NEW EVENT
最新活動
HOT ARTICLES
熱門文章
近來,安全審計公司 CertiK 被爆出內部人黑帽駭客行為,盜取 Kraken 交易所 300 萬美金,震驚了整個幣圈。審計師對於代碼漏洞知而不報、內部人員監守自盜的行為,使審計公司的可信度再次成為市場焦點。
根據 DeFiLlama,從 2016 年以來總計有超過 82.9 億美元的重大遭駭事件(統計不包含個別事件),事後能追回的比例佔極少數,由此可知有合約風險的項目得不到市場的信任,會進一步影響總鎖倉量(TVL)、交易量和基本面。
本篇文章將介紹快速檢驗審計公司的方法論,並縱覽加密產業中重要的 8 間安全公司。
如何鑑定評斷一間 DeFi 項目的安全審計品質?
根據 OKX Web3 錢包安全特刊第 05 期,可以透過以下 5 個檢驗標準幫助項目方找到理想的審計公司,對於用戶來說也可用此法檢驗每個項目是否找到安全的審計公司。
核心人員的專業背景?
是否審計過知名項目?
之前是否有審計項目被攻擊過的紀錄?
審計公司是否有黑歷史?
審計報告判斷安全品質
前四點相對第五點較能快速實現,第五點則是要依賴長期閱讀審計報告的經驗,時間成本較高,但僅判斷安全審計公司的核心人員背景、審計項目、黑歷史等就可以找到足夠多的 insight,有助於短時間辨別各家審計的優劣。
Trail of Bit 成立於 2012 年,是審計範圍橫跨人工智慧、機器學習、密碼學、區塊鏈、隱私技術的 Tier 1 資訊安全團隊。強調自己做的不是「安全審計」而是「安全估值」,團隊認為以估值角度出發,更能全面地呈現出一個項目在程式碼視角的價值。除了安全估值服務之外,Trail of Bit 旗下產品也包括手機防毒軟體 iVerify。
知名評估項目:
Apple 私有雲計算(Private Cloud Compute,PCC)技術
公鏈/生態系:Solana、Cosmos SDK、Starknet、Polkadot
EVM Rollups:Starknet、Arbitrum、Optimism
DeFi:Elixir Protocol、Uniswap V3、AAVE、yearn、Balancer
預言機:Chainlink
ChainSecurity 是創立於 2017 年的瑞士公司,過去審計過的頂級 DeFi 數量眾多,共同創辦人均畢業於蘇黎世理工學院(ETH Zürich)電機或資工研究所,創立以來一直與會計師事務所 PwC Switzerland 保持合作關係,其中包括 Tezos 基金會等的外部審計報告,直到 2020 年 PwC 出資收購 ChainSecurity。
在 Curve 2023 年 7 月被駭之後,ChainSecurity 在第一時間也給予 Curve 改版建議,並在 2023 年 12 月針對 Curve 以及 Vyper 程式語言(此事件的漏洞源頭)發布完整的安全審計報告。
知名的審計項目有:
以太坊基金會 EIP-4788
跨鏈橋:WBTC、Layer Zero、Polygon 官方橋、Polkadot
DeFi:1inch、Uniswap、AAVE、MAKER、Curve 三池、yearn
近期針對 Tron 生態的 RWA 項目 stUSDT 以及 SparkLend 的預言機功能發布安全審計報告
慢霧是業內頂級的區塊鏈安全公司,從 2018 年創立至今主導大量交易所、項目方遭駭事件的案件追查任務,2021 年 8 月 Poly Network 遭駭 6.1 億美元,在不到一天的時間內卻主動歸還,雖然官方指出具體原因,但有新聞指出是因為慢霧在事發之後快速掌握了駭客本人的電子郵件與 IP 位置。
創辦人余弦(本名 鐘晨鳴)本身非常積極於社群平台上分享資安相關知識,創立慢霧之前曾在資安公司知道創宇擔任技術副總裁、404 安全實驗室負責人、知名網路空間搜尋引擎鍾馗之眼(ZoomEye)創辦人,過去也曾主導大量抓蟲、救火事件,同時也是【區塊鏈黑暗森林自救手冊】的編輯,從零開始教安全的鏈上交互技巧。
除了安全審計及資金追查服務外,慢霧科技也提供高效好用的幣流追蹤工具 MistTrack,供用戶快速分析地址。
CertiK 創立於 2018 年,共同創辦人均為哥倫比亞或耶魯大學計算機系華裔教授,團隊成員及融資陣容都有華人背景,最近一期估值揭露高達 20 億美元,獲得 Tiger Global、軟銀願景基金、高盛、紅杉中國、等支持。值得注意的是,CertiK 曾發過代幣 $CTK,但後續代幣經濟學、路線圖等規劃不了了之,導致投資幣權的人形同被騙,投資股權的機構也因 CertiK 發幣做得太難看而無法出場。
