前兩天,一個C字打頭的區塊鏈安全審計公司審計過的項目MerlinDEX卷款200萬美刀跑路,在業內引起了不大不小的震動。從跑路節奏的掌握上看,這個項目方是懂跑路的:第一天,宣布完成安全審計;第二天,宣布達成200萬美刀流動性TVL;第三天,卷款跑路。而C審計公司給出的審計意見,竟然是安全無虞。
略顯諷刺的是,就在M項目卷款跑路的同一時間,C審計公司的專訪稿“對話Web3安全超級獨角獸”放了出來。對話中,記者問到了2月份卷款300萬美刀跑路的項目OrionProtocol,當時C審計公司給予的評分是滿分。受訪人給出的回答是,出事的代碼沒有提交審計,過錯全在項目方想省錢,“對安全的重視程度還是不夠。大家雖然在安全上花了錢,但花得還不夠,應該做完整的代碼審計。”因此受訪人認為,是他們替項目方“背了鍋”。
但是真金白銀的事兒,靠背鍋甩鍋畢竟不能解決。安全審計這個行當,至少面臨下述四個方面的難題:
Cathie Wood:在對XRP的裁決后,對Coinbase持樂觀態度:金色財經報道,Cathie Wood周一表示,在上周法庭裁決Ripple Labs在與美國證券交易委員會的持續糾紛中取得部分勝利后,她對加密貨幣交易所Coinbase持樂觀態度。盡管Ark Invest最近出售了該公司的股票,但情況還是如此。?
Wood稱,我們對Coinbase非常看好,特別是考慮到法院對Ripple做出了有利于Ripple且對SEC不利的裁決。雖然有一些認沽和認購,但總的來說,對交易所來說是非常積極的。[2023/7/18 11:01:07]
一、內在矛盾
所謂安全審計這個事情,從邏輯上是不符合區塊鏈精神的。區塊鏈精神是什么?不要信任,要驗證。但是安全審計所做的事情,恰恰是讓用戶不去驗證,去信任審計公司寫的審計報告。
韓國數字資產交易所聯合咨詢機構DAXA已開通官方網站:5月23日消息,由韓國五大加密交易所Upbit、Bithumb、Coinone、Korbit 和 Gopax組成的韓國數字資產交易所聯合咨詢機構(DAXA)已開通官方網站。該網站包含簡介、新聞、資料室等欄目,提供代幣公布、自律規定履行內容等信息。[2023/5/23 15:20:02]
是的,很多人會辯護說,大多數用戶根本沒有技術能力,自己又看不懂智能合約代碼,而且就算懂一點兒,也很難有那么專業的安全知識,能夠看得出來代碼里的問題和貓膩。審計公司,就是用戶的守護神,替用戶審查了這些代碼,避免了用戶遭受損失的風險。
但是,一個始料未及的結果出現了。審計公司以它的專業性,拍著胸脯告訴用戶沒問題。這削弱了用戶的風險意識,增強了用戶的投機力度,最終給用戶造成了更大的損失。
美聯儲下調美國今明兩年經濟增速,預測今年將再加息25個基點:金色財經報道,美聯儲FOMC做出經濟預期,2023至2025年底GDP增速預期中值分別為0.4%,1.2%,1.9%。此前12月預期分別為0.5%,1.6%,1.8%。美聯儲的經濟預測暗示,今年將再加息25個基點,到2024年底將降息75個基點。
今夜,美聯儲宣布加息25個基點后,美股三大股指短線拉升,道指漲0.2%,納指漲0.6%,標普500指數漲0.4%。[2023/3/23 13:20:49]
如果一個土狗項目,沒有任何背書。你在沖進去的時候一定會哆哆嗦嗦,不敢投入太大——因為你生怕一不小心,土狗卷款跑路,或者代碼bug,或者黑客盜幣,凡此種種。但是現在,土狗還是那只土狗,可是卻穿上了“黃馬褂”,掏出了蓋著幾個紅戳的安全審計報告。土狗你不認識,審計公司明晃晃的金字招牌你是認識的。于是你重倉梭哈。土狗跑路。你損失慘重。
紐約法院已授權Flare向合格Celsius賬戶空投FLR Token:1 月 25 日消息,紐約南區的破產法院已授權 Flare 向符合條件的 Celsius 賬戶持有人空投 FLR Token。
此前報道,Flare Network 于 1 月 10 日宣布已向合格 XRP 持有者空投近 42.8 億枚 FLR Token,占該項目總供應量的 15%。(The Block )[2023/1/25 11:29:32]
安全審計報告,就像一個隱形的杠桿,無形之中,放大了你的虧損。當然,也倍增了土狗跑路的收益。
二、立場問題
回頭再看一眼辯護詞。審計公司真的是全心全意站在用戶的立場上,為了用戶的安全在審查那些代碼嗎?
若誰認為是。那么請問,誰付錢給審計公司?審計公司掙誰的錢?
