Web3.0審計指南：CertiK審計與其他公司有何不同？_WEB3:Web AI

在保障區塊鏈項目的安全及穩定方面，審計一直以來都發揮著至關重要的作用。

CertiK?的審計專家團隊擁有豐富的經驗，迄今為止已獲得了?4000?家企業客戶的認可，挖掘了超過?70000?個代碼漏洞，保護了超過?3600?億美元的數字資產。

CertiK?的審計過程全面且徹底，我們的安全專家會細致檢查項目的設計、架構和源代碼，以發現漏洞或風險。

憑借我們的安全專業知識和業內領先的端到端安全解決方案，CertiK?持續引領著Web3.0?行業的安全領域，提供從最基本的?token?到最復雜的?DeFi?協議乃至區塊鏈整體架構的安全審計服務。

但是想必會有用戶疑惑于我們具體是如何進行審計的，審計方法是什么，關鍵的審計特點又是什么？

往下看，這篇文章就可以給出答案。我們的審計流程的第一步，是獲得源代碼并搭建一個定制環境。

第二步是審查項目文件并進行威脅模型分析，隨后使用內部工具和人工審計來尋找安全漏洞和設計缺陷。

第三步是提交一份包含所發現的風險及其修復建議的初審報告。

第四步則是出具終審報告，該報告將詳細描述審計工作為項目帶來的幫助，并展示了?CertiK?審計專家是如何協助項目規避Web3.0?關鍵漏洞的。

環境配置

目前，CertiK?的審計及端到端安全解決方案已覆蓋目前市面上大部分生態系統，并支持幾乎所有主流編程語言，就區塊鏈平臺、數字資產交易平臺、智能合約的安全性等領域為各個生態鏈提供安全技術支持。

Web3眾包平臺DPAT啟動私募輪融資，擬推出基于資產支持的股權NFT:金色財經報道，Web3眾包平臺DPAT宣布啟動私募輪融資，預計將在今年八月結束。DPAT的Web3眾包平臺主要支持房地產和基礎設施領域，該平臺基于以太坊區塊鏈構建，目前業務覆蓋全球12個國家的15座城市，新資金將用于推出其基于資產支持的股權NFT并通過實施和集成Web3技術推動加速在Uniswap上啟動。 （lse.co.uk）[2023/6/5 21:15:18]

雖然某些編程語言所編寫的項目可能需要非常復雜的配置過程，但這個問題可以通過使用預先配置的虛擬機環境得到一定程度的解決——將代碼導入到配置好的環境中，檢查其能否成功編譯和部署，該環境的設置使安全專家能夠運行代碼并編寫測試，以獲得對項目更深刻的理解。

架構審計

確定項目的架構對于了解系統和安全相關的關鍵組件與部分至關重要。

對架構的徹底理解對于有效的威脅模型分析也是必不可少的。

理想情況下，項目團隊會提供一份白皮書和技術文件，概述項目的詳細架構。

然而在許多情況下，這些架構文件是缺失的，審計員必須進行架構提取以確定架構。

架構提取包括檢查組件之間的交互、外部輸入的處理、庫的導入、新想法的實現、對代碼標準的遵守以及對并發的支持。

對于常見的項目類型來說，利用工具生成調用圖和存儲布局圖來輔助進行可視化的過程可能很簡單。

賬戶抽象提案EIP-4337聯合發起人Kristof Gazso創立Web3基礎設施項目Pimlico:2月23日消息，賬戶抽象提案 EIP-4337 聯合發起人 Kristof Gazso 在推特上表示，已辭去在以太坊客戶端 Nethermind 的職務，并創立了 Web3 基礎設施項目 Pimlico，該項目將專注于成為支持以太坊向智能合約錢包過渡的底層基礎設施層。

據此前消息，以太坊創始人Vitalik 聯合 Kristof Gazso、yoav.eth、DrorTirosh、NamraPatel、TomaszK.Stanczak 等人發布賬戶抽象提案 EIP-4337，該提案可在不改變以太坊共識層協議的情況下實現驗證邏輯，并可以通過簽名聚合為 rollups 降低數據成本。[2023/2/23 12:25:33]

然而，對于組織不完善或非常規的項目，審計員可能需要通過逐個分析功能和源文件來手動確定組件結構及其關系。

確定一個項目是原創設計還是另一個項目的分叉也很重要。因為分叉很有可能會繼承來自其初始項目的漏洞——PancakeBunny協議遭到閃電貸攻擊，損失超過?4000?萬美元，其源代碼被其他多個項目分叉，由于未能識別和修復漏洞，導致他們遭受了相同的攻擊。但本來一個徹底的安全審計就可以發現這個漏洞從而規避此種攻擊。