除了審計服務之外,CertiK 也建置數據、資訊網站,供用戶研究項目的安全評分、團隊成員背景、交易所安全係數與資產儲備等功能。這些工具非常有效得提升 CertiK 對DeFi 用戶的知名度,然而在那之後開始被社群詬病 CertiK 淪為「用光環包裝且價格昂貴的蓋章公司」
在 2024 年 6 月發生了 CertiK 發現 Kraken 交易所的程式碼漏洞後先吃才報,被駭之後 300 萬元犯罪所得被轉入 Tornado Cash,事後雖返還資金並發布聲明,但因未返還 100%、無法解釋為何將資金投入混幣器等,市場對其信心已明顯下降。
知名審計項目:
Web2:Apple IOS 17、LINE Blockchain
Layer 1:SUI、TON、BNB Chain、Cronos
審計過後遭駭的項目:
zkSync era 生態的 MERLIN DEX 遭駭 180 萬美元
Swaprum 在得到 CertiK 的審計報告後幾週捲款 300 萬美元
黑客組織 Lazarus 入侵的 Certik 審計協議比其他任何協議都多
BlockSec 是成立於 2021 年的中國大陸團隊,工程團隊中核心人員如共同創辦人周亞金及技術長 Lei Wu 均有高度相似的背景,也就是北卡羅萊納大學博士班、360安全衛士研究員、浙江大學教職。
根據 Linkedin,目前大部分資安員工畢業於浙江大學或就讀該校博士班。
共同創辦人周亞金擁有北卡羅萊納大學計算機科學博士學位,畢業後加入防毒軟體 360 安全衛士擔任高級安全研究員,而後創辦 BlockSec,目前同時也是浙江大學教授兼博士班導師。
除了審計服務之外,旗下產品也包括地址識別插件 MetaSuites(前 MetaDock)、幣流追蹤可視化工具 MetaSleuth、白帽駭客團隊 Phalcon 等工具,可以善用這些插件從 etherscan 識別出釣魚、詐騙、鑽石手、特定幣種大戶等標籤、實現可視化幣流追蹤、追蹤項目方被駭事件。功能非常全面且使用門檻不高,受到許多用戶及項目方青睞,如 Symbiotic 近期發推文表示有人嘗試使用 Milady 進行再質押,便是使用 Phalcon 瀏覽器
近期 Manta 宣布與 Phalcon 合作,將 Phalcon 的攻擊偵測引擎(Attack Detection Engine)納入 Manta 自身的排序器當中,提高 Rollup 韌性。
知名審計項目:
DeFi:PancakeSwap、LiNEAR Protocol
LRT:Mellow Protocol、Puffer Finance、Magpie
再質押:Octopus Restaking(NEAR 生態再質押項目)
跨鏈:PolyNetwork、Multichain、XY Finance、Radiant V2
EOS Network Foundation
值得注意的是,在 BlockSec 於 2022 年 4 月對 Multichain 的審計報告中可發現 BlockSec 早已建議 Multichain 不要將管控資金的權限過度集中,然後此建議沒有獲得項目方改善,最終 Multichain 在 2023 年 7 月因創辦人個人私鑰洩漏導致所有資金遭駭。
Quantstamp 總部位於美國洛杉磯,核心人員來自全球各地、組成多元,在公司成立之前已累積豐富資安經歷,有 Smart Contract Alliance、Tower Research Capital 背景。
CEO Richard Ma 畢業於 Cornell 電腦工程學系,並於 2018 年參與過 Y Combinator,本人多次參投許多項目如 Ondo Finance、Astar、Spectral 等。
董事總經理 Don Ho 同時也是 OrangeDAO 的 co-founder,OrangeDAO 是由區塊鏈創業者組成的 DAO,有獨立的創投基金及新創孵化器,過往曾參投 Hinkal Protocol、0G、Analog、Mezo、Toku 等項目
開發者關係主管(Head of Developer Relations)Martinet Lee 同時也是 ETH Taipei 發起人。
除了安全審計之外,Quantstamp 也參與部分一級市場種子輪投資,投過 0G、Analog、Hinkan Protocol 等...
