TVBee: DEXX 被盜，Certik 的審計有沒有責任？外行如何查看審計報告？

2024-11-18 18:11:07 編輯： robot

導讀　　作者 | TVBee 　　➤首先來說，Certik 多少是有些問題的。　　第一，打开項目頁，首先是評分！一個審計機構，你評分是什么鬼？　　我們看審計報告，需要知道的是風險有多大，而不是項目或...

　　作者 | TVBee

　　➤首先來說，Certik 多少是有些問題的。

　　第一，打开項目頁，首先是評分！一個審計機構，你評分是什么鬼？

　　我們看審計報告，需要知道的是風險有多大，而不是項目或代碼有多好！

　　第二，上來還有項目亮點。而且你看 DEXX 這亮點都是啥？推特關注者數量、社群、還有市場穩定性。這和你審計業務有啥關系，就這能叫亮點？

　　第三，可是涉及到審計的關鍵問題時，點擊” 查看漏洞信息 “，然後接下來，不但沒有顯示漏洞信息，整個代碼審計這塊就沒了……不信的話大家可以自己去試一下，我也錄了個視頻。

　　第四，其實頁面上有 pdf 審計報告文件可以查看，但是位置不太明顯。另一方面，審計報告裏的風險事件情況不寫在頁面上，反而在頁面上寫一些與安全無關的亮點和評分……

　　➤其次，外行看審計報告，應該至少看一下風險摘要。

　　一般審計報告會把風險劃分爲致命的、主要的、中度、輕度、信息化幾個級別。

　　我們可以看一下每個級別有多少風險問題，有多少已經解決、有多少還沒有解決。

　　像 DEXX 這個審計報告上寫了，有 1 主要問題——中心化。

　　4 個中度問題——易受攻擊代碼。這個已經比較直白了。已解決 2 個，未解決 2 個。

　　4 個輕度問題——設計問題，已解決 1 個，未解決 3 個。

　　已解決就是已經解決了問題，已知悉，就是沒解決的意思哈哈。

　　這么說吧，審計報告沒問題，不一定真的沒問題。但審計風險摘要裏都有問題的，那確實是真的有問題的。

　　➤對比其他 DEX 的審計報告

　　❚ DYDX

　　既然說到 DEX，我們可以看一下著名的 DEX dydx 的審計情況。

　　DYDX 也沒有花錢請 certik 進行審計，而是由不同的代碼審計人員組成審計組進行非正式審計共 6 次。最近一次審計報告顯示：

　　共有：

　　中度風險 1 項，未解決。

　　低風險 6 項，2 個已解決，4 個暫未解決。

　　信息性風險 7 項目，7 個暫未解決。

　　❚ DeGate

　　再來看一個基於以太坊二層的DEXDeGate，2023年8月上线至今天，一共由3家審計機構進行代碼，包括TrailofBits、LeastAuthority和Secbit共進行5次代碼審計。

　　看一下最近一次的審計報告，審計機構是 Secbit。審計報告的地址。

　　中度風險 4 個，全部已經解決。

　　低風險 8 個，其中 5 個已經解決，3 個暫時未解決。

　　信息性風險 4 個，1 個已解決，3 個暫時未解決。

　　還有 4 個討論級別的風險，2 個已解決，2 個暫時未解決。這類風險應該是需要討論的，不確定是否存在問題。

　　沒有發現更高級別的風險了，剩下的最高風險是低風險。

　　DYDX 和 DeGate 審計的共同點是：

　　第一，都沒有花錢給 Certik 去 “ 鍍金 ”，而是由多個審計主體進行了多次審計，這樣可以相對更充分的發現代碼中的安全問題。

　　第二，審計報告發布在 Github 平台，而不是審計機構或項目方的官網，這樣可以看見審計報告文件的提交修改刪除等行爲，更公开更透明。

　　第三，這兩個 DEX 的審計報告中都沒有未解決的中度風險。根據審計情況都把風險控制在低風險級別下。

　　DYDX V4 和 DeGate 分別已經安全運行了 14 個月和 16 個月。

　　可見，無論是大型 DEX 還是中小型 DEX，都可以對比出 DEXX 的不安全。

　　➤寫在最後

　　作爲代碼小白的我們，聽說項目方有代碼審計，我們要打开審計報告看了一下。而不是聽項目方說有多少個安全性通過。

　　以 DEXX 爲例，雖然 Certik 把它的代碼排名在 10% 以內，但是它的評分只有 59.31 分。這說明 DEXX 實際的安全性可能更差。只要我們打开這份審計報告，什么也看不懂，起碼能看見 59.31 這個評分。再仔細往下看就會發現 “ 易受攻擊代碼 ” 的字樣。當時看過這兩個細節，估計我們也不會去使用這個 DEXX 了。

　　打开審計報告以後，即使英文不好，也可以查找 Medium 這個詞，找到風險事件摘要，看一下已發現的各級別的風險問題有多少個，多少已解決、多少未解決。

　　雖然代碼審計安全的項目不一定安全，雖然我們可能看不懂具體的代碼風險，但是發現風險級別較高的因素尚未解決，很可能說明項目代碼可能處於比較潦草的階段，還有待的完善安全性，我們在使用時要慎之又慎。

　　而參與審計的主體多、審計次數多，項目的安全性可能會相對更好一些。當然，也僅僅是相對安全。畢竟很多風險事件不一定是代碼層面上的。

　　提升安全性，我們的資產可以分散存儲，大額長期投資使用冷錢包。在應用的用戶端，手機電腦的環境保持安全性也非常重要，參與交易和持幣的瀏覽器、設備等與日常使用等進行隔離。在操作資產時，包括交易、遊戲等等行爲，要慢，要慢，要慢，仔細核對信息……