威脅模型分析

威脅模型分析包括對一個項目的關鍵資產、資源和安全需求的描述，以及劃分出了一個潛在漏洞和安全威脅的列表。

Web3初創公司Sovereign Lasb完成740萬種子輪融資:金色財經報道，Web3初創公司Sovereign Lasb宣布完成740萬種子輪融資，Haun Ventures 領投，Plaintext Capital、Maven11、1k(x)、Robot Ventures 和幾位天使投資人參投。該公司正在構建一個“開放、互連的 rollup 生態系統”，其軟件開發工具包 (SDK) 可為安全的可互操作 ZK-rollup 提供了一個框架，此解決方案適用于不同的用例，包括實施代幣質押、NFT和智能合約等項目。（nftgators）[2023/1/31 11:37:44]

抽象的描述是在架構審計期間建立的，安全需求可以通過基于系統架構提出并回答有關問題來確定。例如，在一個治理系統中，可以嘗試提出以下問題：

誰可以創建提案？

創建一個提案有哪些要求？

一個提案需要多少百分比的票數才能通過？

提案的驗證期有多長？

項目使用的是什么投票?token?和機制？

特權賬戶可以修改哪些配置？

一旦確定了安全需求，就該考慮可能會面臨的威脅了。

在Web2.0?中，常用的威脅分類模型是?STRIDE，它將威脅分為六類：欺詐、篡改、抵賴、信息泄漏、拒絕服務和權限的提升。

這個方法在Web3.0?中需要稍作修改。例如在?DeFi?項目中，源代碼是在區塊鏈上驗證的，所有交易信息和存儲數據都是公開的，所以“信息泄露”的威脅并沒有那么大。

數字銀行平臺Cogni擴大執行團隊以整合Web3和金融服務:8月24日消息，數字銀行平臺Cogni宣布了其領導團隊的新成員，Simon Grunfeld將加入Cogni擔任Web3副總裁。Grunfeld將領導該平臺的Web3擴展，以無縫地為用戶提供對傳統銀行、加密、NFT、游戲和元宇宙服務的訪問。（Business Wire）[2022/8/24 12:46:07]

威脅模型分析最后的結果將會生成一個安全檢查表，用以指導安全審計，并可更加全面的評估系統安全狀況。

靜態分析和形式化驗證

我們通過端到端安全解決方案以及運用?CertiK?豐富的審計經驗和技術底蘊來為Web3.0?提供安全服務。

包含在端到端安全解決方案內的工具和服務均依托于一個龐大數據庫——這些數據來自?CertiK?數以千計的審計歷史和挖掘的超過?70000?個漏洞。

其中，我們的安全工具會在源代碼和字節碼層面對代碼進行靜態測試，識別不安全的代碼模式并生成圖表以提供對智能合約的可視化分析。

隨著機器學習與智能合約風險環境的不斷變化、威脅情報庫和智能合約漏洞庫的不斷積累，這些安全工具也將隨之進步。

除了靜態分析外，我們還通過形式化驗證來確保項目代碼的安全，并確保程序運行符合其預期的規范。

形式化驗證，是一種驗證計算機程序是否按照預期運行的數學證明方法。

Audacity推出6000萬美元新基金，專注于Web3創作者經濟和游戲等領域:7月26日消息，風險投資公司Audacity宣布推出6000萬美元專注于Web3創作者經濟及游戲等領域的新基金，旨在通過對一些媒體科技公司提供資金支持來彌合內容創作者從Web2到Web3的差距。

Audacity創始人Kabir Kochhar表示，雖然Web3應用層仍處于初期階段，但隨著媒體生態系統引入用戶，Web3主流化速度將會加快，該公司將專注于美國和亞洲市場并參與種子輪和A輪階段的融資交易。（acrofan）[2022/7/27 2:39:26]

它將程序的屬性和預期行為表達成為數學公式，然后使用自動化工具來檢查這些公式是否成立。該過程有助于確保其程序符合預期，其主要發現包括邏輯問題、重入風險、缺乏訪問控制、溢出/下溢和?gas?優化等等。

但最終產生的結果需要經過審計專家的人工驗證，以保證結果的準確。

人工審計

安全工具的確非常強大但是也有其相應的局限性，這也是我們經驗豐富的工程師團隊發揮作用的地方。

人工審計的內容包括對代碼進行極為細致的逐行檢查，這是整個審計過程中最為耗時的步驟。

人工審計可以分為兩個部分：微觀審計和宏觀審計。

微觀審計包括分析代碼以了解所有功能，在這個過程中我們經常會發現代碼的問題。這一審計部分涉及到的技術包括分析每個參數、變量和字段，審計函數訪問控制和修改狀態變量，以及對類似的函數進行比較。

而宏觀審計是通過了解項目的調用/合約層次，搜索狀態變量和函數的出現位置，以及檢查不同的假想場景來識別全局漏洞。

例如那些關鍵性漏洞的誘因通常不只局限于單一的函數，而是可能由位于代碼不同部分、多個功能之間的不正確交互導致。

上文我們提到了架構審計和從威脅建模結果中得出的“安全檢查表”，人工審計的過程也將參考這些結果。

在人工代碼審計過程中，審計員將同時采用黑客和開發者的視角。黑客的思維方式將被用來發現那些可能被利用的潛在漏洞，而開發者的思維方式將被用來驗證執行情況并識別代碼中的不足，如低效的?gas?使用和缺乏的代碼模塊化。