拿誰錢財,替誰辦事。你永遠可以相信,屁股決定腦袋,利益決定立場。
就像靠車商養活的測評工作室不可能對用戶全掏一片真心,而只會是更高級的營銷工具,掙項目方錢的審計公司,屁股絕對不可能坐在用戶這一邊。說白了,它們的審計報告,不過就是一種更高級的市場營銷材料罷了。
更糟糕的是,車商畢竟最終還是要靠用戶買它們的汽車才能賺錢,因此測評工作室也不能完全拋棄用戶立場,但是Web3項目則不同,很多時候,營銷就是它們唯一的“產品”,營銷完畢,錢圈到手,就可以和用戶說拜拜了。這種模式就注定了,審計公司的屁股必然就會坐的更歪,甚至淪為項目方的“幫兇”。
也許,正是這種心態,讓審計在看到M項目的代碼里赫然把用戶存入的資金全部授權給項目方控制的時候,覺得這應該也沒有什么問題吧。
三、道德風險
若客觀上注定了審計公司的立場必然偏向于項目方,那么主觀上就無法撇清有意為之的動機問題而自證清白。
就像一個項目卷款跑路之后,擁有超級權限的項目方也很難自證,究竟是真的不小心泄露了私鑰,還是監守自盜。監守自盜的話,一起分個贓,絕非不可能。又或者干脆黑吃黑。夜黑風高,套上黑衣,變身黑客。漏洞在心,屢屢得手。
即便是作為一個組織,沒有作惡的動機,可是依然無法防范,經手的一線人員不會見錢眼開。
一個審計人員,看到代碼有漏洞,告訴自己的小舅子,小舅子再把漏洞線索賣給X國黑客,這也不是不可能的事情。
道德風險如果有條件發生,它就總是一定發生。這個叫做“墨菲定律”。
四、責任缺位
誰最明白這種矛盾和糾結?當然是審計公司自己。
但是,放著白花花的銀子不賺,那是自己智商有問題。畢竟,這世界上能夠媲美看一行代碼賺幾十美刀的暴利生意,哪個不是需要把腦袋別在褲腰帶上干的?
審計公司所做的,和項目方自己的測試人員所做的,從技術上講,有什么不同?都是最大程度的保障代碼的可靠性、安全性。但是費用成本上,可是天上地下。超高的溢價來自于什么?來自于它本就是披著技術外衣的營銷。每100塊里,1塊錢是為技術付費,99塊錢是為營銷付費。Web3營銷,就是用品牌站臺,用專業包裝,用報告喊單。目的很單純,就是讓韭菜大膽地把兜里的仨瓜倆棗全都掏出來。
這安全審計,解決的就是怎么解放思想、放開膽子大膽干的問題。
如果這一行有監管,有追責,這事兒它其實也應該是一個腦袋別在褲腰帶上的生意。
2001年安然丑聞曝光,一系列追查、追責下來,為安然出具審計報告的全球五大審計會計事務所之一的安達信轟然解體。該抓的抓,該判的判。自此,“五大”永遠變成了“四大”,直到今天。
這邊風景獨好,因為沒有監管。看看今天很多Web3審計公司出具的安全審計報告,居然連審計員的姓名都不敢簽上去進行公開披露。
那就更不要提,出了事要它們負責了。
參考資料:
-https://twitter.com/3orovik/status/1651380667710595074
-https://mp.weixin.qq.com/s/6VVhOn47jVCEo0UzjZb1nw
***劉教鏈出品***
(公眾號:劉教鏈。知識星球:公眾號回復“星球”)
來源:DeFi之道
各位朋友,歡迎來到SignalPlus宏觀點評。SignalPlus宏觀點評每天為各位更新宏觀市場信息,并分享我們對宏觀趨勢的觀察和看法。歡迎追蹤訂閱,與我們一起關注最新的市場動態.
1900/1/1 0:00:00去中心化交易所PancakeSwap?治理代幣CAKE本周遭受重創。比推終端數據顯示,CAKE在過去7天里暴跌24.4%?,成為市值前?100?大加密資產中表現最差的代幣之一.
1900/1/1 0:00:00作者:于瑋琳賈紫璇 撰文:于瑋琳 「喜茶官方通知我獲得了贈飲券,但我不想喝,我只想要冰箱貼」; 「你中了,哈哈」; 「之前領冰箱貼那會兒,我都喝出來胃病了」;「嗨,在路邊拉人請人喝果茶.
1900/1/1 0:00:00虛擬貨幣挖礦、投資、推廣等活動存在高額利潤回報,因此在國內法規已經明確虛擬貨幣相關活動為非法的情況下仍吸引不少人冒險進行虛擬貨幣投資炒作,從而引發較大的刑事風險.
1900/1/1 0:00:00引言 硅谷銀行擠兌事件后的危機決策,使人們對銀行業作為公私合營的地位產生了懷疑,因為政府現在隱含地對私人信貸資金提供了無限的公共支持。這是解決與貨幣和信貸之間關系有關的古老問題的一個尷尬的方式.
1900/1/1 0:00:00撰寫:Moritz 編譯:深潮TechFlow隨著NFT市場的不斷發展,亞馬遜也被其吸引。據報道,亞馬遜將在12天內推出其NFT市場,這對Web3來說意義重大.
1900/1/1 0:00:00