➤首先来说,Certik多少是有些问题的。
https://skynet.certik.com/zh-CN/projects/dexx
第一,打开项目页,首先是评分!一个审计机构,你评分是什么鬼?
我们看审计报告,需要知道的是风险有多大,而不是项目或代码有多好!
第二,上来还有项目亮点。而且你看DEXX这亮点都是啥?推特关注者数量、社群、还有市场稳定性。这和你审计业务有啥关系,就这能叫亮点?
第三,可是涉及到审计的关键问题时,点击”查看漏洞信息“,然后接下来,不但没有显示漏洞信息,整个代码审计这块就没了……不信的话大家可以自己去试一下,我也录了个视频。
第四,其实页面上有pdf审计报告文件可以查看,但是位置不太明显。另一方面,审计报告里的风险事件情况不写在页面上,反而在页面上写一些与安全无关的亮点和评分……
➤其次,外行看审计报告,应该至少看一下风险摘要。
一般审计报告会把风险划分为致命的、主要的、中度、轻度、信息化几个级别。
我们可以看一下每个级别有多少风险问题,有多少已经解决、有多少还没有解决。
像DEXX这个审计报告上写了,有1主要问题——中心化。
4个中度问题——易受攻击代码。这个已经比较直白了。已解决2个,未解决2个。
4个轻度问题——设计问题,已解决1个,未解决3个。
已解决就是已经解决了问题,已知悉,就是没解决的意思哈哈。
这么说吧,审计报告没问题,不一定真的没问题。但审计风险摘要里都有问题的,那确实是真的有问题的。
➤对比其他DEX的审计报告
❚ DYDX
既然说到DEX,我们可以看一下著名的DEX #dydx 的审计情况。
DYDX也没有花钱请certik进行审计,而是由不同的代码审计人员组成审计组进行非正式审计共6次。最近一次审计报告显示:
https://github.com/dydxprotocol/v4-chain/blob/main/audits/Informal-Systems-Audit-Report-2024-Q2%2B.pdf
共有:
中度风险1项,未解决。
低风险6项,2个已解决,4个暂未解决。
信息性风险7项目,7个暂未解决。
❚ DeGate
再来看一个基于以太坊二层的DEX #DeGate ,2023年8月上线至今天,一共由3家审计机构进行代码,包括
@trailofbits、@LeastAuthority和 #Secbit 共进行5次代码审计。
看一下最近一次的审计报告,审计机构是Secbit。审计报告的地址是
https://github.com/degatedev/protocols/blob/degate_mainnet/packages/loopring_v3/security_audit/DeGate_Report_EN-final20230912.pdf 。
中度风险4个,全部已经解决。
低风险8个,其中5个已经解决,3个暂时未解决。
信息性风险4个,1个已解决,3个暂时未解决。
还有4个讨论级别的风险,2个已解决,2个暂时未解决。这类风险应该是需要讨论的,不确定是否存在问题。
没有发现更高级别的风险了,剩下的最高风险是低风险。
DYDX 和 DeGate审计的共同点是:
第一,都没有花钱给Certik去”镀金”,而是由多个审计主体进行了多次审计,这样可以相对更充分的发现代码中的安全问题。
第二,审计报告发布在Github平台,而不是审计机构或项目方的官网,这样可以看见审计报告文件的提交修改删除等行为,更公开更透明。
第三,这两个DEX的审计报告中都没有未解决的中度风险。根据审计情况都把风险控制在低风险级别下。
DYDX V4和DeGate分别已经安全运行了14个月和16个月。
可见,无论是大型DEX还是中小型DEX,都可以对比出DEXX的不安全。
➤写在最后
作为代码小白的我们,听说项目方有代码审计,我们要打开审计报告看了一下。而不是听项目方说有多少个安全性通过。
以DEXX为例,虽然Certik把它的代码排名在10%以内,但是它的评分只有59.31分。这说明DEXX实际的安全性可能更差。只要我们打开这份审计报告,什么也看不懂,起码能看见59.31这个评分。再仔细往下看就会发现”易受攻击代码”的字样。当时看过这两个细节,估计我们也不会去使用这个DEXX了。
打开审计报告以后,即使英文不好,也可以查找Medium这个词,找到风险事件摘要,看一下已发现的各级别的风险问题有多少个,多少已解决、多少未解决。
虽然代码审计安全的项目不一定安全,虽然我们可能看不懂具体的代码风险,但是发现风险级别较高的因素尚未解决,很可能说明项目代码可能处于比较潦草的阶段,还有待的完善安全性,我们在使用时要慎之又慎。