值得注意的是,TVL 高達 23 億美元,位居 DeFi 項目第 15 名的 zk Rollup Zircuit 核心團隊源自於 Quantstamp,共同創辦人 Martin Derka、Jan Gorzny 原本分別是 Quantstamp 的新項目部主管 (Head of New Initiatives) 以及 L2 擴容部主管 (Head of L2 Scaling)
Zircuit 目前於 DeFillama Farm 分類為第一,接著為 Swell、AlLayer、Pencils 等協議。
https://defillama.com/protocols/farm
知名審計項目:
L1/L2:ETH 2.0、Solana、TON、Avalanche、BNB Chain
Gaming & NFT:OpenSea、Parallel、Sandbox
DeFi:Maker、Curve、Lido、Ethena、Pendle、Puffer Finance
基礎設施:ssv.network、Luganodes、Galxe
Web 2:VISA、Revolut、Sequoia、BitGo
PeckShield 團隊主要來自中國大陸,創辦人蔣旭憲原本是 360 安全衛士的首席科學家、北卡羅萊納大學教授,有報導指出蔣旭憲過去曾是周亞金在該校的老師。從官網提供的審計對象可以發現,PeckShield 的客戶有較多是亞洲背景
知名審計項目:
L1/L2:Avalanche、BNB Chain、polygon
DeFi:Maker、Curve、Gearbox、1inch、dYdX
基礎設施:Starkware
跨鏈相關:Multichain、PolyNetwork
OtterSec 核心成員遍佈全球,包括創辦人 Robert Chen 在內工程團隊核心成員過往是程式碼漏洞賞金(Bug Bounty)平台 HackerOne 的積極參與者。該公司參與了 SUI、Solana 多個重要的基礎設施及 DeFi 項目。
知名審計項目(審計作品集)
SUI 生態:Navi、Scallop、Cetus、volo、Mysten zk login、Bluefin
Solana 生態:Solayer、Sanctum、Jito、Jupiter、Raydium、Pyth
跨鏈橋:Wormhole、LayerZero
基礎設施:Celestia、Cosmos、NEAR、Solana
Code4rena 是 web3 安全審計競賽平台,有別於傳統審計服務與 bug 獎勵,它建立一套完善的獎勵審核機制、吸引項目方創立 bug 賞金獎池、促進智能合約民間好手參與審計,實現三方共贏的合作平台。
創立於 2021 年,並在 2023 年得到 Paradigm 的 600 萬美元融資(以現金購入 $ARENA )。共同創辦人 Scott Lewis 同時是連續創業家與天使投資人,聯合創立了 DeFi Pulse、SlingShot 等項目,同時也是 Canto 的核心貢獻者。
現正活躍的 Debug 獎池中,民間審計師可以共同瓜分上萬元 USDC,過去 zkSync 在 Code4rena 曾建立最高 110 萬美元的天價 Debug 獎池。
知名參與項目:
DeFi:AAVE、GMX
基礎設施:EigenLayer、Optimism 超級鏈、Chainlink、ENS
L1/L2:Base、Polkadot、Starknet、zkSync
DePIN:The Graph
NFT:OpenSea、Blur
維持好審計公司的運作並不容易。CertiK 曾於 2021 年聲名大噪,但我們卻無法預期會發生憾事。同樣在 2024 的當下我們也難以發現哪些公司正面臨相同問題,通常需要經歷幾次安全事件才能反覆驗證。
除此之外,評估審計公司的失職與否不能僅依靠時序關係,而需詳細檢查審計報告內容。例如,BlockSec 早在 Multichain 被駭一年前就指出其問題,但項目方未改進。
審查整份審計報告需要大量時間,但投資人的重心在於項目評價,項目方可以考慮與多家審計公司合作,以程式碼安全性的保障更得到市場信任。
Bill
聚焦在宏觀數據、總體經濟、DeFi 賽道。喜歡用經濟學思考萬物本質,對冷僻新事物充滿興趣