近来,安全审计公司CertiK 被爆出内部人黑帽黑客行为,盗取Kraken 交易所300 万美金,震惊了整个币圈。审计师对于代码漏洞知而不报、内部人员监守自盗的行为,使审计公司的可信度再次成为市场焦点。
根据DeFiLlama,从2016 年以来总计有超过82.9 亿美元的重大遭骇事件(统计不包含个别事件),事后能追回的比例占极少数,由此可知有合约风险的项目得不到市场的信任,会进一步影响总锁仓量(TVL)、交易量和基本面。
本篇文章将介绍快速检验审计公司的方法论,并纵览加密产业中重要的8 间安全公司。
如何鉴定评断一间DeFi 项目的安全审计品质?
根据OKX Web3 钱包安全特刊第05 期,可以透过以下5 个检验标准帮助项目方找到理想的审计公司,对于用户来说也可用此法检验每个项目是否找到安全的审计公司。
-
核心人员的专业背景?
-
是否审计过知名项目?
-
之前是否有审计项目被攻击过的纪录?
-
审计公司是否有黑历史?
-
审计报告判断安全品质
前四点相对第五点较能快速实现,第五点则是要依赖长期阅读审计报告的经验,时间成本较高,但仅判断安全审计公司的核心人员背景、审计项目、黑历史等就可以找到足够多的insight,有助于短时间辨别各家审计的优劣。
纵览8 个必知的安全审计公司
Trail of Bit
Trail of Bit 成立于2012 年,是审计范围横跨人工智慧、机器学习、密码学、区块链、隐私技术的Tier 1 资讯安全团队。强调自己做的不是「安全审计」而是「安全估值」,团队认为以估值角度出发,更能全面地呈现出一个项目在程式码视角的价值。除了安全估值服务之外,Trail of Bit 旗下产品也包括手机防毒软体iVerify。
知名评估项目:
-
Apple 私有云计算(Private Cloud Compute,PCC)技术
-
公链/生态系:Solana、Cosmos SDK、Starknet、Polkadot
-
EVM Rollups:Starknet、Arbitrum、Optimism
-
DeFi:Elixir Protocol、Uniswap V3、AAVE、yearn、Balancer
-
预言机:Chainlink
ChainSecurity
ChainSecurity 是创立于2017 年的瑞士公司,过去审计过的顶级DeFi 数量众多,共同创办人均毕业于苏黎世理工学院(ETH Zürich)电机或资工研究所,创立以来一直与会计师事务所PwC Switzerland 保持合作关系,其中包括Tezos 基金会等的外部审计报告,直到2020 年PwC 出资收购ChainSecurity。
在Curve 2023 年7 月被骇之后,ChainSecurity 在第一时间也给予Curve 改版建议,并在2023 年12 月针对Curve 以及Vyper 程式语言(此事件的漏洞源头)发布完整的安全审计报告。
知名的审计项目有:
-
以太坊基金会EIP-4788
-
跨链桥:WBTC、Layer Zero、Polygon 官方桥、Polkadot
-
DeFi:1inch、Uniswap、AAVE、MAKER、Curve 三池、yearn
近期针对Tron 生态的RWA 项目stUSDT 以及SparkLend 的预言机功能发布安全审计报告
慢雾Slowmist
慢雾是业内顶级的区块链安全公司,从2018 年创立至今主导大量交易所、项目方遭骇事件的案件追查任务,2021 年8 月Poly Network 遭骇6.1 亿美元,在不到一天的时间内却主动归还,虽然官方指出具体原因,但有新闻指出是因为慢雾在事发之后快速掌握了骇客本人的电子邮件与IP 位置。
创办人余弦(本名钟晨鸣)本身非常积极于社群平台上分享资安相关知识,创立慢雾之前曾在资安公司知道创宇担任技术副总裁、404 安全实验室负责人、知名网络空间搜寻引擎钟馗之眼(ZoomEye)创办人,过去也曾主导大量抓虫、救火事件,同时也是【区块链黑暗森林自救手册】的编辑,从零开始教安全的链上交互技巧。
除了安全审计及资金追查服务外,慢雾科技也提供高效好用的币流追踪工具MistTrack,供用户快速分析地址。
CertiK