在必要情況下，我們還會將單元測試納入人工審計。

單元測試是根據每個項目的不同特點為其量身定制的安全評估，包括驗證項目組件是否正確地響應特定的輸入、輸出和邊緣案例。

如果單元測試被成功運行，那么就意味著代碼的確是在按照預期規范運行。

針對大型項目，CertiK?將安排多位審計員作為一個團隊進行審計，建立審計計劃并分配相應職責，定期舉行會議以討論審計進度和結果，并在必要時協同完成工作。除此之外，也將為項目與審計團隊之間建立一個便捷的溝通渠道，以便第一時間就項目審計相關內容進行溝通。

CertiK?的審計方法整合了各項安全技術，包括靜態分析、形式化驗證和人工審計，以確保項目代碼庫的安全。這種全面的方法可將安全漏洞發生的風險降到最低，為項目賦予對其代碼正確性和安全性的充分信心。

審計報告和代碼修復

我們的審計報告從項目的類型、生態系統和審計范圍的描述開始，對項目的安全狀況進行了詳細的分析。這些報告解釋了我們用于評估項目安全性的方式和審計方法。

而為了讓讀者更容易理解報告中的安全評級和術語，在報告的附錄部分，我們提供了有關審計的定義和其他信息，這些信息包括圖表和審計員注釋。所做的具體測試將在報告中專門提及，解釋其執行過程和最終的結果。

我們提供的每個風險「Finding」都包括對項目中發現的問題進行識別、分類和提供的建議，以及對這些內容的詳細解釋。

每個挖掘出的風險「Finding」均包括標題和數據。

接下來的四個版塊準確地詳述了安全注意事項：

Description：定義了風險漏洞的背景并概述了其安全影響。

Scenario：介紹了觸發一個漏洞或者造成項目故障的步驟及其前提。

ProofofConcept：包括了漏洞利用腳本和說明，以及用于在客戶端重現漏洞時的預期日志輸出。

Recommendations：通過提供可操作的解決或修復措施來總結所有調查結果。

這些版塊提供了詳細及具備針對性的信息，以便于讀者理解。

在修復階段，項目團隊將與審計團隊進行持續地溝通，進一步提高項目的安全性。

初審報告是出具給項目團隊的，隨后項目團隊可以通過源代碼更新或是評論來回復。我們將根據項目團隊提交的回應對評估結果進行更新，并在終審報告中標注其對代碼做出的修改。

這一過程可以重復進行直到項目團隊對安全評估滿意為止。終審報告除提交給項目團隊以外，也將公布于?CertiK?安全排行榜，社區成員和其他用戶均可免費查看該項目在接受?CertiK?審計和安全服務后提升安全等級的細節內容。

寫在最后

除了審計服務，CertiK?的安全工程師還身兼威脅事件響應、安全研究、發表教育技術類分析、參與會議、奪旗比賽和內部培訓多領域技能，這些多樣化的技能和經驗幫助更加深入了解安全領域，且通過持續的教育和研究深入理解最新的行業標準和最佳實踐。

CertiK?的審計有幾個有別于其他審計服務的主要特點：

①我們的定制環境允許審計專家運行專有工具和定制測試。這將確保全面且徹底地測試項目的安全性。

②我們的審計專家擁有的專業水平可以確保人工審計能在最高水平上進行代碼的細致檢查。因此即便是最為復雜的代碼庫，我們也可以挖掘出潛在的漏洞。

③CertiK?的審計報告是完全定制的，為項目團隊提供風險的解決方案。項目的開發者可以獲取解決風險和漏洞的可操作步驟，從而提高項目的整體安全性。

CertiK?審計服務的目的是為項目的代碼提供全面的安全評估。因此這意味著盡管項目代碼得到了基礎安全評估，但同樣也非常需要?CertiK?的安全解決方案以進一步增強安全性。

CertiK?的端到端安全解決方案中包含了滲透測試、漏洞賞金以及額外的測試服務，可進一步確保項目的安全。

Skynet?天網系統和?24*?7?威脅事件響應可為項目提供鏈上監控，防止惡意利用和威脅。

安全排行榜和Web3.0?項目團隊的KYC?盡調可以提高社區透明度和信任度。

CertiK?端到端安全解決方案不僅能為靜態和鏈上運行環境中的項目提供全面的安全性，同時也可做到在社區內建立信任，用戶可以更好地了解他們正在交互的項目的風險——這也是我們公開審計報告的原因。

提高整個Web3.0?行業的安全標準和透明度是我們的使命，其中的部分內容在本文中得以體現。我們期待Web3.0?的未來是健康且安全的，也將一步步助力其達成這個目標。

Tags：WEBWEB3certikERTWeb AIWeb3Campcertik幣價Concern Poverty Chain

NEAR