DeFi創業者經驗談：如何選擇安全審計商 該有怎樣的“審計觀”_DEF

PANews特約作者：Leo，DeFi項目聯合創始人

在加密行業中，審計是保證項目完整性和安全性的不可或缺的部分，細心觀察不難發現，比較優秀的項目諸如Lido、Compound在審計方面的投入是7位數美金起步的「天文數字」，并且往往會就同一批產品代碼，雇傭多個審計服務商介入審計。

這一方面可以看出DeFi夏天以來，鏈上頭部業務/產品所獲頗豐，有充足彈藥持續打出，構筑更縱深的競爭壁壘；另一方面其實也為同行中的諸多項目、創業者展開了審計的一個切面：審計工作并不會只是「花錢-雇人-出報告-宣發」的流程化簡單工作，而是應該有一套完整的「審計觀」和方法論——什么樣的產品交付需要審計？如何挑選供應商？如何最大程度確保審計工作的有效醒？怎樣可以最經濟實惠又安全完備地完成審計工作？

筆者將在下邊的文章中，結合自身經驗，從具體做項目，搞創業的角度出發，與各位讀者討論下我心中理想的「審計觀」是如何。

審計供應商的可選性在近2-3年的光景中可謂是噴涌式增長，盤點下來市面上比較常見的審計供應商大概有15-20家左右（排名不分先后）。

灰度：DeFi的資產現在的價值占標準普爾指數4.2萬億美元市值的2.6%:金色財經報道，灰度發布《灰度DeFi入門》報告，報告指出，DeFi機器人顧問的回報自動化戰略正在推動資本市場的效率，這在DeFi的開放銀行業務之前是不可能的。在DeFi的開放式銀行數據API之前是不可能的。DeFi使任何人向全球任何地方有互聯網連接的其他任何人提供這些服務。顛覆了金融行業。DeFi的市值在兩年內已經上升到約900億美元。DeFi的資產現在的價值占標準普爾指數4.2萬億美元市值的2.6%。然而，卻在8萬億美元的全球銀行業中僅占1.6%，DeFi仍處于早期階段。如果這種增長速度能夠繼續下去的話。這將是所有美國商業銀行存款的1%，或使DeFi成為美國第18大資產銀行。[2021/12/30 8:13:34]

就筆者經驗和其他同行的交流，國內的 Peckshield、SlowMist, 海外 Trail of bits, OpenZeppelin的綜合美譽度、技術能力和覆蓋完整度屬于第一梯隊。

整體上，華人主導的供應商（主要是第一行）仍然是加密行業中文項目的主要選擇，時差為零且語言暢通，報價上也比較高性價比，國產供應商的報價基本上是12K-15K USD/人/周的水平，隨著市場的淡季/旺季會有所波動；

21世紀經濟報道：大型銀行擁抱聯盟鏈，中小機構青睞DeFi:21世紀經濟報道刊文稱，隨著區塊鏈技術日益發展，金融機構對其應用方向的選擇正悄然分化。眾多大型銀行正積極擁抱聯盟鏈，通過聯盟鏈技術拓展供應鏈金融、基于信用證的跨境支付、大宗商品交易結算、票據融資等業務；相比而言，眾多中小金融科技機構則借助DeFi技術興起的東風，紛紛布局基于去中心化架構的數字貨幣抵押融資、信貸、保險、支付等新業態。此外，文章表示，值得注意的是，無論是大型銀行機構，還是涉足DeFi研發的中小金融科技平臺，都將資產、數據上鏈交易，視為今年區塊鏈+金融業態變革發展的重要突破口。[2021/1/12 15:56:11]

相比之下，海外的供應商在中文行業存在度比較低，但這些供應商或因品牌溢價，或因創始團隊資源關系，或因覆蓋度/技術能力，普遍定價還是明顯高于華人供應商，基本上是1.5-2倍的報價差異，并且往往能夠出一批巨額的訂單，譬如OpenZeppelin曾經被Compound以單季度上百萬美金的價格聘請進行審計。

與市面上主流的審計供應商平行存在的還有一類服務商，諸如Immunefi、PwnedNoMore。筆者定義為「白帽社區」，在傳統的安全圈子中應當屬于比較成熟的業態，在加密行業中，屬于新近兩年冒出來的，不過依然吸引了不少項目進駐采用，基本的運作模式就是項目方去該平臺發布希望被審計/debug的模塊（前端、后端、合約等），定義bug的嚴重度以及對應的賞金，以期吸引「白帽」主動report bug，解決問題。這種形式應該視為「公司制審計商」的一種有益補充，須要項目方能夠精準，清晰有效地定義bug的分類、層級和需要對方覆蓋的范圍，并大方地給出懸賞金，往往能獲得意外的驚喜。

