為什麼通過安全審計的項目還是會被攻擊？

原文作者： Haotian（Twitter：@tmel0211），區塊鏈安全從業人員

本文首發於2022 年10 月，今日zkSync 生態DEX Merlin 流動性耗盡，駭客竊取182 萬美元資金。隨後有讀者發現，這個 Merlin 在上線前剛完成由 CertiK 進行的審計，雖然 CertiK 在報告中指出 Merlin 項目存在中心化問題，但仍沒能避免安全問題發生，最終資金損失。

那麼為什麼通過審計的項目還會被攻擊、Rug或是有各種漏洞？區塊鏈安全領域從業人員 Haotian（ @tmel0211）在本文針對一些審計相關問題進行解答。

年底安全事件一個個接踵而至，駭客估計是怕市場熊的沒錢了，以億為單位先把年終獎領了。有人要問了，Rabby、TempleDAO、Mango 這些被攻擊的項目，都是被安全審計過的，為何還被攻擊了？有人甚至藉此非議安全審計沒意義，作為多年區塊鏈安全行業的從業者，簡單說兩句：

1、各位看官得先調整預期，安全審計不可或缺，但審計完了絕不可能一勞永逸。攻擊和防禦工事完全不是一個量級。我們看安全公司的 audit report 會發現，幾乎每個專案都能找出 1 個嚴重漏洞，2-4 個高風險漏洞，還有若干中等以及低等級的漏洞。你能說，這些漏洞發現沒意義嗎？有，但更多是降低安全風險！

欢迎加入律动 BlockBeats 官方社群：

Telegram 订阅群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方账号：https://twitter.com/BlockBeatsAsia