投資 DeFi 前請詳閱已審計的智能合約!但什麼是審計智能合約?

審計智能合約
Source: Envato Elements

你了解區塊鏈產業生態嗎?除了常見的區塊鏈平台如以太坊、Polkadot、Solana,交易所如幣安(Binance)、FTX、Coinbase,交易平台如 OpenSea、Lootex 以外,區塊鏈領域有哪些值得留意的板塊?

這一次,Anywhere 要來向大家簡單介紹區塊鏈產業比較少受到大眾關注的,負責審計智能合約安全的區塊鏈資安公司

究竟什麼是審計智能合約(Smart Contract Audit)?區塊鏈資安公司都怎麼審計智能合約?智能合約審計報告哪裡看?怎麼看?我們將在本文一次分享。

智能合約與項目的關係?

區塊鏈產業主要以智能合約,即程式碼作為運行機制,一旦智能合約撰寫出現漏洞,在上傳區塊鏈平台後,由於區塊鏈資料無法被更改的特性,倘若遭受駭客攻擊,將導致項目方失去對項目的控制能力,以及投資人面臨財務損失,要修復產生的損失非常困難。

最著名的智能合約程式漏洞事件,莫過於 2016 年以太坊的 The DAO 事件。所以多數項目方會主動把智能合約交由第三方機構——區塊鏈資安公司進行審計,以協助糾出智能合約撰寫的安全漏洞。

現有已知接受過智能合約審計的項目包括 BNB Chain、ShibaSwap、Polygon、ApeCoin、The Sandbox 等。

什麼是審計智能合約?

審計智能合約顧名思義,就是委託區塊鏈資安公司的審計人員檢查和評估一份智能合約當中的程式碼,而通常負責審計智能合約的人員是由擁有電腦科學背景,數學、區塊鏈知識,Solidity 或 Rust、Golang 程式語言開發工具的工程師出任。

審計人員通常會以自動化工具搭配人工方式,根據委託方提供的程式說明文件檢查、分析程式碼和結構,並把分析整理成一份報告,提供給委託方作為修正說明,並會在委託方修正漏洞後,把報告完整發布在區塊鏈資安公司的官網或 Twitter 平台上。

審計智能合約
Source: Twitter | Chainsulting

其中,CertiK 還會把完成審計的項目進行排名,展示在官網的 Web 3 的安全排行榜上。

審計智能合約
Source: CertiK 
圖為 CertiK 列出的 Web 3 安全排行榜。

審計智能合約的收費標準?

依程式碼行數、複雜度而異。跨鏈質押協議 Brydge 創辦人在 Reddit 上分享,該團隊 560 行的程式碼報價從 8,000 美元到 25,000 美元不等。

審計智能合約需要多久時間來完成?

從數天時間到數週不等,視程式碼的複雜度而定。

智能合約審計報告怎麼看?

審計智能合約
Source: Github | SlowMist

區塊鏈資安公司會在審計報告的最後一頁,說明審計或評估的結果。

智能合約審計報告說明事項?

審計團隊接受委託的日期、用哪些方法進行審計、各種評估項目的結果評級,以及審計結果。

評估項目結果評級通常會分為:嚴重、高、中、低、輕微,有寫區塊鏈資安公司會分得更細,依照各家公司慣例而定。

投資人可以參考審計報告的結果,做自己投資前的其中一個考量,但不建議成為最終的投資依歸,畢竟智能合約審計公司只負責檢查智能合約的程式碼,並給予修正建議,無法強制項目方修改不完美的智能合約,或者預防項目方惡意轉走資產。

延伸閱讀:【NFT 新手教學】如何挑選值得買的 NFT?買 NFT 該注意的 10 個風險指標

知名智能合約審計公司有哪些?

我們整理了 8 間在智能合約審計方面具知名度的區塊鏈資安公司,分別是 CertiK、Solidproof、Chainsulting、Peckshield、SlowMist、Hacken、Solidity Finance、Quantstamp。

各家區塊鏈資安公司的特色介紹

CertiK

CertiK 是知名的區塊鏈資安公司,2017 年成立至今審核將近 2,000 項區塊鏈相關專案,包括區塊鏈協議、加密錢包、去中心化應用程式(DApps)和智能合約。也是許多大型區塊鏈業者,像是幣安、火幣、Internation Business Machine 的合作夥伴。

CertiK 會為智能合約的安全性進行 5 種程度評級(嚴重、高、中、低、輕微),並把智能合約審計報告發布在內容平台 Medium 上供 DeFi 投資者閱讀,也會公告他們評估有風險的 DeFi 和 NFT 項目名單,提醒投資人。

官網:CertiK

Solidproof

Solidproof 這家來自德國的公司成立於 2021 年中,主打以自動化方式審計智能合約,找出智能合約的漏洞。

傳統上,資安工程師以人工的方式,檢查智能合約每一行的程式碼,找出 Bug,不過 Solidproof 選擇以自動化工具方式處理智能合約檢查業務,以提高審查效率及避免人為失誤。