HBTC Chain負責人：DeFi是公鏈生態的重要組成部分，可以促進公鏈的真正發展和長期價值保障:金色財經報道，在10月21日舉辦的《金色百家談 | HBTC Chain打造跨鏈Dex解決方案》的直播節目中，HBTC Chain負責人Cody表示，DeFi對于公鏈的重要性不言而喻，優秀健康的DeFi會是公鏈的護城河，以太坊就是最好的案例。從公鏈的發展來看，最先大家講究的是共識算法/擴展性/性能等，最后，我們逐步公鏈的競爭來到了生態之爭，DeFi就是公鏈生態最好的補充之一。以太坊之所以是以太坊，更多的是以太坊上有足夠多的生態應用來支撐其價值，形成了事實上的公鏈絕對領先地位。DeFi是公鏈生態的重要組成部分，是能夠真正推動公鏈做更多可以實際落地的應用，可以促進公鏈的真正發展和長期的價值保障。個人認為，DeFi是完全不同于以往的ieo/ico之類，是實實在在的去促進數字資產的價值轉換，對于公鏈來說，支持DeFi是公鏈應用落地的必然趨勢。[2020/10/21]

對于項目方而言，首次要請審計商review前，需要一定的設計和安排，一般建議要保證做到這幾個點：

1-送審的代碼在內部要進行過2輪以上的測試，如果時間允許，最好是再有一輪社區的公測后再送審，避免「顯而易見」的問題需要付費解決；

IOST戰略投資去中心化金融項目RAMP DEFI 并達成深度合作:據官方消息，IOST與Alameda Research, ParaFi Capital, Arrington XRP Capital, Torchlight Ventures, Signum Capital, Blockwater, Ruby Capital, MW Partners, LayerX Capital和MoonRock Capital等基金共同私募投資了去中心化金融項目RAMP DEFI 。除戰略投資外，IOST還與RAMP DEFI達成了深度合作，將共同打造繁榮的DeFi生態。據悉，RAMP DEFI推出TVU (Total Value Unlocked) 的概念來衡量在DeFi生態中解鎖出來的流動價值，即將于2周內進行公募。[2020/8/24]

2-送審的代碼要盡量確保按照項目方的milestone，批量打包，一次性交付審計，避免拉高成本；

3-確保送審的對接人清楚產品整體的運行原理、大致的代碼量以及主要模塊的分布，避免在initial setup階段需求傳達不清，給項目拿回一份不合適的報價單；

DappRadar公關總監：即將推出的ETH 2.0驅動DeFi越來越受歡迎:金色財經報道，DappRadar公關總監Jon Jordan在接受采訪時表示，去中心化金融（DeFi）越來越受歡迎的部分原因是，人們對Ethereum 2.0的發布抱有極大期待。Ethereum 2.0將從根本上解決DApp在以太坊鏈上面臨的主要兩大問題，即高昂的Gas費用和交易擁堵。[2020/6/24]

4-排期要比較，重要產品節點有必要付費鎖定排期。

盡管市面上的供應商諸多，但是每家的排期差異巨大，送審人有必要就同一段代碼向至少3個審計商發出評估請求，獲得排期、報價和工作量評估，重要的產品節點務必預付費一部分（一般建議30%-50%），鎖住審計商的排期，避免影響進度。

就筆者的經驗，中文供應商的預約建議至少提前2-4個周（相較于希望報告產出的日期），海外供應商的預約至少提前1個月（這里主要是考慮時差、對接人轉介以及老外普遍不996的耗時）。

在秉承上邊的送審原則后，確定排期、報價，項目代碼交付審計商開始review，過程中，比較負責任的審計商一般都會就review中的疑問和項目方進行討論，具體的對接人 & 項目方的技術人員有責任也有必要多和審計商溝通排解問題，對接人在過程中須要確保：

1）審計的中間進度如期進行；

2）審計商提供的初版審計報告須要讓項目團隊中的2位不同技術人員去交叉review，再同步審計商定稿與否；

3）審計對接人要做好勾聯同步的作用，確保本團隊關鍵技術、產品人員，與審計商中實際進行代碼review的人建立群聊，而不是被動地等待審計商出報告和簽字；

4）[錦上添花]對接人能夠在審計過程中對市面上其他家審計商發的「安全事件review報告」保持關注，對可能匹配自家項目的情況，主動提出和審計商溝通，前置地把可能沒覆蓋的問題給debug。

