需要注意的是，根据安全团队的解读，一个完整的 DeFi = 智能合约 + 前端页面。

这即是说，在智能合约安全审计后，还会存在几个风险：第一，安全审计可能都没发现的漏洞或新型攻击方式；第二，智能合约可升级或可篡改，如何让可升级或可篡改成为不可能或有效可信的社区治理行为；第三，随着项目方的发展，智能合约会增加新的，如新池子、新功能模块，需要注意看智能合约安全审计报告明确审计的是哪些。

由于前端页面属于中心化内容，如果前端出 Bug 或漏洞或作恶，实际上危害可能会更直接更大。这个不仅是安全审计机构可以去审计的事（实际上也很难），还是社区监督的事。

而到了 EOS 安全审计上，情况便又有所不同了。

虎符创始人王瑞锡就曾公开表示：「EOS 的合约特性是可修改，大家要看清楚，不要盲目相信审计了。因为目前大多数 EOS 上的合约都没有开源。审计了没开源和没审计是一样的。出了问题审计还背锅，得不偿失。」

对于 EOS 上的智能合约，慢雾安全团队补充道：「如果项目方 Owner 权限已进行多签，需要项目方与至少 2 个可信方共同多签进行合约更新或者转账等操作，且 active 权限已删除项目方私钥权限。就可以比较好控制 EOS 智能合约项目方权限过大问题。」

因此，即便是通过了安全审计的 DeFi 项目，投资者仍然需要仔细甄别，注意风险。

投资人该如何参考？

根据工作经验，慢雾安全团队也对投资者们提出了一些建议：「智能合约安全审计虽然不是银弹，但有总比裸奔好，职业的安全审计机构会大大降低 DeFi 风险；切记不要进入到钓鱼网站，乱授权会导致本金归零；即使去投资被多家安全审计机构审计过的 DeFi，也做好黑天鹅爆发可能性，切勿沉迷；用靠谱的环境去玩靠谱的 DeFi，靠谱环境指（电脑是安全的、浏览器是安全的、手机是安全，使用的钱包是知名的、使用的网络是安全的等）；不要把所有资金放到一个篮子里，分散安全管理很重要。」

成都链安智能合约安全负责人对 Blocklike 总结道：「从成都链安的经验来看，合约审计的目的主要是检查代码规范性 、常规漏洞（主要指一般的 Bug，如数据显示错误等）、安全漏洞（比如溢出、重入等常规的安全漏洞）、业务逻辑漏洞。主要排除的风险主要在于两点，减少遭受黑客攻击的可能性、减少因代码导致的业务无法按预期正常运转（比如 Yam 事件）。」

「审计报告会指出业务逻辑和功能描述等，可以对比看看项目方宣传与功能是否对的上；审计报告也会描述权限相关，普通投资者可以根据描述的权限，看看项目方是否有跑路的能力，比如项目方有权利将合约中的钱全部转走等，或者可以控制某些关键参数，变相控制用户资金」，成都链安提出建议。 (责任编辑：admin)