CertiK 创立于2018 年,共同创办人均为哥伦比亚或耶鲁大学计算机系华裔教授,团队成员及融资阵容都有华人背景,最近一期估值揭露高达20 亿美元,获得Tiger Global、软银愿景基金、高盛、红杉中国、等支持。值得注意的是,CertiK 曾发过代币$CTK,但后续代币经济学、路线图等规划不了了之,导致投资币权的人形同被骗,投资股权的机构也因CertiK 发币做得太难看而无法出场。
除了审计服务之外,CertiK 也建置数据、资讯网站,供用户研究项目的安全评分、团队成员背景、交易所安全系数与资产储备等功能。这些工具非常有效得提升CertiK 对DeFi 用户的知名度,然而在那之后开始被社群诟病CertiK 沦为「用光环包装且价格昂贵的盖章公司」
在2024 年6 月发生了CertiK 发现Kraken 交易所的程式码漏洞后先吃才报,被骇之后300 万元犯罪所得被转入Tornado Cash,事后虽返还资金并发布声明,但因未返还100% 、无法解释为何将资金投入混币器等,市场对其信心已明显下降。
知名审计项目:
-
Web2:Apple IOS 17、LINE Blockchain
-
Layer 1:SUI、TON、BNB Chain、Cronos
审计过后遭骇的项目:
-
zkSync era 生态的MERLIN DEX 遭骇180 万美元
-
Swaprum 在得到CertiK 的审计报告后几周卷款300 万美元
-
黑客组织Lazarus 入侵的Certik 审计协议比其他任何协议都多
BlockSec
BlockSec 是成立于2021 年的中国大陆团队,工程团队中核心人员如共同创办人周亚金及技术长Lei Wu均有高度相似的背景,也就是北卡罗莱纳大学博士班、360安全卫士研究员、浙江大学教职。
根据Linkedin,目前大部分资安员工毕业于浙江大学或就读该校博士班。
共同创办人周亚金拥有北卡罗莱纳大学计算机科学博士学位,毕业后加入防毒软体360 安全卫士担任高级安全研究员,而后创办BlockSec,目前同时也是浙江大学教授兼博士班导师。
除了审计服务之外,旗下产品也包括地址识别插件MetaSuites(前MetaDock)、币流追踪可视化工具MetaSleuth、白帽骇客团队Phalcon等工具,可以善用这些插件从etherscan 识别出钓鱼、诈骗、钻石手、特定币种大户等标签、实现可视化币流追踪、追踪项目方被骇事件。功能非常全面且使用门槛不高,受到许多用户及项目方青睐,如Symbiotic 近期发推文表示有人尝试使用Milady 进行再质押,便是使用Phalcon 浏览器
近期Manta宣布与Phalcon 合作,将Phalcon 的攻击侦测引擎(Attack Detection Engine)纳入Manta 自身的排序器当中,提高Rollup 韧性。
知名审计项目:
-
DeFi:PancakeSwap、LiNEAR Protocol
-
LRT:Mellow Protocol、Puffer Finance、Magpie
-
再质押:Octopus Restaking(NEAR 生态再质押项目)
-
跨链:PolyNetwork、Multichain、XY Finance、Radiant V2
-
EOS Network Foundation
值得注意的是,在BlockSec 于2022 年4 月对Multichain 的审计报告中可发现BlockSec 早已建议Multichain 不要将管控资金的权限过度集中,然后此建议没有获得项目方改善,最终Multichain 在2023 年7 月因创办人个人私钥泄漏导致所有资金遭骇。
Quantstamp
Quantstamp 总部位于美国洛杉矶,核心人员来自全球各地、组成多元,在公司成立之前已累积丰富资安经历,有Smart Contract Alliance、Tower Research Capital 背景。
CEO Richard Ma毕业于Cornell 电脑工程学系,并于2018 年参与过Y Combinator,本人多次参投许多项目如Ondo Finance、Astar、Spectral 等。
董事总经理Don Ho同时也是OrangeDAO 的co-founder,OrangeDAO 是由区块链创业者组成的DAO,有独立的创投基金及新创孵化器,过往曾参投Hinkal Protocol、0G、Analog、Mezo、Toku等项目
除了安全审计之外,Quantstamp 也参与部分一级市场种子轮投资,投过0G、Analog、Hinkan Protocol 等...