審計公司大多能夠完成的工作是代碼本身的質量、邏輯、安全性是否完備、十足，對于代碼和業務關聯觸碰很少。往往會出現代碼邏輯/安全性上調整到位了，業務邏輯受到了影響的情況。

譬如對于合約權限升級，費率調整、token增銷等關鍵module，從業務早期發展來說，其實需要一個項目方內能做決策的core member單簽控制，應對市場變化/突發安全事件及時調整，而不是一味地追求多簽控制，影響危機時刻項目的應變能力。

合理的「后門保留」/「超級權限」不僅事關項目，亦可能攸關行業生死，試想，如果BitMex不曾拔網線，Circle不曾停贖回，BNB Chain不曾「停鏈維護」，行業如今又是什么光景？

審計商的服務只能debug而不能確保100%安全，安全事故總有可能在某個點引發。

一方面項目方要主動和審計公司溝通，商討如何處置（可能是賠付、免費二審、退款，或者其他方案）

另一方面，每一個安全漏洞的發現 & 補足其實也都事關行業整體的進步，在不涉及項目方關鍵商業利益的情況下，鼓勵所有項目方積極與審計公司一起，公開化地recap每個類似的問題，能更好地讓行業共享一套更高的安全標準，其實也是在長期地降低每家項目方審計的成本。

審計是一場曠日持久的資金戰爭，是項目方競爭的重要壁壘。

一方面應該在每一個產品的milestone之間都持續地投入資金，雇傭知名、可靠的外部審計商來覆蓋可能的安全漏洞；另一方面也應該重視社區的力量，鼓勵諸如Immunefi、PwnedNoMore這樣子白帽社區介入項目的安全buidl。

筆者曾以約30K美金的賞金，成功請到以為社區中的白帽人員，debug并協助修復部署了一個托管百萬美金的合約。

少另辟蹊徑，多復用成熟合約，也是降本增效的好手段。

加密行業的創業門檻已然大幅提高，數百萬美金的融資額即使在眼下的市面上，也屬于屢見不鮮的存在。從前邊的討論可以看出，要真正支撐一整套可靠、安全、穩定的dApp非常困難，哪怕是Compound、Lido、Uniswap等行業頂流應用也無法保證十足安全。

所以，從成本集約的角度觸發，每個初創項目在合約、模型的選用上要最大可能嵌套入已有的成熟設施，避免另辟蹊徑，常見的DEX、Lending、收益聚合器、流動性質押 & 再質押，乃至衍生品交易、合成資產等品類，其實都有一批成熟、可用的基礎設施給新晉項目方復用、嵌套，這在給項目方降低安全成本的同時，也有效地增強了項目本身的安全性，并且能夠確保系統的安全隨著復用對象的升級而進化。

從行業的整體角度來講，要做到十足的安全，其實需要市場上所有主體的參與和貢獻。

對于審計商而言，1）防范項目的小心思。部分項目的常見操作是把真正去審計的代碼，和面向社區交付上線的代碼搞成兩套，這樣子審計商其實是白白掛了牌子和責任，所以在項目正式部署后，一般建議審計商再去二次查驗下實際版本的代碼；2）有必要探索和「保險」的結合，對于采購服務到一定量以上的客戶，理應在安全事故發生后有賠付機制，保障項目方的權益；3）更廣泛地和同行公布審計案例經驗。審計商其實和醫療行業類似，整體的進步一方面依靠長線的技術、科研投入，另一方面高度依賴案例量的積攢。從這個角度看，時常被用戶調侃的「PR式審計」其實也是推動行業進步的一種動能，至少更多的審計案例被行業共享。

對于用戶而言，1）冷熱錢包分離，專門dApp用專門的錢包地址，常常清理陌生授權，不操作莫名的空投token等，degen的時候永遠要安全生產；2）高凈值的用戶有必要養成常常翻閱各家審計商公布的安全事件報告的習慣，對常見的安全風險做到心中有數。

PANews

媒體專欄

閱讀更多

金色財經

澎湃新聞

金色薦讀

金色財經 善歐巴

鏈得得

LD Capital

深潮TechFlow

Odaily星球日報

Foresight News

BTCStudy

iBox

Tags：EFIDEFDEFITALBlaze DeFiPeakDeFiBrainaut Defital幣怎么樣

LTC