特约作者:Leo,DeFi项目的联合创始人
在加密行业,审计是保证项目完整性和安全性不可或缺的一部分。不难发现,丽都、复合等优秀项目的审计投入是一个7位数美元起步的“天文数字”,往往雇佣很多审计服务商介入同批次产品代码的审计。
一方面可以看出,DeFi夏天以来,链上的头部业务/产品收获颇丰,有足够的弹药继续发挥,构筑了更深的竞争壁垒;另一方面,它实际上对同行业的很多项目和创业者进行了一次审计:审计工作不会只是简单的“花钱-雇人-出具报告-宣传”的过程,而应该有一套完整的“审计理念”和* *——什么样的产品交付需要审计?如何选择供应商?如何最大程度保证审计工作的有效唤醒?如何以最经济、最安全、最完整的方式完成审计工作?
在接下来的文章中,笔者将从具体项目和创业的角度,结合自己的经历,与读者探讨我理想中的“审计观”是什么。
再看安全服务商,可以说近2-3年比较N家审计供应商的选择性迅速增加,市场上常见的审计供应商大概有15-20家(排名不分先后)。
就笔者的经验和与其他同行的交流来看,国内的Peckshield、SlowMist、海外的Trail of bits、OpenZeppelin的综合口碑、技术能力、覆盖完整性都属于第一梯队。
整体来看,以中国为主的供应商(主要是一线)仍然是加密行业中国项目的主要选择,时差为零,语言流畅,性价比相对较高。国内供应商报价基本在12-15美元/人/周,会随着市场淡季/旺季有所浮动;
相比之下,海外供应商在中文行业的存在感相对较低,但因为品牌溢价、创始团队资源,或者覆盖面/技术能力,他们的普遍定价仍然明显高于中国供应商,基本上是1.5-2倍的报价差,而且往往能够下一批巨额订单。比如OpenZeppelin就被Compound以每季度数百万美元的价格聘请去做审计。
与市场主流审计供应商并行的,还有一类服务提供商,如Immunefi、PwnedNoMore等。作者将其定义为“白帽社区”,应该属于传统安全圈里比较成熟的业态。在加密行业,最近两年才兴起,但还是吸引了很多项目入驻采用。基本操作模式是项目方去平台发布模块(前端、后端、契约等。)表示它要被审计/调试,并明确bug的严重程度和相应的奖励,以吸引“白帽子”主动报告bug,解决问题。这种形式应该算是“公司审计师”的有益补充,它要求项目方准确、清晰、有效地界定对方要覆盖的bug的分类、级别和范围,并慷慨给予奖励,往往会带来意想不到的惊喜。
审核流程,省钱指南* *对于项目方来说,在第一次邀请审核员审核之前,需要一定的设计和安排。通常建议确保达到以下几点:
1-提交试用的代码必须经过两轮以上的内部测试。如果时间允许,最好在又一轮社区公测后提交试用,避免出现需要付费解决的“明显”问题;
2-尽量保证提交审查的代码按照项目方的里程碑批量打包,一次性审计,避免提高成本;
3-确保提交审查的对接人员了解产品的整体运行原理、大致代码量和主要模块分布,避免在初始设置阶段需求不明确,拿回一个不合适的项目报价;
4-比较排期,重要产品节点需要付费锁定排期。
虽然市场上有很多供应商,但是每个公司的排产都有很大的不同。提交者需要向至少三个审计员发送同一代码的评估请求,以获得调度、报价和工作量评估。重要的产品节点必须提前支付一部分(一般建议30%-50%)锁定审核员的日程,以免影响进度。
根据笔者的经验,建议中国供应商至少提前2-4周预约(相对于预计报产量的日期),海外供应商至少提前1个月预约(这里主要考虑时差、对接人的引荐、外国人的时间消耗)。
在坚持以上提交评审的原则后,确定进度和报价,将项目代码交付给审核员开始评审。在此过程中,责任较大的审核员一般会与项目方讨论评审中的问题,具体对接人&项目方的技术人员有责任且需要与审核员沟通解决问题,对接人应确保:
1)审核的中间进度如期进行;
2)审核员提供的第一版审核报告要经过项目组两个不同技术人员的交叉审核,然后审核员是否定稿要同步;
3)审计对接人要做好链接和同步,确保团队的关键技术和产品人员与审计人员中实际进行代码评审的人员建立群聊,而不是被动等待审计人员的报告和签字;
