Web3审计的堪忧状况及其应对之策

Balancer是一个老牌且经过良好审计的协议,最近却遭到"黑客攻击"。同样经过良好审计的Yearn Finance也是如此。几年前,Euler Finance通过一个为回应早期审计而引入的功能被"黑客攻击"。USPD在部署前进行了审计,但未经审计的部署过程本身遭到黑客攻击,导致在推出后约3个月内完全报废。一直关注的人都不相信审计能保证某些东西是安全的。许多人质疑审计是否有任何价值。

这并不新鲜。这不是web3的问题。而且,实际上,这也不是什么特别深刻的观察。但审计仍然是一件很重要的事。项目会付费进行审计。项目会宣传审计。人们假装阅读审计。通常当一个经过审计的产品被利用时,人们会问为什么以及这是如何发生的。

我们不会直接回答任何这些问题,而是将研究最近推出产品的几份最新审计报告。这里的目标不是取笑或批评任何人。这些是随机选择的,主要是因为专注于最近的事情。这并不意味着它们特别糟糕。它们甚至没有那么糟糕!

我们在这里的观点不是审计员做错了什么。审计员正在做聘请他们的项目要求他们做的事情。审计范围由项目设定。举一个极端的例子:如果Do Kwon为他的稳定币计划聘请了审计员,他们会注意到它可能不稳定。这个问题会被标记为"已确认",但不会做任何事情或有任何不同。

这个问题与那些声称Do的Terra-LUNA生态系统非常稳健的研究完全无关。预测未来很困难,这类研究被正确地视为自私的营销,在极限情况下,承认了核心问题。项目赞助的研究预计会以积极的方式描绘事物。审计的全部意义在于提供客观的第三方视角。夸大其词不可信任,审计也不是保证或保险。生活就是如此。

这项调查的重点是强调,这里的真正问题不是审计员善于识别和审计流程精心设计来解决的基本编程错误。审计员非常擅长捕捉这些错误。同样,首先构建这些东西的程序员也是如此。根据经验,这种反馈会传达到正确的人那里,狭隘的问题会得到解决。

不,真正的问题是产品完全按预期工作,而已知的"风险"实现并导致一切崩溃。您现在将看到审计员试图保护自己免受任何和所有未来已知-未知问题的影响。作为一种免责和避免嘲笑的练习,这可能是有价值的事情。但从一般意义上讲,它对任何人都没有帮助。

然后在最后,我们将讨论一系列各方可以做什么既有帮助又服务于他们自己狭隘的自身利益。如果您改进审计的处方涉及利他主义,那么,嗯,这并不是很有用。

Jovay

Jovay是一个与蚂蚁金服或阿里巴巴或该领域的某些东西相关的L2。但Jovay做什么并不重要。它是由一个大型且资金充足的组织用软件构建的东西。这次审计列出了八个问题:

1. 一个合法的编程错误,后来被修复了。
2. 该协议不是无需信任的。这在某种程度上是一个问题,但它也是设计的核心部分。
3. "假充值"攻击适用于生态系统的广泛范围,并非特定于该项目。
4. RPC服务器使用HTTP而不是HTTPS。这些接口不处理秘密信息。这适用于数十亿个完全安全的只读网站。
5. 量子计算对以太坊构成风险。好的。非常切题。
6. EVM智能合约可能容易受到攻击。不是认真的。它说"由于不可变的代码部署和复杂的交互,Evm智能合约容易受到各种攻击向量的影响,可能导致资金被盗,.."好的。再次真正尊重这次审计的狭隘焦点。
7. 排序器设计受制于MEV。就像以太坊生态系统的其余部分一样。晚上也太黑了。
8. 代码质量可以改进。与自计算诞生以来编写的大多数其他代码不同。

