網(wǎng)上有人曬自己收到的Defi空投。自去年Uniswap開啟了空投價(jià)值上千美元的代幣先例后,后續(xù)的一些項(xiàng)目也在延續(xù)空投操作,這一度將Defi熱浪再推至高潮。
根據(jù)Coingecko數(shù)據(jù)顯示,目前Defi總市值已達(dá)900多億美元,市場(chǎng)發(fā)展迅速。隨著幣安BSC和火幣Heco鏈的崛起,市場(chǎng)上涌現(xiàn)了許多新的項(xiàng)目,例如PancakeSwap、DoDo等,同時(shí)也推動(dòng)了國(guó)產(chǎn)項(xiàng)目的發(fā)展熱潮,并成就了國(guó)內(nèi)用戶的極大參與熱情。而BSC和Heco上巨量鎖倉(cāng)資金量就是其最好的證明。
但隨著資金量越來越大,用戶也越來越多,項(xiàng)目的安全問題也愈發(fā)重要。例如3月10日,有媒體報(bào)道攻擊者利用DoDo V2眾籌智能合約的漏洞竊走了380萬美元。雖然一時(shí)眾說紛紜,但安全問題卻刻不容緩。那針對(duì)項(xiàng)目安全,是誰做的審計(jì),審計(jì)的流程以及如何挑選審計(jì)團(tuán)隊(duì)呢?
1 .安全審計(jì)魚龍混雜:
當(dāng)幣安推出BSC時(shí),最初誰也沒想到,它會(huì)爆紅成為Defi的另一個(gè)溫床。接著火幣Heco鏈的爆發(fā)就順理成章了。這令人欣喜,它促進(jìn)了國(guó)內(nèi)Defi市場(chǎng)的繁榮和發(fā)展,但也令人憂愁,其繁榮的背后也意味著魚龍混雜。
因此,為安全上一道鎖的項(xiàng)目審計(jì)也相應(yīng)有廣闊的前景。例如Heco的造物主計(jì)劃中公布的上百個(gè)項(xiàng)目,它們要上交易所都需要合格的審計(jì)報(bào)告。而按當(dāng)前的市場(chǎng)發(fā)展,需要審計(jì)的項(xiàng)目遠(yuǎn)比想象的多。
區(qū)塊鏈安全審計(jì),事關(guān)“資產(chǎn)”安全,在這個(gè)專業(yè)性極強(qiáng)的領(lǐng)域,還是希望各位玩家,不要太兒戲,提供專業(yè)的服務(wù)“利己”,提供安全的保障“利他”,這才是安全行業(yè)健康的發(fā)展之本。
2.項(xiàng)目審計(jì)一般流程:
根據(jù)業(yè)內(nèi)審計(jì)公司慢霧和零時(shí)等公司官網(wǎng)顯示,項(xiàng)目審計(jì)流程雖略有差異,但主要流程相似。
當(dāng)項(xiàng)目需要審計(jì)時(shí),它的一般流程:業(yè)務(wù)溝通——項(xiàng)目評(píng)估——支付費(fèi)用——安全審計(jì)——修改復(fù)測(cè)——出具報(bào)告。
在業(yè)務(wù)溝通部分需要確認(rèn)對(duì)方的需求,例如主要審查什么問題,審查的代碼范圍等。一般常見的或者必查的問題都會(huì)在審計(jì)公司官網(wǎng)列出,例如以太坊智能合約的重入攻擊等幾十個(gè)小類審計(jì)項(xiàng)。
審計(jì)方會(huì)查看項(xiàng)目白皮書等資料再結(jié)合項(xiàng)目需求進(jìn)行評(píng)估,而后協(xié)商具體的審計(jì)內(nèi)容,定下協(xié)議并進(jìn)行確認(rèn),待項(xiàng)目方支付費(fèi)用后開始審計(jì)并給出審計(jì)報(bào)告。
有的安全審計(jì)公司后面還有整改復(fù)測(cè)部分,會(huì)對(duì)之前的問題進(jìn)行修改后的再次檢查,以避免相應(yīng)的問題是否修復(fù)以確保項(xiàng)目安全。
每個(gè)公司都有自己的風(fēng)格偏好,每個(gè)團(tuán)隊(duì)也有自己的行事習(xí)慣,但作為有經(jīng)驗(yàn)的團(tuán)隊(duì),都能根據(jù)需求,完成審計(jì)并出具合格的報(bào)告。
審計(jì)周期一般為3天-2周情況不等,這需要看審計(jì)團(tuán)隊(duì)的排單情況和代碼工作量等等;
3.作為項(xiàng)目方要如何挑選審計(jì)團(tuán)隊(duì)呢?