4)【锦上添花】在审核过程中,对接人可以随时关注市场上其他审核员出具的“安全事件审查报告”,对于可能与自己项目相匹配的情况,主动与审核员沟通,对于可能没有覆盖到的问题,提前给予调试。
项目方要有明确的“偏见”,要留后门。审计公司能完成的大部分工作就是代码本身的质量、逻辑、安全性是否完备完整,对代码和业务关联的触及很少。通常,代码逻辑/安全调整已经到位,业务逻辑会受到影响。
比如合同权限升级、费率调整、代币销售增加等关键模块,从业务发展初期,其实就需要一个核心成员的单签控制,可以由项目方做出决策,及时应对市场变化/突发安全事件,而不是一味追求多签控制,这样会影响项目在危机时刻的应变能力。
合理的“后门预留”/“超权限”不仅关系到项目,更关系到行业的生死。想象一下,如果BitMex从未拔掉网线,Circle从未停止赎回网线,BNB链条从未停止链条维护,这个行业现在会是什么样子。
长期安全审计员的服务只有不断的沟通和分享才能调试好但不能保证100%安全,总有可能在某个点触发安全事故。
一方面,项目方要积极与审计公司沟通,商讨如何处理(可能是赔偿、免费二审、退款,也可能是其他方案)
另一方面,每个安全漏洞的发现&;补其实关系到行业的整体进步。在不涉及项目方关键商业利益的情况下,鼓励所有项目方积极与审计公司合作,公开重述每个类似问题,可以更好地让行业共享一套更高的安全标准,从长远来看,这实际上是降低了每个项目方的审计成本。
项目方决策层要有hakcer思维,重视对社区实力的审核是一场旷日持久的金融战,是项目方竞争的重要壁垒。
一方面,我们应该在每个产品的里程碑之间继续投资,并聘请知名和可靠的外部审计员来覆盖可能的安全漏洞;另一方面,也要重视社区的力量,鼓励Immunefi、PwnedNoMore等白帽社区介入项目的安全建设。
作者以约30K美元的报酬,成功邀请社区的白帽人士调试并帮助修复和部署了一份百万美元的合同。
使用更成熟的合同也是降本增效的好办法。
加密行业的创业门槛已经大大提高,几百万美元的融资额即使在现在的市场上也并不鲜见。从前面的讨论可以看出,要真正支撑起一套可靠、安全、稳定的dApp是非常困难的,即使是Compound、Lido、Uniswap等行业的顶流应用也无法保证完全安全。
因此,从成本密集的角度来看,每个初创项目在合同和模式的选择上,都应尽可能嵌入现有的成熟设施,避免另辟蹊径,如DEX、Lending、收益聚合器和流动性质押&等;再质押,甚至衍生品交易、合成资产等类别,其实都有多个成熟可用的基础设施供新项目方复用嵌套,不仅为项目方降低了安全成本,也有效增强了项目本身的安全性,并能保证系统的安全性随着复用对象的升级而演进。
从行业整体来看,要实现充分保障,实际上需要市场所有主体的参与和贡献。
对审计人员来说,1)预防项目的周密思考。一些项目的常见操作是将实际审计的代码和交付给社区的代码合并成两组。这样,审计人员实际上是把牌子和责任白挂了。因此,项目正式部署后,一般建议审计人员再次检查代码的实际版本;2)要探索与“保险”的结合。对于购买一定金额以上服务的客户,安全事故发生后应有赔偿机制,保障项目方的权益;3)与同行更广泛地宣传审计案例&;调试经验。其实审计师和医疗行业差不多。整体进度一方面依赖于长期的技术和科研投入,另一方面高度依赖于案件的积累。从这个角度来说,经常被用户调侃的“PR式审计”,其实是一种推动行业进步的动能,至少更多的审计案例被行业分享。
对于用户来说,1)冷热钱包分离,专用dApp使用专用钱包地址,经常清理陌生授权,不操作莫名其妙的空 token等。,并总是在德根时安全地生产;2)高净值用户有必要养成经常阅读各类审计机构发布的安全事件报告的习惯,从而对常见的安全风险有所警觉。
本网站声明:网站内容来源于网络。如有侵权,请联系我们,我们会及时处理。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信,我们会及时处理和回复。
原文地址"安全审计产品包括哪些,安全审计方式":http://www.ljycsb.cn/qukuailian/217669.html。
微信扫描二维码投放广告
▲长按图片识别二维码
