誰來監管審計公司？_Polkadot:PolkaRARE

前兩天，一個C字打頭的區塊鏈安全審計公司審計過的項目Merlin DEX卷款200萬美刀跑路，在業內引起了不大不小的震動。從跑路節奏的掌握上看，這個項目方是懂跑路的：第一天，宣布完成安全審計；第二天，宣布達成200萬美刀流動性TVL；第三天，卷款跑路 。而C審計公司給出的審計意見，竟然是安全無虞。

略顯諷刺的是，就在M項目卷款跑路的同一時間，C審計公司的專訪稿“對話Web3安全超級獨角獸”放了出來。對話中，記者問到了2月份卷款300萬美刀跑路的項目Orion Protocol，當時C審計公司給予的評分是滿分。受訪人給出的回答是，出事的代碼沒有提交審計，過錯全在項目方想省錢，“對安全的重視程度還是不夠。大家雖然在安全上花了錢，但花得還不夠，應該做完整的代碼審計。”因此受訪人認為，是他們替項目方“背了鍋”。

普華永道計劃在未來三年內投資10億美元用于生成式人工智能:金色財經報道，普華永道計劃在未來三年內在其美國業務中投資10億美元用于生成式人工智能技術，與微軟公司和ChatGPT制造商OpenAI合作，使其稅務、審計和咨詢服務的各個方面實現自動化。周三宣布的多年投資包括招募更多AI員工和培訓現有員工的AI能力，同時瞄準AI軟件制造商進行潛在收購。（華爾街日報）[2023/4/26 14:28:12]

但是真金白銀的事兒，靠背鍋甩鍋畢竟不能解決。安全審計這個行當，至少面臨下述四個方面的難題：

所謂安全審計這個事情，從邏輯上是不符合區塊鏈精神的。區塊鏈精神是什么？不要信任，要驗證。但是安全審計所做的事情，恰恰是讓用戶不去驗證，去信任審計公司寫的審計報告。

是的，很多人會辯護說，大多數用戶根本沒有技術能力，自己又看不懂智能合約代碼，而且就算懂一點兒，也很難有那么專業的安全知識，能夠看得出來代碼里的問題和貓膩。審計公司，就是用戶的守護神，替用戶審查了這些代碼，避免了用戶遭受損失的風險。

字節跳動旗下虛擬時尚社區“沸寂”發布關停公告:金色財經報道，據官方公告，字節跳動旗下虛擬時尚社區“沸寂”發布關停公告稱，“由于公司業務需要，“沸寂”將于2023年4月19日起停止運營及服務，用戶應在該日前盡快保存上身圖和上身視頻（如有）等信息。

即日起，停止新用戶注冊、停止下單購買、“沸寂”App在App Store和安卓應用商店下架。4月10日起，停止App登錄，停止所有品牌商品等頁面訪問，停止用戶個人信息頁、訂單頁面訪問，屆時和以后將無法登錄“沸寂”App。同時，“沸寂”還將提供全額退款的通道。

據悉，“沸寂”是抖音公司在去年6月6日上線的虛擬時尚社區。[2023/3/18 13:11:26]

但是，一個始料未及的結果出現了。審計公司以它的專業性，拍著胸脯告訴用戶沒問題。這削弱了用戶的風險意識，增強了用戶的投機力度，最終給用戶造成了更大的損失。

Revolut CEO：其原生Token Revcoin計劃在明年初推出:金色財經報道，數字銀行Revolut首席執行官Nik Storonsky在里斯本Web峰會上接受采訪時表示，Revolut的新即時通訊功能昨天在英國和歐洲經濟區推出，將支持NFT作為個人資料頭像，Storonsky還表示，其原生Token Revcoin計劃在明年初推出，類似于航空公司AirMiles計劃的方式發揮作用。Revolut還在開發一個非托管DeFi錢包，它將作為一個獨立的應用程序運行。[2022/11/3 12:14:34]

如果一個土狗項目，沒有任何背書。你在沖進去的時候一定會哆哆嗦嗦，不敢投入太大——因為你生怕一不小心，土狗卷款跑路，或者代碼bug，或者黑客盜幣，凡此種種。但是現在，土狗還是那只土狗，可是卻穿上了“黃馬褂”，掏出了蓋著幾個紅戳的安全審計報告。土狗你不認識，審計公司明晃晃的金字招牌你是認識的。于是你重倉梭哈。土狗跑路。你損失慘重。

波卡周報：Aventus贏得Polkadot第26次插槽拍賣；Phala到以太坊的雙向轉賬已上線:9月11日消息，根據PolkaWorld發布的波卡周報，重要消息如下：

-Aventus贏得Polkadot第26次插槽Auction。

-Polkadot第27次插槽Auction將在9月11日凌晨4:12啟動，目前活躍的Crowdloan還有Crust和OmniBTC。

-Polkadot 72號公投已經通過并執行，該議案將Polkadot runtime升級到v9270。

-Polkadot 73號公投正在投票中，該議案提議將Statemint runtime升級到v9270。

-Polkadot國庫資助的Unbounded已經上線。

-Snow Network贏得Kusama第51次插槽Auction。

-Kusama理事會投票通過Motion542，該議案旨在為Bounty#3提供超出成本的資金。這個賞金任務是由Litentry提出，旨在提供一個簽名解決方案，以使用Beacon Network連接DApp和移動錢包。賞金包括Beacon SDK與基于Substrate的網絡的集成以及iOS和Android錢包的集成。總體而言，賞金由Beacon團隊、Fearless Wallet團隊和Nova Wallet已經在2022年6月完成。

