如何鑒別有技術(shù)實力的區(qū)塊鏈安全審計團隊？

網(wǎng)上有人曬自己收到的Defi空投。自去年Uniswap開啟了空投價值上千美元的代幣先例后，后續(xù)的一些項目也在延續(xù)空投操作，這一度將Defi熱浪再推至高潮。

根據(jù)Coingecko數(shù)據(jù)顯示，目前Defi總市值已達900多億美元，市場發(fā)展迅速。隨著幣安BSC和火幣Heco鏈的崛起，市場上涌現(xiàn)了許多新的項目，例如PancakeSwap、DoDo等，同時也推動了國產(chǎn)項目的發(fā)展熱潮，并成就了國內(nèi)用戶的極大參與熱情。而BSC和Heco上巨量鎖倉資金量就是其最好的證明。

但隨著資金量越來越大，用戶也越來越多，項目的安全問題也愈發(fā)重要。例如3月10日，有媒體報道攻擊者利用DoDo V2眾籌智能合約的漏洞竊走了380萬美元。雖然一時眾說紛紜，但安全問題卻刻不容緩。那針對項目安全，是誰做的審計，審計的流程以及如何挑選審計團隊呢？

1 .安全審計魚龍混雜：

當(dāng)幣安推出BSC時，最初誰也沒想到，它會爆紅成為Defi的另一個溫床。接著火幣Heco鏈的爆發(fā)就順理成章了。這令人欣喜，它促進了國內(nèi)Defi市場的繁榮和發(fā)展，但也令人憂愁，其繁榮的背后也意味著魚龍混雜。

因此，為安全上一道鎖的項目審計也相應(yīng)有廣闊的前景。例如Heco的造物主計劃中公布的上百個項目，它們要上交易所都需要合格的審計報告。而按當(dāng)前的市場發(fā)展，需要審計的項目遠比想象的多。

區(qū)塊鏈安全審計，事關(guān)“資產(chǎn)”安全，在這個專業(yè)性極強的領(lǐng)域，還是希望各位玩家，不要太兒戲，提供專業(yè)的服務(wù)“利己”，提供安全的保障“利他”，這才是安全行業(yè)健康的發(fā)展之本。

2.項目審計一般流程:

根據(jù)業(yè)內(nèi)審計公司慢霧和零時等公司官網(wǎng)顯示，項目審計流程雖略有差異，但主要流程相似。

當(dāng)項目需要審計時，它的一般流程：業(yè)務(wù)溝通——項目評估——支付費用——安全審計——修改復(fù)測——出具報告。

在業(yè)務(wù)溝通部分需要確認對方的需求，例如主要審查什么問題，審查的代碼范圍等。一般常見的或者必查的問題都會在審計公司官網(wǎng)列出，例如以太坊智能合約的重入攻擊等幾十個小類審計項。

審計方會查看項目白皮書等資料再結(jié)合項目需求進行評估，而后協(xié)商具體的審計內(nèi)容，定下協(xié)議并進行確認，待項目方支付費用后開始審計并給出審計報告。

有的安全審計公司后面還有整改復(fù)測部分，會對之前的問題進行修改后的再次檢查，以避免相應(yīng)的問題是否修復(fù)以確保項目安全。

每個公司都有自己的風(fēng)格偏好，每個團隊也有自己的行事習(xí)慣，但作為有經(jīng)驗的團隊，都能根據(jù)需求，完成審計并出具合格的報告。

審計周期一般為3天-2周情況不等，這需要看審計團隊的排單情況和代碼工作量等等；

3.作為項目方要如何挑選審計團隊呢？

目前市場面上的主流審計公司并不多，例如知道創(chuàng)宇、慢霧科技、零時科技等。選擇審計團隊可以看看技術(shù)核心（白帽子）團隊構(gòu)成、以往案例、股東結(jié)構(gòu)，以及相應(yīng)的合作伙伴。

知道創(chuàng)宇CEO趙偉是從美國安全實驗室邁克菲（McAfee）離職創(chuàng)立知道創(chuàng)宇。而其聯(lián)合創(chuàng)始人楊翼龍，CTO兼COO是著名黑客，他參與編寫了《網(wǎng)絡(luò)滲透技術(shù)》。公司獲得神州數(shù)碼、騰訊百度聯(lián)合投資，還獲得騰訊的二度投資，得到了主流機構(gòu)的肯定和加持！

零時科技CEO鄧永凱，高校就讀于信息安全專業(yè)，后進入業(yè)內(nèi)著名安全上市公司綠盟科技工作，成為國內(nèi)安全圈頂級白帽子，專注漏洞挖掘與安全攻防，在這個領(lǐng)域從事近10年，零時團隊同時也編著了書籍《區(qū)塊鏈安全與入門》；

從股東結(jié)構(gòu)來看，零時獲得四葉草安全、深圳互聯(lián)工廠、輝客資本等投資，資方之一的四葉草安全還獲得螞蟻金服投資，零時科技可以說是螞蟻金服的孫子輩兒公司。

慢霧科技創(chuàng)始人余弦，知名黑客，404團隊Leader，曾打造了漏洞交易平臺Seebug、網(wǎng)絡(luò)空間搜索引擎ZoomEye，并且?guī)ш牫晒εe辦了知名黑客大會。作為一家較早進入區(qū)塊鏈領(lǐng)域的安全公司，也是戰(zhàn)績卓越，很多項目的安全審計也是出自慢霧團隊；

雖然慢霧科技股東結(jié)構(gòu)比較簡單，沒有什么BAT背景，但從領(lǐng)域經(jīng)驗和專業(yè)度來說，得到了市場很大的認可。

通過股東結(jié)構(gòu)、股東屬性和創(chuàng)始人對公司實力的調(diào)研，可以確認其在技術(shù)能力方面是否能得到保障，畢竟像騰訊、螞蟻這樣的企業(yè)已經(jīng)幫大家做出了專業(yè)選擇，而且每個CEO的行業(yè)履歷是通過能力、經(jīng)驗和時間可以得到驗證的。

當(dāng)然，最終選擇與諸多因素有關(guān)，例如審計時間、資金和審計要求等。不過，在自己的預(yù)算范圍內(nèi)，盡可能選擇靠譜并專業(yè)的審計公司審計。因為這不僅關(guān)乎用戶資金的安全，更關(guān)乎項目生命的長度。

行業(yè)正處于發(fā)展大行情中，項目如雨后春筍般涌現(xiàn)，愿大家都重視安全，選擇到值得信任的審計團隊合作，為資產(chǎn)損失降低風(fēng)險。

免責(zé)聲明：市場有風(fēng)險，選擇需謹慎！此文僅供參考，不作買賣依據(jù)。