在审计中,代码错误出现频率也很高。这主要是由于开发人员失误导致的一些代码编写错误。常见的有单位错误、忘记乘以精度、&使用错误等。在YAM漏洞事件中,代码在进行弹性调整rebase时,其代码正是忘记乘以精度。 在确保代码和漏洞深度检测的同时,项目业务方面也设置有业务逻辑和实现方面的相关审计,包括对DeFi项目中涉及代币基本信息的检查,以及代币标准相关的函数的确认,特别是对铸币、销毁代币、更改owner及其它特殊权限的审查和风险分析。 很多项目中都存在代理转账的逻辑,在处理此类逻辑时,很多项目方会直接要求用户授权最大值代币给项目方的合约。 如此一来,合约就有权将用户资金全部转走。此外,还有双重授权的问题,项目方网站在进行授权时,发起了两笔授权,一笔授权给合约地址,一笔授权给外部地址,如用户对此没有提防,将会面临极大的资金风险。 套路五:审计报告 合约审计最终服务于DeFi项目中的资金安全,而这方面诸多问题的出现都与函数、算法的不当存在关联。因此,合约审计就是要指出可能引发资金风险的内容,也就是潜藏隐患以及亟需修正的代码、漏洞、逻辑等问题。 在审计报告中,除了审计时间、历时以及审计人等基本信息外,还会体现对项目的投资预警提示。审计报告的核心内容,是体现受检智能合约在设计和代码实现等多方面、多维度的审计结果。同时,报告将指出发现的各类风险问题,并将其告知项目方以便修复。 通过审计报告,合约的风险成分,包括潜在可遭遇的攻击,不同级别、层面的漏洞将被详尽提示。只不过,安全审计报告中醒目的“通过”二字,不应该作为投资者仅有的投资判断依据。 结语 合约审计并不属于项目本身的利好消息,而是上线前必要的一项安全工作,无论是对项目方还是投资者都具有重大的意义。 投机市场或是狂暴或是萧条,行走其间不按套路出牌,终将也会受制于“套路”。略瞥其中,唯有防患于未然的安全之峰,巍然。 (责任编辑:admin) |