够在预言机和智能合约之间完整、准确与直接地传递。

鉴于预言机的可靠性关乎其收集、记录、转换、传输至智能合约的链上数据的完整性和准确性，若预言机不可靠，则意味着链下数据被引入区块链时充斥着大量的信息风险，这将直接影响智能合约用户对区块链技术的信任程度，而用户必须信任区块链技术带来的安全及利益远大于伤害和成本，才有可能进一步应用及发展区块链和智能合约。因此预言机悖论能否解决关乎区块链技术能否与实体经济进一步融合以及区块链技术能否持续驱动经济高质量发展。

（三）区块链预言机审计模式

“风险导向”是一种重要的审计理念或审计战略定位，区块链预言机审计无论作为常规业务审计的一部分，还是作为专项审计，都可以采用风险导向审计模式，在整个审计过程中正确运用审计风险的概念，收集和评价充分、适当的审计证据，将预言机可靠性的审计风险降至用户可接受的低水平。基于风险导向的审计思路，审计人员首先需要了解并且评估预言机如何收集、存储、转换、传输数据至智能合约，并充分研评预言机自身内置控制情况，以合理设计审计流程，通过评估固有风险（预言机因自身问题或环境因素而不可靠的可能性）、评估控制风险（区块链用户内控制度或措施未能及时防止或发现预言机不可靠的可能性）和尽量减少检查风险（审计人员未能发现预言机不可靠的可能性），以规划区块链预言机的审计工作。针对区块链预言机的专项审计过程大致可划分为三阶段：审计准备、审计实施以及审计终结，具体分析如下。

1.审计准备。审计准备的内容涵盖明确审计任务和重点、签订审计业务约定书、判断重要性水平、编制审计计划和具体方案等。具体来说，审计人员可以询问相关管理层，一方面重点关注预言机的总体情况、内置控制情况以及开发设计情况，了解应用区块链和智能合约用户的目的和运营策略等，另一方面重点关注用户区块链及智能合约风险管理状况，继而明确预言机审计相关的具体审计目标，选择部分预言机以备测试。为了有效实现审计目标以及合理使用审计资源，在制定审计计划时，审计人员应对预言机的重要性进行适当评估，对重要性评估一般需要运用职业判断，越是重要的预言机，就越需要获取充分的审计证据，以支持审计结论或意见。审计人员需要通过审前调查详细了解用户区块链、智能合约以及预言机的基本情况，明确审计目的，确定审计重点和范围，制定出相应审计实施方案。实施方案完成后，则需要根据方案来确定所需的时间、人员和测试所需技术，等等。

2.审计实施。审计实施的内容是通过对有关区块链预言机可靠性的审计数据进行采集、预处理、分析和可视化，开展控制测试与实质性测试，识别预言机可靠性风险，发现预言机漏洞，并对审计证据的充分性、客观性、合规性等方进行分析和鉴证。具体来说，审计人员应对照预期审计步骤，对预言机设计和运营的有效性进行测试，围绕预言机的具体审计目标，审计人员可以对区块链参与者进行额外的面对面交谈，询问相关情况；可以观察预言机的软件源、硬件源以及网络环境，对具体审计目标的实现进行实地查看；可以检查与区块链、智能合约以及预言机有关的文档，以此评估预言机的控制风险。一般来说，完善的数据源的数据质量能够得到较好的保证，审计人员需要考虑数据源遭受破坏且预言机无法发现的可能性。为降低检查风险，审计人员可以采用除传统审计方法之外的大数据审计方法，审计人员通过运用大数据采集、预处理、可视化等方法开展审计取证，对预言机审计疑点开展实质性测试，能够方便审计证据的确认和获取。

3.审计终结。审计终结的内容涵盖整理工作底稿、编制区块链预言机审计报告、执行审计决定以及促进审计整改。具体来说，审计人员应当记录所了解到与预言机具体审计目标、审计风险与审计预期之间的任何差距，审计人员整理、评价执行审计业务过程中收集到的证据，判断是否能够达到充分性和适当性的标准，在此基础上审计人员将对预言机可靠性状况进行评价和总结，形成审计意见，审计人员还可以提供建议，以解决在预言机的任何问题，最终完成审计工作。