其中只有一个是真正的问题。是的,如果文档另外说明它是无需信任的,那么值得注意的是产品本身不是无需信任的。但这个产品在这方面几乎没有问题。注意到量子计算可能构成未来风险以及智能合约可能存在风险...这些要么是试图通过找到编造的问题来使报告更长,要么是试图提供某种"这不是我们的错"如果最终被黑客攻击的话。可能是两者的混合。

本着这些观点的精神,我们提出第九个问题,即当太阳死亡时网络将会崩溃,除非我们成为星际物种并以某种方式弄清楚超光速通信。否则相对论将这个系统的使用寿命限制在大约50亿年。老实说,这比说代码质量可以改进更有用,因为即使在太阳死后,某个地方仍然会有糟糕的代码在执行。但我们是在开玩笑。

Hyperliquid

Hyperliquid发布了几份审计报告。第一份审计报告发现了六个问题,第二份报告确认这些问题已得到解决。但审计范围排除了:

1. Hyperliquid系统中的其他智能合约
2. 链外组件,如验证器
3. 前端组件
4. 与项目相关的基础设施
5. 密钥托管

这些似乎是潜在的问题领域!审计的只是一个单一的桥接合约。但系统,嗯,比那复杂得多。

审计系统中只做几件严格定义事情的一个小角落是非常无用的。按照Hyperliquid的设计方式,经过审计的合约是每个人的外部进入和退出点。因此,如果该合约充满错误,那将是一个严重的问题。但确认合约有效几乎不能提供任何安慰。

Ondo

这次审计强调了"受信任实体和角色的集中化风险",团队对此表示确认。在报告中就是这样大写的。没错。

这次审计指出,如果涉及的稳定币脱锚太严重,系统可能会崩溃。他们将其表述为系统"将在USDC脱锚事件期间允许过度的OUSG代币铸造"。最后他们提出的"解决方案"是引用Chainlink预言机,并在价格报告过低时设置一个关闭开关。因此,协议不会在价值崩溃时内爆,而是会在价值崩溃时停止。没错。这不是一个可解决的问题,因为如果USDC崩溃,没有机制可以避免价值损失的结果。而且,根据这一事实,解决方案实际上并没有解决任何问题。

这些审计相对较新。但为了提供一些背景,这份2022年10月的审计确定了很多真正的问题。几乎200个。大多数都得到了修复,有些与上述类似,只是被确认了。重点是审计曾经做一些具体和实质性的事情:寻找不可能是程序员意图的编程错误。程序员过去常常修复这些错误,因为它们是真正的错误,而不仅仅是内置于产品中的可疑设计决策。

然后到2024年,我们看到审计发现的技术问题相对较少,并宣布金融相关攻击超出范围。解释这种随时间变化的唯一合理方式是,程序员和作为审计员的程序员认识到,正常运行的代码并不是唯一的风险。当然,编程错误不时会被利用。但到2024年中期,每个人都可以看到,有缺陷的经济机制也是一个巨大的风险。它们是最大的风险。

完全按预期工作的项目——不是按梦想,而是按现实中的预期——不时爆炸,因为设计师对稳定性的梦想在面对现实世界时破灭了。

您可以在这个项目的审计中看到这种演变。

Mutuum Finance

现在我们有了审计的归谬法。这个审计确定了一个问题:

问题是围绕初始代币分配缺乏透明度,以及这可能如何与集中化问题相关。它已被"缓解",因为:

然后有很多多重签名的细节。最后是审计员的回应:

所以该项目的风险是,一个小团队控制着一切,而控制权将以何种方式分散,或者可能不会分散,完全不透明。团队提出的撰写博客文章以阐明其意图的解决方案,从任何严格意义上讲,都没有解决这个问题。

记录在案的是,团队已经发布了代币将在何时去往何处的详细清单。他们承认这是不完整的,并附有"我们正在考虑按区块或每周分发模式"之类的评论。他们还承认一切都将通过手动多重签名进行管理。所以他们是诚实的。只是诚实相当于"是的,我们仍然可以做任何我们想做的事,你必须信任我们"。

这次审计的目的是什么?如果代码没有可识别的错误,审计员可以直接写出来。有时去看医生或机械师会得到健康证明。所以我们想知道是否只审计了微不足道的代码?或者也许项目本身只是微不足道的代码?审计员是否觉得需要在报告中放一些东西,因为否则一切都太空洞了?为什么有人会费心做这些?

