如何鉴别有技术实力的区块链安全审计团队?
网上有人晒自己收到的Defi空投。自去年Uniswap开启了空投价值上千美元的代币先例后,后续的一些项目也在延续空投操作,这一度将Defi热浪再推至高潮。
目前Defi总市值已达900多亿美元,市场发展迅速。随着币安BSC和火币Heco链的崛起,市场上涌现了许多新的项目,例如PancakeSwap、DoDo等,同时也推动了国产项目的发展热潮,并成就了国内用户的极大参与热情。而BSC和Heco上巨量锁仓资金量就是其最好的证明。
但随着资金量越来越大,用户也越来越多,项目的安全问题也愈发重要。例如3月10日,有媒体报道攻击者利用DoDo V2众筹智能合约的漏洞窃走了380万美元。虽然一时众说纷纭,但安全问题却刻不容缓。那针对项目安全,是谁做的审计,审计的流程以及如何挑选审计团队呢?
1 .安全审计鱼龙混杂:
当币安推出BSC时,最初谁也没想到,它会爆红成为Defi的另一个温床。接着火币Heco链的爆发就顺理成章了。这令人欣喜,它促进了国内Defi市场的繁荣和发展,但也令人忧愁,其繁荣的背后也意味着鱼龙混杂。
因此,为安全上一道锁的项目审计也相应有广阔的前景。例如Heco的造物主计划中公布的上百个项目,它们要上交易所都需要合格的审计报告。而按当前的市场发展,需要审计的项目远比想象的多。
区块链安全审计,事关“资产”安全,在这个专业性极强的领域,还是希望各位玩家,不要太儿戏,提供专业的服务“利己”,提供安全的保障“利他”,这才是安全行业健康的发展之本。
2.项目审计一般流程:
根据业内审计公司慢雾和零时等公司官网显示,项目审计流程虽略有差异,但主要流程相似。
当项目需要审计时,它的一般流程:业务沟通——项目评估——支付费用——安全审计——修改复测——出具报告。
在业务沟通部分需要确认对方的需求,例如主要审查什么问题,审查的代码范围等。一般常见的或者必查的问题都会在审计公司官网列出,例如以太坊智能合约的重入攻击等几十个小类审计项。
审计方会查看项目白皮书等资料再结合项目需求进行评估,而后协商具体的审计内容,定下协议并进行确认,待项目方支付费用后开始审计并给出审计报告。
有的安全审计公司后面还有整改复测部分,会对之前的问题进行修改后的再次检查,以避免相应的问题是否修复以确保项目安全。
每个公司都有自己的风格偏好,每个团队也有自己的行事习惯,但作为有经验的团队,都能根据需求,完成审计并出具合格的报告。
审计周期一般为3天-2周情况不等,这需要看审计团队的排单情况和代码工作量等等;
3.作为项目方要如何挑选审计团队呢?
目前市场面上的主流审计公司并不多,例如知道创宇、慢雾科技、零时科技等。选择审计团队可以看看技术核心(白帽子)团队构成、以往案例、股东结构,以及相应的合作伙伴。
知道创宇CEO赵伟是从美国安全实验室迈克菲(McAfee)离职创立知道创宇。而其联合创始人杨翼龙,CTO兼COO是著名黑客,他参与编写了《网络渗透技术》。公司获得神州数码、腾讯百度联合投资,还获得腾讯的二度投资,得到了主流机构的肯定和加持!
零时科技CEO邓永凯,高校就读于信息安全专业,后进入业内著名安全上市公司绿盟科技工作,成为国内安全圈顶级白帽子,专注漏洞挖掘与安全攻防,在这个领域从事近10年,零时团队同时也编著了书籍《区块链安全与入门》;
从股东结构来看,零时获得四叶草安全、深圳互联工厂、辉客资本等投资,资方之一的四叶草安全还获得蚂蚁金服投资,零时科技可以说是蚂蚁金服的孙子辈儿公司。
慢雾科技创始人余弦,知名黑客,404团队Leader,曾打造了漏洞交易平台Seebug、网络空间搜索引擎ZoomEye,并且带队成功举办了知名黑客大会。作为一家较早进入区块链领域的安全公司,也是战绩卓越,很多项目的安全审计也是出自慢雾团队;
虽然慢雾科技股东结构比较简单,没有什么BAT背景,但从领域经验和专业度来说,得到了市场很大的认可。
通过股东结构、股东属性和创始人对公司实力的调研,可以确认其在技术能力方面是否能得到保障,毕竟像腾讯、蚂蚁这样的企业已经帮大家做出了专业选择,而且每个CEO的行业履历是通过能力、经验和时间可以得到验证的。
当然,最终选择与诸多因素有关,例如审计时间、资金和审计要求等。不过,在自己的预算范围内,尽可能选择靠谱并专业的审计公司审计。因为这不仅关乎用户资金的安全,更关乎项目生命的长度。
行业正处于发展大行情中,项目如雨后春笋般涌现,愿大家都重视安全,选择到值得信任的审计团队合作,为资产损失降低风险。
责任编辑:小明