长推:审计机构被黑排名——CertiK第一
审计并不能保证安全性。
原文标题:It's time to research cases of audited protocol hacks and see if safety is ever guaranteed
原文作者:Stacy Muur
原文来源:twitter
编译:Kate, Marsbit
注:本文来自@stacy_muur 推特,CHAINLOOK整理如下:
基于zksync的Merlin DEX今天被利用超过110万美元。由监管70%审计的CertiK认证,问题来了:我们能相信审计吗?
是时候研究被审计的协议黑客案例了,看看安全是否得到了保证?
该分析是使用REKT数据库服务进行的,该服务收集了自2011年以来Web3中发生的退出诈骗和漏洞利用的信息。数据库里有超过三千个黑客记录。
你可以在这里访问: https://de.fi/rekt-database/
CertiK大约占Web3所有审计的70%,已经从REKT被黑数据库中审计了33家公司。
此外,他们还审计了Merlin DEX,该公司尚未被添加到数据库中,使其成为他们审计出错名单中的第34家公司。
PeckShield Inc.排名第二,仅次于CertiK,有18个漏洞和Rug项目。
排在第三位的是DeFi Safety,该公司经历了12次黑客攻击。积极的一面是,自2021年以来,没有任何项目被黑客攻击和审计。
关于【长推:审计机构被黑排名——CertiK第一】的延伸阅读
CertiK:中心化和私钥问题无法由审计控制,未来将发布180万美金社区补偿计划
CertiK在对Merlin DEX的审计过程中发现了中心化风险,并对授予“masterAddress”和“owner”地址的权限进行了详细的可视化分解。
“ZK”争夺战:加密行业好Ticker和注意力的争夺
以太坊Layer2项目zkSync因争夺ZK代币名称和商标引发加密社区争议。多家ZK项目呼吁撤回商标申请,认为ZK应为公共资源。知名人士也谴责该行为,认为加密技术应保持开源性质。Matter Labs辩称商标是为了保护用户,并邀请其他人共同使用重要技术术语。但Polyhedra团队威胁使用ZK商标,引发争议。加密市场中,吸引人们的注意力十分重要,许多项目使用知名名词作为代币名称。
此外,我还尝试根据审计/黑客比率编制了一份顶级安全公司的名单。为了构建这个列表,我使用了@coingecko对最佳审计公司的评级和前面提到的REKT数据库。
这是评分↓
值得注意的是,每个黑客事件都应该根据具体情况进行评估,上面的表格不应该被视为审计公司成功率的可靠信息来源,因为它太笼统了。
以下是对我研究的简单总结:审计并不能保证安全性。
在我的加密职业生涯中,我曾为十几家接受过安全审计的公司工作过。在大多数情况下,关键漏洞是由内部开发人员确定的。
通常,审计通过潜在漏洞的通用脚本进行。然而,每个公司都拥有独特的代码和架构,需要量身定制。
一个月内进行一次深度审核是否可行?说实话,我对此表示怀疑。
通常,安全审计可以帮助增加分配给特定智能合约的资金是SAFU的可能性。未经任何审计的项目更容易受到黑客攻击和恶意攻击。
但是,请记住,任何人都不能保证 100% 的安全。
免责声明:本文仅代表作者个人观点,不代表链观CHAINLOOK立场,不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险,以及遵守所在国家和地区的相关法律法规。
图文来源:Marsbit,如有侵权请联系删除。转载或引用请注明文章出处!
