原文作者: Haotian(Twitter:@tmel0211),区块链安全从业者
本文首发于 2022 年 10 月,今日 zkSync 生态 DEX Merlin 流动性耗尽,黑客盗取 182 万美元资金。随后有读者发现,这个 Merlin 在上线前刚刚完成由 CertiK 进行的审计,虽然 CertiK 在报告中指出 Merlin 项目存在中心化问题,但仍没能避免安全问题发生,最终资金损失。
那么为什么通过审计的项目还会被攻击、Rug或者存在各种漏洞?区块链安全领域从业者 Haotian(
@tmel0211)在本文针对一些审计相关问题进行解答。
年底安全事件一个个接踵而至,黑客估计是怕市场熊的没钱了,以亿为单位先把年终奖领了。有人要问了,Rabby、TempleDAO、Mango 这些被攻击的项目,都是被安全审计过的,为何还被攻击了?有人甚至借此非议安全审计没意义,作为多年区块链安全行业的从业者,简单说两句:
1、各位看官得先调整预期,安全审计不可或缺,但审计完了也绝不可能一劳永逸。攻击和防御工事完全不是一个量级。我们看安全公司的 audit report 会发现,几乎每一个项目都能找出 1 个严重漏洞,2-4 个高风险漏洞,还有若干中等以及低级别的漏洞。你能说,这些漏洞发现没意义吗?有,但更多是降低安全风险!
2、有人会在东窗事发后说,漏洞这么简单,为何没被发现?这个问题很复杂,安全审计基于已有的工具,已有的经验进行逻辑审查,扫除代码缺陷,排查诸如溢出、重放、验签等常规漏洞。但 defi 等协议难的并非代码,而是复杂的金融业务逻辑,比如流程管控,外部组合嵌套,市场操纵等,超出安全公司的业务范畴。
3、区块链生态存在形形色色的组合,开源+非开源,已审计项目+非审计项目,链下 validator+链上执行等等,很多项目给安全公司的审计也都只是模块化展开,比如审计开源的部分,那未开源的部分呢?因链下流程影响到链上执行呢,因市场交易深度问题导致市场被操纵呢?出了事,不可能全部让安全公司背锅。
4、可怕的是很多项目方,找安全审计的目的并不纯,只是希望拿到一份所谓的「安全背书」,抱有这样的心态做项目,其在自身安全防备上的投入可想而知。出了问题又一副我找 xx 头部安全公司审计过的无辜嘴脸,试问,项目本身在安全防御+加固+应急响应上的投入有多少呢?我想这才是安全事件屡见不鲜的根本原因;
5、其实,行业生态大的威胁并不全是黑客攻击,更多是安全意识薄弱造成的「人祸」,比如某些项目一旦遭攻击就会传出 rug 消息,我们司空见惯的网络钓鱼受诈骗等等,这些压根就没法统计,如果把人为 rug、网络钓鱼、网络勒索、资金盘诈骗等等一系列安全损失都统计起来呢?其安全威胁丝毫也不逊色于黑客;
6、在我看来,加密行业安全问题路漫漫其修远兮,我们预期的生态是,项目自身安全防护+第三方安全审计预防协助+用户人人皆有安全意识,行业从根本上变得更「安全」。但事实上,安全公司压根不是 security 建设者身份,安全公司能作为修理工,桥塌修桥,路断补路就不错了。安全生态需要每一个参与者共同守护。
原文链接
欢迎加入律动 BlockBeats 官方社群:
Telegram 订阅群:https://t.me/theblockbeats
Telegram 交流群:https://t.me/BlockBeats_App
Twitter 官方账号:https://twitter.com/BlockBeatsAsia