而参与审计的主体多、审计次数多,项目的安全性可能会相对更好一些。当然,也仅仅是相对安全。毕竟很多风险事件不一定是代码层面上的。
提升安全性,我们的资产可以分散存储,大额长期投资使用冷钱包。在应用的用户端,手机电脑的环境保持安全性也非常重要,参与交易和持币的浏览器、设备等与日常使用等进行隔离。在操作资产时,包括交易、游戏等等行为,要慢,要慢,要慢,仔细核对信息……欢迎补充
链上合约透明的可以,这种谁都可以去审计一下,也可以去找漏洞攻击它。
我都怀疑链下部分这种代码漏洞能被攻击的,都和他们内部人有关……
——————————
币毒说:
这里有个本质区别,就是你举例的全是去中心化平台。
而DEXX并非去中心化平台,作为一个中心化平台审计不审计没有丝毫作用,中心化平台更需要的是找类似360、创宇这些公司做安全测试。
TVBee说:
你看dydx的审计全是个人,那才是最有有效的人工审计呢。
degate这个是找了几个机构去审计,应该也是为了安全测试的。
我认为,这个DEXX就根本没想要什么安全测试,他们的动机就是花钱镀个金,买个报告……😂
Mr.Meme | 迷因先生说:
certik 只要给钱就出合规报告 有什么问题?商人收钱办事 天经地义的
TVBee说:
主要Certik除了风险,还有一些别的信息放在了页面最前面,这形成了一定的干扰,另外有一个前端功能有问题。
所以我说多少有些问题。倒也不是责怪的意思,因为Certik也有披露安全风险,评分59.31。但大家不看啊。
大家就听项目说审计通过了9项目安全啥的……他们就不点开看一眼报告……
Eric SJ(重开版)说:
Certik审计的名声不太好,之前 $ICE 被他们评为top隐私级别的项目我都没有去搭腔
TVBee说:
名声是一方面,审计平台应该以安全为主,别扯别的。散户也是,审计报告打开看两眼啊。就这个DEXX,但凡打开看两眼,也能有几个人不使用它了。
SoullessL.fuel说:
Certik 上次盗了老外交易所还被告了,然后说我们是白帽黑客为了测试。
他们家审计以后出问题太多了,都怀疑他们故意知道漏洞不报告。
泵泵超人 | Crypto Pumpman说:
可惜大家fomo的时候,都不关心安全审计😔
TVBee说:
也关心,主要听说审计了,不看报告……就这个DEXX,打看哪怕看一眼,评分59.31 ,就能有一些谨慎的人不玩了。再看一眼,易受攻击代码,就能又有一些人不充钱。
就打开看看啊。
我主要也是有经验,我21年对接过一个defi项目,有四个审计。打开一开有主要风险……那个文章写完了没发,发了我就毁了我
0xZeno说:
还是不能只看评分和亮点,审计的细节得重点关注
TVBee说:
他一个审计机构 就不应该整什么亮和评分,就只说漏洞就可以了嘛。你看到了点上
AlphaMan说:
分析的非常中肯,Certik 这个产品我也觉得挺杂的。
TVBee说:
对的对的,他审计,就应该只发安全相关的。下面审计和网站扫描其实还是有用的。但他上面整这些放最前面,这是一种误导。
是珊珊吖@说:
在链上 fomo 的时候,大家都只关心快了,都忽略了安全问题
TVBee说:
是的,确实是这么个情况。我要是早点看两眼就好了,因为DEXX也私信找过我,我感觉我也不是返佣这块料,我就拒绝了。当时我看两眼文档,没准能打开这个审计报告。
Frankstein说:
审计的确没办法cover所有的问题。但是有责任flag潜在的风险。最无法接受的是一而再再而三的在出了问题之后甩锅说不在自己的审计范围内。仔细看看certik审计的全是meme项目…
alex说:
dydx和degate确实靠谱多了。可惜他们不是solana生态,所以才有那么多人冲去DEXX。
Charles👁💎说:
说白了人家就是搞了这么一个所谓的审计公司的招牌拿来赚各种项目方的钱,太部分都这种的,只是它被率先爆了
头疼怪说:
这些投机者有几个是真正在乎审计的?在DEXX的金钱洗脑下,多少人是关注过资金安全的问题,也有待商榷,最重要的是web3本身就是情绪市场,哪里人多足够吵闹,就高举着钱往口袋里送。
DEXX更多的是韭菜们的教训,怪不了任何人。
TVBee说:
就不是投机者,平时冷静的时候。项目方说通过代码审计,谁会打开那个审计报告看一下?很少有人会去看的。
G-miner说:
certik從第一次defi summer就知道是垃圾了
從來都沒有信譽可言
TVBee说:
就这样certik也有提示了这个DEXX的风险呢59.31评分,还有”中心化”风险、”易受攻击代码”……关键大家不看……
+ There are no comments
Add yours