我们在这里并不真正责怪审计员。在某种程度上,如果有人做错了什么,那几乎肯定是委托审计的人的激励问题。以及他们花投资者的钱来制作一份主要无用的文件用于营销目的的事实。这不是审计员的责任!

改进

捕获更多错误、发布到生产的破损代码更少以及实施更多提议的修复是一件明确的好事。我们还没有不成熟到建议问题是用户和投资者关心错误的东西,例如,对意义不大的审计赋予价值和信任。人们关心他们关心的事情,试图改变这一点是徒劳的。

但我们可以建议一些真正的改进。Ethena率先解释了他们产品的许多故障模式。团队始终如一地传达USDe并非无风险的信息。他们概述了可能遇到麻烦的方式。该产品经历了一些波折,但幸存了下来,今天已经相当大了。这给了我们一个投资者的行动要点:坚持项目诚实地说明可能存在的任何"金融相关攻击"。

Ethena表明诚实不会毁掉项目!您可以说,通过更诚实,项目吸引了更多兴趣。诚实还有一个额外的好处,即如果出现问题,可以提供更多的法律保护。项目应该已经想做这件事了。

审计员也可以重新安排他们进行分析的方式,使他们的工作更有用。或者至少不那么无用和可能产生误导。不要将经济激励问题或量子安全等一般问题与错误放在同一部分。目前,这些通常以略微区别于编码错误的方式标记。或者它们被列为"信息性"而不是"关键"。

但这没有抓住重点。量子安全对于一个系统来说可能确实是一个"关键"风险——但它与糟糕的签名检查或错误的减号完全不同!将这些东西放在单独的部分。同样,"这种稳定币计划在合理可能的条件下不稳定"与代码中的逻辑错误完全不同。澄清这种混淆应该改善审计文件的外观并提升审计员的声誉。

最后,交易所可以提供帮助。大型交易所因上市糟糕的项目、剧烈波动的风险模因币让人们赔钱,或各种造成损失的奇怪商业决策而受到很多批评。如果交易所坚持进行合理的审计,诚实地涵盖经济稳定性,并且不将"智能合约可能容易受到攻击"之类的风险与真正的逻辑检查混为一谈,会怎么样?

解释审计员用这种填充物填充其结果的一种方式是,没有人会认真对待空的审计结果。这样的文件会引起质疑是合理的。但是,如果一个主要交易所上市一个代币,比如说,有两个匹配的"空"审计结果,其中不包括项目特定的问题,并采取这是一件好事的立场...这可能有助于推进一点。我们也处于周期中的一个点,成为一个更"诚实"和"合理"的交易所应该比缺乏荒谬的登月营销让你获得更多客户。

同样,审计一个项目并说它看起来不错不应该有任何污名。这个责任在审计员身上。也许一群审计员可以在这个领域发表一些联合声明。是的,我们可以理解审计员会想对在参与开始时被排除在范围之外的潜在问题提出警告。也很合理。但用毫无意义的一般潜在问题填充结果不是答案。也不是说团队通过发布博客文章来缓解集中化风险,内容是关于他们打算尽快手动整理的代币分配,时间表仍有待确定。

审计可能是有用的。审计可以提供帮助。事实上,web3审计已经发现了真正的问题,并且在很长一段时间内充满了有用和有趣的内容。但工程师随着时间的推移而进步,因为他们是工程师,这就是他们所做的。审计员需要跟上步伐,借用一个词,创新一点。生态系统的许多较大部分,如交易所,也可以帮助推动这一进程。