前两天,一个C字打头的区块链安全审计公司审计过的项目Merlin DEX卷款200万美刀跑路,在业内引起了不大不小的震动。从跑路节奏的掌握上看,这个项目方是懂跑路的:第一天,宣布完成安全审计;第二天,宣布达成200万美刀流动性TVL;第三天,卷款跑路 。而C审计公司给出的审计意见,竟然是安全无虞。
略显讽刺的是,就在M项目卷款跑路的同一时间,C审计公司的专访稿“对话Web3安全超级独角兽”放了出来。对话中,记者问到了2月份卷款300万美刀跑路的项目Orion Protocol,当时C审计公司给予的评分是满分。受访人给出的回答是,出事的代码没有提交审计,过错全在项目方想省钱,“对安全的重视程度还是不够。大家虽然在安全上花了钱,但花得还不够,应该做完整的代码审计。”因此受访人认为,是他们替项目方“背了锅”。
Stader Labs推出漏洞赏金计划,最高奖金100万美元:7月10日消息,流动性质押协议Stader Labs在Immunefi上推出漏洞赏金计划,赏金按照漏洞严重程度从 2 万美元至 100 万美元不等,主要面向协议智能合约方面。[2023/7/10 10:46:06]
但是真金白银的事儿,靠背锅甩锅毕竟不能解决。安全审计这个行当,至少面临下述四个方面的难题:
所谓安全审计这个事情,从逻辑上是不符合区块链精神的。区块链精神是什么?不要信任,要验证。但是安全审计所做的事情,恰恰是让用户不去验证,去信任审计公司写的审计报告。
是的,很多人会辩护说,大多数用户根本没有技术能力,自己又看不懂智能合约代码,而且就算懂一点儿,也很难有那么专业的安全知识,能够看得出来代码里的问题和猫腻。审计公司,就是用户的守护神,替用户审查了这些代码,避免了用户遭受损失的风险。
Green United创始人和推广者要求法院驳回SEC诉讼请求:金色财经报道,5月19日,被美国证券监管机构(SEC)指控的Green United创始人Wright Thurston和该公司主要推广者Kristoffer Krohn涉嫌出售价值1800万美元的假冒加密采矿设备而分别提出异议,并要求法院驳回诉讼,并在法庭上辩称SEC对加密货币没有监管权力,国会考虑并拒绝了SEC对加密货币的监管权力,SEC放弃了在拟议立法或规则制定方面的任何努力,而是选择试图通过诉讼来制定监管计划。[2023/5/23 15:20:51]
但是,一个始料未及的结果出现了。审计公司以它的专业性,拍着胸脯告诉用户没问题。这削弱了用户的风险意识,增强了用户的投机力度,最终给用户造成了更大的损失。
如果一个土狗项目,没有任何背书。你在冲进去的时候一定会哆哆嗦嗦,不敢投入太大——因为你生怕一不小心,土狗卷款跑路,或者代码bug,或者黑客盗币,凡此种种。但是现在,土狗还是那只土狗,可是却穿上了“黄马褂”,掏出了盖着几个红戳的安全审计报告。土狗你不认识,审计公司明晃晃的金字招牌你是认识的。于是你重仓梭哈。土狗跑路。你损失惨重。
李礼辉:数字人民币试点正在进入快车道:金色财经报道,中国银行原行长李礼辉26日在“2023青岛金家岭金融人才大会“上表示,数字人民币正走在发展的快车道上,而海外主要经济体法定数字货币进展较为缓慢。在改善跨境支付环境角度,数字人民币应该力争主导地位,这有利于推进普惠金融的发展。
与此同时,在国际范围内,数字美元和数字欧元等进展缓慢。李礼辉认为,应努力把数字人民币打造成全球最好的央行数字货币。这有利于推进普惠金融,也为应对虚拟货币对现行货币金融体系的冲击,而且有利于维护国家货币主权,也有利于提高我国在全球货币金融体系中的地位。[2023/2/27 12:32:18]
安全审计报告,就像一个隐形的杠杆,无形之中,放大了你的亏损。当然,也倍增了土狗跑路的收益。
回头再看一眼辩护词。审计公司真的是全心全意站在用户的立场上,为了用户的安全在审查那些代码吗?
ARK基金2022年12月7日至今累计减持936430份灰度GBTC:金色财经报道,ARK基金持仓数据显示,2022年12月7日至今,ARK基金累计减持936430份灰度GBTC。按当前价计算,价值近1千万美元。截止周五收盘,GBTC收盘报10.67美元。
值得注意的是,2022年12月7日至今,ARK基金没有增持一股GBTC。[2023/2/12 12:01:25]
若谁认为是。那么请问,谁付钱给审计公司?审计公司挣谁的钱?
