尽管越来越多的项目进行了审计,但黑客攻击和 Rug 事件仍时有发生。
撰写:Stacy Muur
编译:深潮 TechFlow
安全性问题在业内一直备受关注。尽管越来越多的项目进行了审计,但黑客攻击和 Rug 事件仍时有发生,人们开始怀疑审计是否能够真正保证智能合约的安全性。
在本文中,研究员 Stacy Muur 将与我们探讨审计在加密世界中的作用,分析已经发生的黑客攻击事件,并评估审计公司的成功率,从而对加密资产的安全性提供更深入的认识。
基于 zkSync 去中心化交易所 Merlin 被攻击,损失超过 110 万美元。该交易所通过 CertiK 认证,后者几乎监管了所有审计的 70%。这引发了一个问题:我们可以信任审计吗?
现在我们来研究一下已经接受审计的协议遭受黑客攻击的案例,看看安全是否得到保证 。
CertiK 约占 Web3 所有审计的 70%,REKT 数据库(该数据库包含超过 3000 条黑客记录)中发生负面事件的 33 家公司由他们进行审计。
此外,他们还审计了 DEX Merlin ,该交易所尚未被添加到该数据库中,因此成为其审计失败列表中的第 34 家公司。
在这份反向事件评级中,**PeckShield Inc.**在 CertiK 之后排名第二,有 18 起攻击和 RUG 事件的记录。
排名第三的是 DeFi Safety,他们经历了 12 起黑客攻击事件。值得一提的是,自 2021 年以来,他们没有审计过任何被黑客攻击的项目。
此外,我试图根据审计/黑客攻击比率编制顶级安全公司列表。为了构建这个列表,我利用了 Coingecko 对最佳审计公司的评级和前面提到的 REKT 数据库。
以下是排名:
*注:该表仅为博主自己整理数据,目前行业内暂无公允排名
值得注意的是,每个黑客攻击事件都应该根据其具体情况进行评估,并且上表不应被视为有关审计公司成功率的可靠信息来源,因为它过于笼统。
这是我研究的简单总结:审计不能保证安全。
在我的加密货币职业生涯中,我曾为十几家公司工作过,这些公司都进行了安全审计。在大多数情况下,内部开发人员都能发现关键漏洞。
通常,审计通过潜在漏洞的通用脚本进行。然而,每家公司都拥有独特的代码和架构,需要量身定制。一个月内进行一次深度审核是否可行?说实话,我对此表示怀疑。
一般来说,审计可以增加资金在合约中的安全性的概率。没有任何审计的项目更容易受到黑客攻击和 Rug。但是,请记住,没有人能够保证 100%的安全性。
https://twitter.com/stacy_muur/status/1651171507656331265
深潮 TechFlow 是由社区驱动的深度内容平台,致力于提供有价值的信息,有态度的思考。
社区:
订阅频道:https://t.me/TechFlowDaily
推特:@TechFlowPost
进微信群添加助手微信:blocktheworld