DeFi創業者的審計指南:如何選擇安全審計商並建立有效的"審計觀"

在加密行業中,審計對於確保項目的完整性和安全性至關重要。觀察表明,一些領先的項目如Lido和Compound在審計方面投入巨大,通常高達七位數美元,並經常聘請多家審計服務商對同一批產品代碼進行審核。

這一方面反映了DeFi夏天以來頭部項目獲得了豐厚回報,有足夠資金持續投入以構建更深厚的競爭壁壘。另一方面,這也爲行業內的其他項目和創業者展示了審計的一個重要方面:審計工作並非簡單的"付費-僱人-出報告-宣傳"流程,而是應該有一套完整的"審計觀"和方法論。項目方需要考慮哪些產品需要審計、如何選擇供應商、如何確保審計工作的有效性,以及如何以最具成本效益和安全的方式完成審計工作。

本文將從實際創業和項目運營的角度出發,探討一個理想的"審計觀"應該是什麼樣的。

安全服務商概覽

近2-3年來,可選擇的審計供應商數量呈爆發式增長,市面上常見的審計供應商約有15-20家。根據經驗和同行交流,綜合考慮口碑、技術能力和覆蓋完整度,一些供應商如Peckshield、SlowMist、Trail of bits和OpenZeppelin等可以被視爲第一梯隊。

總體而言,中國背景的供應商仍然是加密行業中文項目的首選,主要優勢在於無時差溝通和語言便利,定價也相對合理,通常爲每人每週12,000-15,000美元,會隨市場淡旺季有所波動。相比之下,海外供應商在中文項目中知名度較低,但由於品牌溢價、創始團隊資源或技術能力等因素,定價通常高出1.5-2倍。某些海外供應商甚至能獲得巨額訂單,例如某平台曾以單季度超百萬美元的價格聘請OpenZeppelin進行審計。

除傳統審計供應商外,還存在一類"白帽社區"服務商,如某些漏洞賞金平台。這種模式是傳統安全領域的成熟業態,近兩年在加密行業興起。項目方在平台上發布希望被審計的模塊(如前端、後端、智能合約等),定義bug的嚴重程度和相應賞金,吸引"白帽黑客"主動報告問題。這可以作爲傳統審計的有益補充,但要求項目方能夠準確定義bug分類、級別和覆蓋範圍,並提供合理的賞金。

審計流程、方法論和成本控制

對於項目方而言,在首次請審計商審核前,需要做好以下準備:

1. 確保內部已進行至少兩輪測試,如有可能,最好再進行一輪社區公測,避免paying for obvious issues。

2. 盡可能將代碼按項目裏程碑打包,一次性交付審計,以控制成本。

3. 確保對接人了解產品整體運行原理、大致代碼量和主要模塊分布,避免initial setup階段需求溝通不清。

4. 比較不同供應商的排期,對重要產品節點考慮付費鎖定排期。

盡管市場上供應商衆多,但各家排期差異巨大。建議就同一段代碼向至少3個審計商發出評估請求,獲取排期、報價和工作量評估。對重要產品節點,建議預付30%-50%費用鎖定排期,避免影響進度。通常,中文供應商建議提前2-4周預約,海外供應商至少提前1個月。

確定排期和報價後,項目代碼交付審計商開始review。過程中,負責任的審計商會就疑問與項目方討論。項目對接人有責任與審計商保持良好溝通,並確保:

1. 審計進度按期進行。
2. 初版審計報告由項目團隊至少兩位技術人員交叉review,再與審計商確定是否定稿。
3. 建立項目關鍵技術、產品人員與審計商實際進行代碼review的人員之間的羣聊渠道。
4. 關注其他審計商發布的安全事件報告,主動與審計商溝通可能存在的相關問題。

項目方需要有明確立場,適度保留控制權

審計公司主要關注代碼質量、邏輯和安全性,很少涉及代碼與業務的關聯。有時調整代碼邏輯或安全性可能會影響業務邏輯。

例如,對於合約權限升級、費率調整、代幣增發等關鍵模塊,從業務早期發展角度來看,實際上需要項目方核心成員能夠單獨控制,以便在市場變化或突發安全事件時及時調整,而不是一味追求多重籤名控制,影響項目在危機時刻的應變能力。

合理保留"後門"或"超級權限"不僅關係到項目本身,也可能影響整個行業的生存。試想,如果某些交易所沒有採取緊急措施,某些穩定幣沒有暫停贖回,某些公鏈沒有"停鏈維護",行業現狀可能會大不相同。

持續溝通和分享推動長期安全

審計商的服務可以發現問題,但無法保證100%安全,安全事故隨時可能發生。一方面,項目方需要主動與審計公司溝通,商討如何處理(可能包括賠償、免費二次審計、退款等方案)。另一方面,每個安全漏洞的發現和修復都關係到整個行業的進步。在不涉及關鍵商業利益的情況下,鼓勵所有項目方與審計公司一起公開回顧類似問題,這有助於行業共享更高的安全標準,長期來看也能降低每個項目的審計成本。

項目決策層應具備黑客思維,重視社區力量

審計是一場持久的資金戰,是項目競爭的重要壁壘。一方面,應該在每個產品裏程碑之間持續投入資金,聘請知名、可靠的外部審計商覆蓋可能的安全漏洞。另一方面,也應重視社區力量,鼓勵白帽社區參與項目的安全建設。

筆者曾以約3萬美元的賞金,成功邀請到一位社區白帽成員,幫助調試並修復了一個管理百萬美元資金的合約。

此外,盡量復用成熟合約,而不是另闢蹊徑,也是一種有效的降本增效方法。

結語

加密行業的創業門檻已顯著提高,數百萬美元的融資在當前市場並不罕見。從前面的討論可以看出,要真正支撐一套可靠、安全、穩定的去中心化應用非常困難,即使是行業頂級應用也無法保證絕對安全。

因此,從成本控制角度出發,每個初創項目在選擇合約和模型時應盡可能嵌入現有的成熟設施,避免重新發明輪子。常見的去中心化交易所、借貸平台、收益聚合器、流動性質押及再質押,甚至衍生品交易、合成資產等品類,都有一批成熟可用的基礎設施供新項目復用和嵌套。這不僅能降低項目的安全成本,還能有效增強項目本身的安全性,並確保系統安全隨着復用對象的升級而進化。

從行業整體角度來看,實現全面安全需要市場所有參與者的共同努力和貢獻。

對於審計商而言:1)需防範項目方可能存在的小心思,如使用與實際上線不同的代碼版本進行審計。建議在項目正式部署後再次驗證實際代碼版本。2)可以考慮探索與保險相結合的模式,爲採購大額服務的客戶提供安全事故賠付機制,保障項目方權益。3)更廣泛地公布審計案例和調試經驗。審計行業類似醫療行業,整體進步既依賴長期技術研發投入,也高度依賴案例積累。從這個角度看,常被用戶調侃的"公關式審計"也是推動行業進步的一種動力,至少能讓更多審計案例被行業共享。

對於用戶而言:1)應採取冷熱錢包分離,爲不同去中心化應用使用專門的錢包地址,定期清理未知授權,不操作來歷不明的空投代幣等安全措施。2)高淨值用戶應養成定期查閱各家審計商發布的安全事件報告的習慣,對常見安全風險保持警惕。