項(xiàng)目代碼審計(jì)如何去做？

元宇宙項(xiàng)目不做第三方代碼審計(jì)日后出現(xiàn)風(fēng)險(xiǎn)如何把控

什么是代碼審計(jì)

源代碼審計(jì)（Code Review）是由具130備豐富9370編碼經(jīng)6165驗(yàn)并對(duì)安全編碼原則及應(yīng)用安全具有深刻理解的安全服務(wù)人員對(duì)系統(tǒng)的源代碼和軟件架構(gòu)的安全性、可靠性進(jìn)行全面的安全檢查。

源代碼審計(jì)服務(wù)的目的在于充分挖掘當(dāng)前代碼中存在的安全缺陷以及規(guī)范性缺陷，從而讓開(kāi)發(fā)人員了解其開(kāi)發(fā)的應(yīng)用系統(tǒng)可能會(huì)面臨的威脅，并指導(dǎo)開(kāi)發(fā)人員正確修復(fù)程序缺陷

最近，隨著YFI的推出，去中心化金融(DeFI)出現(xiàn)了一個(gè)趨勢(shì)，即發(fā)布未經(jīng)代碼審計(jì)的項(xiàng)目供用戶訪問(wèn)。但正如我們從Yam Finance的事件中看到的那樣，在項(xiàng)目的智能合約中發(fā)現(xiàn)的bug會(huì)對(duì)未經(jīng)審計(jì)的項(xiàng)目的用戶和投資者造成經(jīng)濟(jì)上的損害。

雖然審計(jì)絕不意味著項(xiàng)目的完全安全，但正如Hegic的bug所表明的那樣，智能合約審計(jì)師在生態(tài)系統(tǒng)中繼續(xù)發(fā)揮著重要作用。通過(guò)讓第三方審計(jì)師仔細(xì)檢查代碼并采取行動(dòng)修復(fù)漏洞，項(xiàng)目向其用戶發(fā)出信號(hào)，表明他們認(rèn)真對(duì)待資金的安全性。

在這篇報(bào)道中，The Block對(duì)加密貨幣審計(jì)公司的數(shù)據(jù)進(jìn)行了研究，并特別關(guān)注了DeFi項(xiàng)目，因?yàn)樵诋?dāng)前的環(huán)境下，大部分用戶資金都流向了那里。我們還研究了DeFi項(xiàng)目設(shè)立的bug賞金計(jì)劃。我們的數(shù)據(jù)集由68個(gè)DeFi項(xiàng)目組成，這些項(xiàng)目已經(jīng)處理和管理了數(shù)十億美元的加密貨幣。

DeFi審計(jì)機(jī)構(gòu)

根據(jù)我們的研究，至少有29家網(wǎng)絡(luò)安全公司為加密貨幣項(xiàng)目提供審計(jì)服務(wù)，并延伸到DeFi項(xiàng)目。按審計(jì)的項(xiàng)目數(shù)量計(jì)算，領(lǐng)先的DeFi審計(jì)機(jī)構(gòu)是OpenZeppelin、TraiofBits和ConsenSys Diligence。certik.

這三家審計(jì)公司總共審計(jì)了我們數(shù)據(jù)集中一半以上的項(xiàng)目。在我們的數(shù)據(jù)集中，每家公司單獨(dú)審計(jì)了近五分之一的項(xiàng)目。

DeFi項(xiàng)目聘請(qǐng)的審計(jì)師平均人數(shù)約為兩名。下圖顯示的是已經(jīng)聘用了三個(gè)或更多審計(jì)師來(lái)檢查其項(xiàng)目的項(xiàng)目。Gnosis以最多樣化的審計(jì)師隊(duì)伍領(lǐng)先。擁有一套多樣化的審計(jì)師可以使項(xiàng)目獲得不同審計(jì)師所特有的更廣泛的技能組合

但是這背后有倆問(wèn)題：項(xiàng)目方要直接跑路呢？大家賺的是誰(shuí)的錢？項(xiàng)目方跑路和代碼是掛鉤的，這也和18年的交易挖礦，有著本質(zhì)上的區(qū)別，只要代碼在，穩(wěn)定幣體系就會(huì)正常流轉(zhuǎn)，幣就在。

很多人根本不怕項(xiàng)目方跑路，反而怕項(xiàng)目方“做事情”，一旦推出新版本，就會(huì)讓老版本的幣種貶值，只要代碼安全性合格，保證去中心化的機(jī)制，項(xiàng)目方也拿這些幣沒(méi)辦法。當(dāng)然最怕的是代碼不合格，最后幣全讓黑客端走了，比如YAM深夜爆出漏洞，目前還調(diào)整呢。

基于以太坊的一DeFi項(xiàng)目YFV發(fā)文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關(guān)，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農(nóng)民”。成都鏈安分析稱，合約存在一個(gè)stakeOnBehalf函數(shù)使得攻擊者可以為任意用戶進(jìn)行抵押，此函數(shù)中的 lastStakeTimes[stakeFor] = block.timestamp; 語(yǔ)句會(huì)更新用戶地址映射的laseStakeTimes[user]。而用戶取出抵押所用的函數(shù)中又存在驗(yàn)證，要求用戶取出時(shí)間必須大于lastStakeTimes[account]+72小時(shí)。

本次事件的根本原因在于，沒(méi)有做好上線前的代碼審計(jì)工作。本次事件實(shí)際上是屬于業(yè)務(wù)層面上的漏洞。根據(jù)成都鏈安在代碼審計(jì)方面的經(jīng)驗(yàn)，個(gè)別項(xiàng)目方在進(jìn)行代碼審計(jì)時(shí)，未提供完整的項(xiàng)目相關(guān)資料，使得代碼審計(jì)無(wú)法發(fā)現(xiàn)一些業(yè)務(wù)漏洞，導(dǎo)致上線后損失慘重。在此提醒各項(xiàng)目方：安全是發(fā)展的基石，做好代碼審計(jì)是上線的前提條件。可想而知項(xiàng)目上線之前做好代碼審計(jì)工作有多重要！

針對(duì)于本次事件，究其根本原因，還是沒(méi)有做好上線前的代碼審計(jì)工作。本次事件實(shí)際上是屬于業(yè)務(wù)層面上的漏洞。

代碼審計(jì)一般都是以代碼的行數(shù)來(lái)計(jì)費(fèi)的～

代碼審計(jì)是從安全的角度對(duì)代碼進(jìn)行的安全測(cè)試評(píng)估，全面了解代碼內(nèi)部邏輯結(jié)構(gòu)、對(duì)所有邏輯路徑進(jìn)行測(cè)試，通過(guò)分析當(dāng)前應(yīng)用系統(tǒng)的源代碼，充分挖掘當(dāng)前代碼中存在的安全缺陷以及規(guī)范性缺陷。