Solidproof 的合作夥伴為知名 Launchpad Unicrypt 及 Pathfund。Solidprood 也會把智能合約審計報告發佈在內容平台 Medium 上供去中心化金融投資人閱讀。

官網:Solidproof

Chainsulting

Chainsulting 同樣來自德國,成立於 2017 年,提供智能合約審計、區塊鏈發展和諮詢等服務。曾經為市場領先的區塊鏈,像是 Hyperledger、Tezos、Ethereum、Binance Smart Chain、EOS 等檢查程式碼,也為 DAI、1Inch、POA Network、Unicrypt 等頂級去中心化金融、加密貨幣專案執行程式碼審計,服務超過 250 個客戶。Chainsulting 會把審計報告發佈在他們的 Github 帳號和官網上。

官網:Chainsulting

Peckshielf 派盾

PeckShield 「派盾」,創立於 2018 年的區塊鏈領先保安公司,提供程式碼審計、鏈上數據監測、AML 反洗錢等安全與數據綜合解決方案,業務涵蓋區塊鏈生態各個環節,被 etherscan.io 納入智能合約安全審計推薦名單。

曾經為多個著名的 DeFi 項目進行程式碼審計,包括 MakerDAO、Aave、SushiSwap、InstaDApp、Curve Finance 等,也曾對數個高知名度的駭客攻擊事件進行根本原因分析(Root Cause Analysis,RCA),也規律發布安全趨勢報告,警示加密產業投資人。

官網:Peckshield 派盾科技

Slowmist「慢霧科技」

SlowMist「慢霧科技」是中國最早專注於區塊鏈生態且具有全球影響力的資安公司,旗下擁有黑客團隊,2018 年成立至今,累積多年資安攻防實戰經驗,曾獨立發現並公佈多起通用高風險的資安漏洞,比如以太坊黑色情人節等全球性資安攻擊大事件,得到業界廣泛認可。

目前為全球數十家交易所提供資安審計與顧問服務,像是火幣、OKX、幣安等。同時為數十個個冷、熱錢包商提供資安服務,像是 imToken,也審計超過 1,500 份智能合約,

官網:SlowMist 慢霧科技

Hacken

Hacken 成立於 2017 年,這家來自烏克蘭的企業,專責區塊鏈協議與智能合約審計、滲透測試、諮詢服務、交易所資安評估。服務超過 300 項專案,服務對象包含 CoinGecko、FTX、亞洲航空。

官網:Hacken

Solidity Finance

Solidity Finance 與 2020 年成立,經手超過 1,000 份智能合約審計,包含代幣、NFT、眾籌、交易平台、金融協議,主打以可負擔的收費提供服務。客戶包括發行 BAYC 的 YugaLabs、Unicrypt。

官網:Solidity Finance

Quantstamp

Quantstamp 致力於通過網路安全與風險評估服務推動區塊鏈技術在主流社會的應用,業務涵蓋 NFT、DeFi、區塊鏈、交易所的智能合約審計,也協助決策者探索發行數位貨幣的可能。

團隊成員來自 Facebook、微軟、BMW 和以太坊基金會,服務超過 250 家新創、基金和企業,合作對象包括 NBA Top Shot、Curve、MarkerDao、OpenSea、eToro、Axie Infinity。同時也是矽谷第一加速器 Y Combinator 支持的新創團隊。

官網:Quantstamp

台灣有人在做智能合約審計工作嗎?

Quantstamp 有兩位審計專家來自台灣,分別為李嵩聲博士及李柏明博士。The Z Institute 區塊鏈線上學院的創辦人李婷婷曾任 CertiK 的資安工程師。

無論你是對投資還是從事區塊鏈產業感興趣,抑或是單純想要學習更多關於 Web 3 的生態,區塊鏈資安也是值得留意的有趣題目。

繼續留守 Anywhere,我們會持續為你發掘不同的視角,為你補足未來工作者所需的職場資訊。

延伸閱讀:DAO 是什麼?與 DeFi、NFT 有什麼關係?DAO 會成為最佳民主實踐嗎?


智能合約常見問題

智能合約審計公司(Smart Contract Auditor)有哪些?

CertiK、Solidproof、Chainsulting、Peckshield、SlowMist、Hacken、Solidity Finance、Quantstamp。

智能合約審計報告哪裡看?

可在負責審計某項目的智能合約審計公司的官網、Twitter、GitHub 閱讀到完整的審計報告。

經過審計的項目一定安全嗎?

智能合約審計公司只負責檢查智能合約的程式碼,並給予修正建議,無法強制項目方修改有漏洞的智能合約,或者預防項目方惡意轉走資產,所以可以把項目方願意接受智能合約審計的舉動視為加分行為,而不是投資的主要考量。

🎉活動情報🎉

✦✦✦

Anywhere 是一個未來工作者社群,願景是為未來的工作者創造可能性,增加流動性,以及保有人性化的生活。

點擊下方按鈕加入和追蹤 Anywhere 的 Discord 和 Instagram。

Subscribe to our newsletter

訂閱電子報,獲得最新event資訊、數位遊牧、遠距工作等新知,不漏接任何未來工作者的消息!

不定時提供優惠資訊!不要錯過!