（四）区块链预言机审计环境

区块链预言机审计的本质、目标与模式并非孤立存在的，而是寓于特定的内外部审计环境之中，审计人员有必要剖析审计环境因素所带来的影响，并且明晰自身审计资源的优势、劣势、威胁与机会，将审计本质、目标、模式与审计环境有机融合，唯有此才能更加准确地对区块链预言机可靠性风险进行控制。区块链预言机审计环境包括人才环境、组织环境、法规环境，等等，具体分析如下。

1.人才环境。“人是第一生产力”，审计人员若不熟悉信息系统审计的思维方式，不充分了解区块链以及预言机，区块链预言机审计的开展将步履维艰。审计人员应当具备解决预言机悖论的专业胜任能力，应掌握一定的区块链技术、编程基础、网络安全基础等专业知识，熟知区块链预言机针对数据流程的内置控制情况。除此之外，审计人员应洞察链下场景中各信息系统接口情况以及数据在各信息系统间转移时的相关风险，包括数据如何在独立网络之间安全地进行传输，例如，预言机可能使用专用的私人网络或通过公共网络中的虚拟专用网络（VPN）向智能合约传输数据。审计人员还应当定期接受相关培训，一方面需要加强有关智能合约编程的培训，以便合理评估智能合约与指定的预言机之间的联系，另一方面需要学习如何评估相关基础设施安全性，知晓与预言机相关联的硬件数据源和软件数据源的性质与特征。

2.组织环境。组织环境关乎区块链预言机审计的资源能否合理配置以及工作能否有效展开。有必要优化区块链预言机审计组织方式的顶层设计，增强审计组织方式的柔性与敏捷性，推动传统的垂直型审计组织进化、重构为适应区块链预言机审计的扁平化组织。例如，可以按技术专长划分不同类型的业务团队，如数据团队、区块链技术团队、信息系统审计团队，等等。其中，信息系统审计团队是核心与纽带，承担统筹全局、协调其他业务团队的职责，各业务团队互为补充、相互协调，有利于强化审计组织的信息沟通和协作配合能力，从而为审计目标的实现与审计模式的执行奠定基础。

3.法规环境。良好的法规环境是区块链预言机审计发挥作用的重要前提。现有法律、法规和审计准则尚未明确与区块链预言机审计本质、目标及模式相关的规定，因此区块链预言机审计的开展缺乏法规依据，而只有拥有符合其发展规律的法规支持，区块链预言机审计才有可能深入发展。对此，各方审计利益相关者应基于协同治理的理念共同努力，充分考虑区块链预言机审计所带来的影响，基于区块链预言机审计的本质、目标与模式，共同协商，以法律或规定的形式制定有关区块链预言机审计的基本要求、实施指南、能力标准、技术规范以及管理基准，等等，以此促进区块链预言机审计的标准化与科学化。

四、结束语

预言机能够为区块链和智能合约提供链下发生的经济交易、行为和事项的数据，其可靠性关乎区块链上数据的可靠性，鉴于区块链技术与实体经济日益融合的趋势，审计行业即将面临区块链预言机审计的需求与挑战，审计人员有必要首先了解预言机的相关概念以及预言机可靠性风险。本文抛砖引玉，初步构建了区块链预言机审计框架，但在区块链技术蓬勃发展的背景下，预言机仍有诸多审计问题需要考虑，审计行业有必要未雨绸缪，为自身进一步生存与发展奠定基石。本文是一项探索性研究，不足之处主要包括：（1）仅从宏观层面对区块链预言机审计问题开展理论构建，缺少更为生动的案例阐释；（2）仅勾勒了一个区块链预言机审计框架，未对其审计具体环节进行全面阐述。未来进一步研究方向：探求区块链预言机审计过程的细节，收集更为丰富的实务案例，从实践中提炼经验，并融入设计科学的理念与方法，力求提升区块链预言机审计理论研究的科学性与纵深性。