安全漏洞频发，DeFi安全审计的状态怎样？审计的价值究竟在哪里？

事实证明，2020年对于DeFi生态系统来说是关键的一年。重要的里程碑包括，整个DeFi的锁定总价值达到10亿美元，与中心化交易所代币相比，DEX代币的回报率高出5倍以上。但是，事实证明，该行业容易受到新的和已建立的DeFi协议中一些次要但重要的安全漏洞的破坏。仅在四月份，就有安全漏洞导致数百万美元的损失。即使在Uniswap或Curve等领域中最大的去中心化交易所中，审计后也发现了智能合约中的错误，并且通过重新进入攻击而盗取了数十万美元。除了Uniswap和Curve，Lendf.me经历了2500万美元的损失，Hegic通过到期的期权合约失去了锁定的流动性，PegNet遭受了51％的攻击。

这些安全漏洞中的大多数都可以追溯到通过审核检查并部署的基础代码。问题在于，许多协议都在寻求绕过该过程的最快方法，因为它既昂贵又耗时。这不仅使用户的资金面临风险，而且使DeFi的采用也面临风险。为了解决此问题，我们必须强调审核对开发人员的重要性，并寻求一种可持续的解决方案以在审核DeFi协议时如何最高效。

审计不是万灵宝，并非所有审计都是平等的，但这是任一DeFi合约部署前的关键一步。

什么是审计

从最简单的意义上讲，智能合约审核是对智能合约源代码的第三方审查。尽管完成审核意味着对代码进行了审核，但是审核的严格性可能会有很大不同。例如，DApp可能会在其登录页面上提示在审核过程中未发现任何错误，但是仍然很难确定这是否意味着代码质量非常高或审核员是否不合格。

审计可以缓解许多不同的威胁和攻击，包括市场攻击，抢先运行和重新进入：

开发人员必须确保攻击媒介的安全，而无需审核通常会被忽略。

根据我们审计合作伙伴Quanstamp的说法，根据项目的规模，审核的平均过程可能需要1到12个月。每个公司的技术各不相同，但通常从项目咨询和技术架构设计开始，然后是实施和集成。该过程以最后的严格审核分析结束。

DeFi中安全审核的价值

●缺乏有关安全审核重要性的知识
●完成完整审核所需的时间
●用户在阅读完整的审核报告时感到工作量过多

由于没有审核协议或未分配足够的预算来正确执行协议，因此它们正在伤害社区中的每个人。没有更多的用户确认安全性，DeFi的采用就无法继续增长。来自DeFi平台Gossamer进行的一项调查向用户询问了他们对被黑客入侵的担忧，以及为什么他们不愿投资DeFi平台的原因，他们发现以下几点：

我们的许多受访者都拥有相同的故事：他们认识的人因为交易所或钱包被黑而损失了钱。对技术不太了解的人往往会混淆生态系统中的所有亏钱事件（交换被黑客入侵，智能合约被黑客入侵）……对于这些人来说，很难评估像复合式生态系统这样的黑客风险，并希望从安全的第三方那里获得建议。更加了解技术的参与者可以更具体地分析智能合约的安全性。他们知道错误通常会在正常开发过程中发生，因此不信任具有很多价值的智能合约。

由于DeFi继续生产具有相互连接的零件（乐高积木，跨链互操作性）的更复杂的系统，因此这创造了机会，以制造商不一定期望的创造性方式利用这些新系统。在今年的ETHDenver 2020黑客马拉松上提交的104个项目中，有92％的项目依赖于外部协议或区块链来发挥作用。如果开发人员希望确保用户和流动性免受潜在违规的侵害，DeFi的局面变得非常复杂，并且比以往任何时候都更有必要确保新协议在每次迭代时都具有第三方的眼光。

重新设计的Wardley地图，显示了从用户到开发人员DeFi交易的复杂性

当前审计方法的缺点

Hegic违约的审计报告减少了关键的复杂性

对于希望创建一个简单的期权定单并希望快速检查此开放协议安全性的普通用户而言，面对所有这些不同的哈希值和可靠性合约实在是不胜枚举。实际上，这是一件非常艰苦的事情，以至于很容易错过3页安全审核截图中的关键点。

●只有一名工程师审查了数学/打字错误，重入攻击，财务/经济影响，恶意的内部和外部参与者的错误。
●整个审核在两天（16小时）内完成。
●修复了十一个关键系统错误，并在五天内再次对其进行了审核。

这并不是说所有的审核都没有正确进行，或者这是审核员的错。如果没有这些审核，则有可能造成更大的损失。在此之后，市场发出了很大的警钟，当通过开源智能合约进行大笔交易时，用户和开发人员被莫名其妙地提醒了安全性的重要性。 ConsenSys Diligence通过确保对普通用户而言易于理解其审核，在简化此过程方面做得非常出色，这是其0x审核的一个示例：

ConsenSys Diligence的审计报告摘要清楚地总结了调查结果：

处理staking的代码非常复杂。我们对代码中那些难以有效审计的部分仍然感到不安。也就是说，这并不意味着与合约互动是不安全的。基金有三种潜在的风险：
1. ZRX储蓄和提款。
2. 合约持有从交易所合约收取的合约费（包装的ehter）。
3.根据staking合约的内在逻辑，将收集的WETH分配给持有者。

这是朝正确方向迈出的一步，但并非所有审计公司都在同一页面上。每个审计公司对安全检查的处理方式都不一样，关键安全风险没有得到正确表达，这在违反和流失高流动性协议方面严重影响了整个DeFi市场。

审计标准化

创建审核标准应该是确保DeFi安全的下一个关键发展，它将使用户和开发人员都受益于鼓励在该领域中采用。在最近的黑客攻击历史之后，已经进行了一些新的开发来增进对社区中审计重要性的了解，例如DeFi Score，“衡量平台风险的统一，可比的价值”。这样的应用程序可以帮助用户通知DApp关键安全指标，例如审核历史记录，集中化索引和财务风险。它们还有助于提高空间的安全性，并吸引经验不足的用户测试去中心化的平台进行投资。

未来建议

尽管最近出现了一波安全漏洞，并且对DeFi协议的审核产生了疑问，但业界对于DeFi的机会仍然非常乐观。 DeFi统计数据支持了市场的正增长，即使在成本极高的情况下也是如此。审计行业正在慢慢适应这种新形势，并与社区紧密合作，以期制定审计标准，开发人员明智地构建并提高安全风险意识的未来，以帮助DeFi用户安全地投资资金，保持安全性。代码库的透明性和安全性一如既往，有助于推动市场迈向下一个里程碑。

原文链接：https://medium.com/conflux-network/the-overlooked-element-of-defi-adoption-e3b29829e3da

—-

编译者/作者：洁sir

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。