-Phala完成3800萬PHA從以太坊到Phala智能合約橋Subbridge的遷移。

-從Phala到以太坊的雙向轉賬現已正式上線。

-Parity的核心開發者將于12月12日在柏林參加Berlin Blockchain Week柏林區塊鏈周，屆時將分享有關Polkadot和Substrate的最新消息，還將在Parity柏林的辦公室舉辦HackerDay和如何創建Unstoppable應用程序的workshop。[2022/9/11 13:23:12]

安全審計報告，就像一個隱形的杠桿，無形之中，放大了你的虧損。當然，也倍增了土狗跑路的收益。

PayPal允許將加密貨幣轉移到外部錢包:6月21日消息，PayPal允許將加密貨幣轉移到外部錢包。[2022/6/21 4:41:23]

回頭再看一眼辯護詞。審計公司真的是全心全意站在用戶的立場上，為了用戶的安全在審查那些代碼嗎？

若誰認為是。那么請問，誰付錢給審計公司？審計公司掙誰的錢？

拿誰錢財，替誰辦事。你永遠可以相信，屁股決定腦袋，利益決定立場。

就像靠車商養活的測評工作室不可能對用戶全掏一片真心，而只會是更高級的營銷工具，掙項目方錢的審計公司，屁股絕對不可能坐在用戶這一邊。說白了，它們的審計報告，不過就是一種更高級的市場營銷材料罷了。

更糟糕的是，車商畢竟最終還是要靠用戶買它們的汽車才能賺錢，因此測評工作室也不能完全拋棄用戶立場，但是Web3項目則不同，很多時候，營銷就是它們唯一的“產品”，營銷完畢，錢圈到手，就可以和用戶說拜拜了。這種模式就注定了，審計公司的屁股必然就會坐的更歪，甚至淪為項目方的“幫兇”。

也許，正是這種心態，讓審計在看到M項目的代碼里赫然把用戶存入的資金全部授權給項目方控制的時候，覺得這應該也沒有什么問題吧。

若客觀上注定了審計公司的立場必然偏向于項目方，那么主觀上就無法撇清有意為之的動機問題而自證清白。

就像一個項目卷款跑路之后，擁有超級權限的項目方也很難自證，究竟是真的不小心泄露了私鑰，還是監守自盜。監守自盜的話，一起分個贓，絕非不可能。又或者干脆黑吃黑。夜黑風高，套上黑衣，變身黑客。漏洞在心，屢屢得手。

即便是作為一個組織，沒有作惡的動機，可是依然無法防范，經手的一線人員不會見錢眼開。

一個審計人員，看到代碼有漏洞，告訴自己的小舅子，小舅子再把漏洞線索賣給X國黑客，這也不是不可能的事情。

道德風險如果有條件發生，它就總是一定發生。這個叫做“墨菲定律”。

誰最明白這種矛盾和糾結？當然是審計公司自己。

但是，放著白花花的銀子不賺，那是自己智商有問題。畢竟，這世界上能夠媲美看一行代碼賺幾十美刀的暴利生意，哪個不是需要把腦袋別在褲腰帶上干的？

審計公司所做的，和項目方自己的測試人員所做的，從技術上講，有什么不同？都是最大程度的保障代碼的可靠性、安全性。但是費用成本上，可是天上地下。超高的溢價來自于什么？來自于它本就是披著技術外衣的營銷。每100塊里，1塊錢是為技術付費，99塊錢是為營銷付費。Web3營銷，就是用品牌站臺，用專業包裝，用報告喊單。目的很單純，就是讓韭菜大膽地把兜里的仨瓜倆棗全都掏出來。

這安全審計，解決的就是怎么解放思想、放開膽子大膽干的問題。

如果這一行有監管，有追責，這事兒它其實也應該是一個腦袋別在褲腰帶上的生意。

2001年安然丑聞曝光，一系列追查、追責下來，為安然出具審計報告的全球五大審計會計事務所之一的安達信轟然解體。該抓的抓，該判的判。自此，“五大”永遠變成了“四大”，直到今天。

這邊風景獨好，因為沒有監管。看看今天很多Web3審計公司出具的安全審計報告，居然連審計員的姓名都不敢簽上去進行公開披露。

那就更不要提，出了事要它們負責了。

參考資料：

- https://twitter.com/3orovik/status/1651380667710595074

- https://mp.weixin.qq.com/s/6VVhOn47jVCEo0UzjZb1nw

* * * 劉教鏈 出品 * * *

(公眾號：劉教鏈。知識星球：公眾號回復“星球”)

來源：DeFi之道

DeFi之道

個人專欄

閱讀更多

金色薦讀

金色財經 善歐巴

Chainlink預言機

區塊律動BlockBeats

白話區塊鏈

金色早8點

Odaily星球日報

歐科云鏈

深潮TechFlow

MarsBit

Tags：POLKPOLADOPolkadotHuobi PolkadotPolkaRARETornado.Cashpolkadot幣

以太坊交易所