值得注意的是,TVL 高达23 亿美元,位居DeFi 项目第15 名的zk Rollup Zircuit 核心团队源自于Quantstamp,共同创办人Martin Derka、Jan Gorzny原本分别是Quantstamp 的新项目部主管(Head of New Initiatives) 以及L2 扩容部主管(Head of L2 Scaling)
Zircuit 目前于DeFillama Farm 分类为第一,接着为Swell、AlLayer、Pencils 等协议。
https://defillama.com/protocols/farm
知名审计项目:
-
L1/L2:ETH 2.0、Solana、TON、Avalanche、BNB Chain
-
Gaming & NFT:OpenSea、Parallel、Sandbox
-
DeFi:Maker、Curve、Lido、Ethena、Pendle、Puffer Finance
-
基础设施:ssv.network、Luganodes、Galxe
-
Web 2:VISA、Revolut、Sequoia、BitGo
派盾PeckShield
PeckShield 团队主要来自中国大陆,创办人蒋旭宪原本是360 安全卫士的首席科学家、北卡罗莱纳大学教授,有报导指出蒋旭宪过去曾是周亚金在该校的老师。从官网提供的审计对象可以发现,PeckShield 的客户有较多是亚洲背景
知名审计项目:
-
L1/L2:Avalanche、BNB Chain、polygon
-
DeFi:Maker、Curve、Gearbox、1inch、dYdX
-
基础设施:Starkware
-
跨链相关:Multichain、PolyNetwork
OtterSec
OtterSec 核心成员遍布全球,包括创办人Robert Chen在内工程团队核心成员过往是程式码漏洞赏金(Bug Bounty)平台HackerOne 的积极参与者。该公司参与了SUI、Solana 多个重要的基础设施及DeFi 项目。
知名审计项目(审计作品集)
-
SUI 生态:Navi、Scallop、Cetus、volo、Mysten zk login、Bluefin
-
Solana 生态:Solayer、Sanctum、Jito、Jupiter、Raydium、Pyth
-
跨链桥:Wormhole、LayerZero
-
基础设施:Celestia、Cosmos、NEAR、Solana
Code4rena - 审计赏金活动平台
Code4rena 是web3 安全审计竞赛平台,有别于传统审计服务与bug 奖励,它建立一套完善的奖励审核机制、吸引项目方创立bug 赏金奖池、促进智能合约民间好手参与审计,实现三方共赢的合作平台。
创立于2021 年,并在2023 年得到Paradigm 的600 万美元融资(以现金购入$ARENA )。共同创办人Scott Lewis同时是连续创业家与天使投资人,联合创立了DeFi Pulse、SlingShot 等项目,同时也是Canto 的核心贡献者。
现正活跃的Debug 奖池中,民间审计师可以共同瓜分上万元USDC,过去zkSync 在Code4rena 曾建立最高110 万美元的天价Debug 奖池。
知名参与项目:
-
DeFi:AAVE、GMX
-
基础设施:EigenLayer、Optimism 超级链、Chainlink、ENS
-
L1/L2:Base、Polkadot、Starknet、zkSync
-
DePIN:The Graph
-
NFT:OpenSea、Blur
小结
维持好审计公司的运作并不容易。 CertiK 曾于2021 年声名大噪,但我们却无法预期会发生憾事。同样在2024 的当下我们也难以发现哪些公司正面临相同问题,通常需要经历几次安全事件才能反覆验证。
除此之外,评估审计公司的失职与否不能仅依靠时序关系,而需详细检查审计报告内容。例如,BlockSec 早在Multichain 被骇一年前就指出其问题,但项目方未改进。
审查整份审计报告需要大量时间,但投资人的重心在于项目评价,项目方可以考虑与多家审计公司合作,以程式码安全性的保障更得到市场信任。
本文链接地址:https://www.wwsww.cn/btbjiaoyi/26390.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。