拿谁钱财,替谁办事。你永远可以相信,屁股决定脑袋,利益决定立场。
就像靠车商养活的测评工作室不可能对用户全掏一片真心,而只会是更高级的营销工具,挣项目方钱的审计公司,屁股绝对不可能坐在用户这一边。说白了,它们的审计报告,不过就是一种更高级的市场营销材料罢了。
稳定币发行商Tether被法官要求提供支持USDT相关的财务记录:9月21日消息,作为纽约总检察长办公司起诉Tether发行USDT作为抬高比特币价格活动案件的一部分,稳定币发行商Tether已被美国法官要求提供支持USDT相关的财务记录,包括“总账、资产负债表、损益表、现金流量表和损益表”,以及Tether对其他加密货币或稳定币的交易或转移记录,包括有关时间的交易信息,法官还要求Tether分享其在Bitfinex、Poloniex和Bittrex持有的账户的详细信息。[2022/9/21 7:10:58]
更糟糕的是,车商毕竟最终还是要靠用户买它们的汽车才能赚钱,因此测评工作室也不能完全抛弃用户立场,但是Web3项目则不同,很多时候,营销就是它们唯一的“产品”,营销完毕,钱圈到手,就可以和用户说拜拜了。这种模式就注定了,审计公司的屁股必然就会坐的更歪,甚至沦为项目方的“帮凶”。
也许,正是这种心态,让审计在看到M项目的代码里赫然把用户存入的资金全部授权给项目方控制的时候,觉得这应该也没有什么问题吧。
若客观上注定了审计公司的立场必然偏向于项目方,那么主观上就无法撇清有意为之的动机问题而自证清白。
就像一个项目卷款跑路之后,拥有超级权限的项目方也很难自证,究竟是真的不小心泄露了私钥,还是监守自盗。监守自盗的话,一起分个赃,绝非不可能。又或者干脆黑吃黑。夜黑风高,套上黑衣,变身黑客。漏洞在心,屡屡得手。
即便是作为一个组织,没有作恶的动机,可是依然无法防范,经手的一线人员不会见钱眼开。
一个审计人员,看到代码有漏洞,告诉自己的小舅子,小舅子再把漏洞线索卖给X国黑客,这也不是不可能的事情。
道德风险如果有条件发生,它就总是一定发生。这个叫做“墨菲定律”。
谁最明白这种矛盾和纠结?当然是审计公司自己。
但是,放着白花花的银子不赚,那是自己智商有问题。毕竟,这世界上能够媲美看一行代码赚几十美刀的暴利生意,哪个不是需要把脑袋别在裤腰带上干的?
审计公司所做的,和项目方自己的测试人员所做的,从技术上讲,有什么不同?都是最大程度的保障代码的可靠性、安全性。但是费用成本上,可是天上地下。超高的溢价来自于什么?来自于它本就是披着技术外衣的营销。每100块里,1块钱是为技术付费,99块钱是为营销付费。Web3营销,就是用品牌站台,用专业包装,用报告喊单。目的很单纯,就是让韭菜大胆地把兜里的仨瓜俩枣全都掏出来。
这安全审计,解决的就是怎么解放思想、放开胆子大胆干的问题。
如果这一行有监管,有追责,这事儿它其实也应该是一个脑袋别在裤腰带上的生意。
2001年安然丑闻曝光,一系列追查、追责下来,为安然出具审计报告的全球五大审计会计事务所之一的安达信轰然解体。该抓的抓,该判的判。自此,“五大”永远变成了“四大”,直到今天。
这边风景独好,因为没有监管。看看今天很多Web3审计公司出具的安全审计报告,居然连审计员的姓名都不敢签上去进行公开披露。
那就更不要提,出了事要它们负责了。
参考资料:
- https://twitter.com/3orovik/status/1651380667710595074
- https://mp.weixin.qq.com/s/6VVhOn47jVCEo0UzjZb1nw
* * * 刘教链 出品 * * *
(公众号:刘教链。知识星球:公众号回复“星球”)
来源:DeFi之道
DeFi之道
个人专栏
阅读更多
金色荐读
金色财经 善欧巴
Chainlink预言机
区块律动BlockBeats
白话区块链
金色早8点
Odaily星球日报
欧科云链
深潮TechFlow
MarsBit
Since its inception, Bitcoin has been hailed by some as a revolutionary technology with the potential to transform th.
1900/1/1 0:00:00DeFi数据 1、DeFi代币总市值:464.01亿美元 DeFi总市值及前十代币 数据来源:coingecko2、过去24小时去中心化交易所的交易量15.
1900/1/1 0:00:00Ethereum 质押机制的现在和未来可以概括为以下四个方面: 市场领袖 最佳收益率 趋势 未来的催化剂 ETH 在 Crypto 中拥有最好的 Tokenomics.
1900/1/1 0:00:00主要观点 即使市场深陷寒冬,但 web3 游戏每天依然有八十万的用户。Web3 游戏正在逐步完善,从 DeFi 演变出的 Web3 游戏 ,到增强了叙事的 X 2 E,再到 AAA 游戏和元宇宙.
1900/1/1 0:00:00随着加密货币投资的兴起,也随之兴起。加密世界中最常见的局之一是rug pull。本文将从什么是Rug Pull,它的不同类型,以及如何识别和避免这些欺诈行为等方面展开介绍。 近年来,加密货币一直在掀起波澜,越来越多的人投资它.
1900/1/1 0:00:00由于BTC网络并不支持图灵完备的智能合约,因此自BTC诞生起,长期以来被用于点对点转账及价值储存外的其他场景并不太多.
1900/1/1 0:00:00