目前市場(chǎng)面上的主流審計(jì)公司并不多,例如知道創(chuàng)宇、慢霧科技、零時(shí)科技等。選擇審計(jì)團(tuán)隊(duì)可以看看技術(shù)核心(白帽子)團(tuán)隊(duì)構(gòu)成、以往案例、股東結(jié)構(gòu),以及相應(yīng)的合作伙伴。
知道創(chuàng)宇CEO趙偉是從美國(guó)安全實(shí)驗(yàn)室邁克菲(McAfee)離職創(chuàng)立知道創(chuàng)宇。而其聯(lián)合創(chuàng)始人楊翼龍,CTO兼COO是著名黑客,他參與編寫了《網(wǎng)絡(luò)滲透技術(shù)》。公司獲得神州數(shù)碼、騰訊百度聯(lián)合投資,還獲得騰訊的二度投資,得到了主流機(jī)構(gòu)的肯定和加持!
零時(shí)科技CEO鄧永凱,高校就讀于信息安全專業(yè),后進(jìn)入業(yè)內(nèi)著名安全上市公司綠盟科技工作,成為國(guó)內(nèi)安全圈頂級(jí)白帽子,專注漏洞挖掘與安全攻防,在這個(gè)領(lǐng)域從事近10年,零時(shí)團(tuán)隊(duì)同時(shí)也編著了書籍《區(qū)塊鏈安全與入門》;
從股東結(jié)構(gòu)來看,零時(shí)獲得四葉草安全、深圳互聯(lián)工廠、輝客資本等投資,資方之一的四葉草安全還獲得螞蟻金服投資,零時(shí)科技可以說是螞蟻金服的孫子輩兒公司。
慢霧科技創(chuàng)始人余弦,知名黑客,404團(tuán)隊(duì)Leader,曾打造了漏洞交易平臺(tái)Seebug、網(wǎng)絡(luò)空間搜索引擎ZoomEye,并且?guī)ш?duì)成功舉辦了知名黑客大會(huì)。作為一家較早進(jìn)入區(qū)塊鏈領(lǐng)域的安全公司,也是戰(zhàn)績(jī)卓越,很多項(xiàng)目的安全審計(jì)也是出自慢霧團(tuán)隊(duì);
雖然慢霧科技股東結(jié)構(gòu)比較簡(jiǎn)單,沒有什么BAT背景,但從領(lǐng)域經(jīng)驗(yàn)和專業(yè)度來說,得到了市場(chǎng)很大的認(rèn)可。
通過股東結(jié)構(gòu)、股東屬性和創(chuàng)始人對(duì)公司實(shí)力的調(diào)研,可以確認(rèn)其在技術(shù)能力方面是否能得到保障,畢竟像騰訊、螞蟻這樣的企業(yè)已經(jīng)幫大家做出了專業(yè)選擇,而且每個(gè)CEO的行業(yè)履歷是通過能力、經(jīng)驗(yàn)和時(shí)間可以得到驗(yàn)證的。
當(dāng)然,最終選擇與諸多因素有關(guān),例如審計(jì)時(shí)間、資金和審計(jì)要求等。不過,在自己的預(yù)算范圍內(nèi),盡可能選擇靠譜并專業(yè)的審計(jì)公司審計(jì)。因?yàn)檫@不僅關(guān)乎用戶資金的安全,更關(guān)乎項(xiàng)目生命的長(zhǎng)度。
行業(yè)正處于發(fā)展大行情中,項(xiàng)目如雨后春筍般涌現(xiàn),愿大家都重視安全,選擇到值得信任的審計(jì)團(tuán)隊(duì)合作,為資產(chǎn)損失降低風(fēng)險(xiǎn)。
免責(zé)聲明:市場(chǎng)有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買賣依據(jù)。
