前兩天，一個(gè)C字打頭的區(qū)塊鏈安全審計(jì)公司審計(jì)過的項(xiàng)目Merlin DEX卷款200萬(wàn)美刀跑路，在業(yè)內(nèi)引起了不大不小的震動(dòng)。從跑路節(jié)奏的掌握上看，這個(gè)項(xiàng)目方是懂跑路的：第一天，宣布完成安全審計(jì)；第二天，宣布達(dá)成200萬(wàn)美刀流動(dòng)性TVL；第三天，卷款跑路 [1]。而C審計(jì)公司給出的審計(jì)意見，竟然是安全無(wú)虞。

略顯諷刺的是，就在M項(xiàng)目卷款跑路的同一時(shí)間，C審計(jì)公司的專訪稿“對(duì)話Web3安全超級(jí)獨(dú)角獸”放了出來[2]。對(duì)話中，記者問到了2月份卷款300萬(wàn)美刀跑路的項(xiàng)目Orion Protocol，當(dāng)時(shí)C審計(jì)公司給予的評(píng)分是滿分。受訪人給出的回答是，出事的代碼沒有提交審計(jì)，過錯(cuò)全在項(xiàng)目方想省錢，“對(duì)安全的重視程度還是不夠。大家雖然在安全上花了錢，但花得還不夠，應(yīng)該做完整的代碼審計(jì)?！币虼耸茉L人認(rèn)為，是他們替項(xiàng)目方“背了鍋”。

但是真金白銀的事兒，靠背鍋甩鍋畢竟不能解決。安全審計(jì)這個(gè)行當(dāng)，至少面臨下述四個(gè)方面的難題：

一、內(nèi)在矛盾

所謂安全審計(jì)這個(gè)事情，從邏輯上是不符合區(qū)塊鏈精神的。區(qū)塊鏈精神是什么？不要信任，要驗(yàn)證。但是安全審計(jì)所做的事情，恰恰是讓用戶不去驗(yàn)證，去信任審計(jì)公司寫的審計(jì)報(bào)告。

是的，很多人會(huì)辯護(hù)說，大多數(shù)用戶根本沒有技術(shù)能力，自己又看不懂智能合約代碼，而且就算懂一點(diǎn)兒，也很難有那么專業(yè)的安全知識(shí)，能夠看得出來代碼里的問題和貓膩。審計(jì)公司，就是用戶的守護(hù)神，替用戶審查了這些代碼，避免了用戶遭受損失的風(fēng)險(xiǎn)。

但是，一個(gè)始料未及的結(jié)果出現(xiàn)了。審計(jì)公司以它的專業(yè)性，拍著胸脯告訴用戶沒問題。這削弱了用戶的風(fēng)險(xiǎn)意識(shí)，增強(qiáng)了用戶的投機(jī)力度，最終給用戶造成了更大的損失。

如果一個(gè)土狗項(xiàng)目，沒有任何背書。你在沖進(jìn)去的時(shí)候一定會(huì)哆哆嗦嗦，不敢投入太大——因?yàn)槟闵乱徊恍⌒?，土狗卷款跑路，或者代碼bug，或者黑客盜幣，凡此種種。但是現(xiàn)在，土狗還是那只土狗，可是卻穿上了“黃馬褂”，掏出了蓋著幾個(gè)紅戳的安全審計(jì)報(bào)告。土狗你不認(rèn)識(shí)，審計(jì)公司明晃晃的金字招牌你是認(rèn)識(shí)的。于是你重倉(cāng)梭哈。土狗跑路。你損失慘重。

安全審計(jì)報(bào)告，就像一個(gè)隱形的杠桿，無(wú)形之中，放大了你的虧損。當(dāng)然，也倍增了土狗跑路的收益。

二、立場(chǎng)問題

回頭再看一眼辯護(hù)詞。審計(jì)公司真的是全心全意站在用戶的立場(chǎng)上，為了用戶的安全在審查那些代碼嗎？

若誰(shuí)認(rèn)為是。那么請(qǐng)問，誰(shuí)付錢給審計(jì)公司？審計(jì)公司掙誰(shuí)的錢？

拿誰(shuí)錢財(cái)，替誰(shuí)辦事。你永遠(yuǎn)可以相信，屁股決定腦袋，利益決定立場(chǎng)。

就像靠車商養(yǎng)活的測(cè)評(píng)工作室不可能對(duì)用戶全掏一片真心，而只會(huì)是更高級(jí)的營(yíng)銷工具，掙項(xiàng)目方錢的審計(jì)公司，屁股絕對(duì)不可能坐在用戶這一邊。說白了，它們的審計(jì)報(bào)告，不過就是一種更高級(jí)的市場(chǎng)營(yíng)銷材料罷了。

更糟糕的是，車商畢竟最終還是要靠用戶買它們的汽車才能賺錢，因此測(cè)評(píng)工作室也不能完全拋棄用戶立場(chǎng)，但是Web3項(xiàng)目則不同，很多時(shí)候，營(yíng)銷就是它們唯一的“產(chǎn)品”，營(yíng)銷完畢，錢圈到手，就可以和用戶說拜拜了。這種模式就注定了，審計(jì)公司的屁股必然就會(huì)坐的更歪，甚至淪為項(xiàng)目方的“幫兇”。

也許，正是這種心態(tài)，讓審計(jì)在看到M項(xiàng)目的代碼里赫然把用戶存入的資金全部授權(quán)給項(xiàng)目方控制的時(shí)候，覺得這應(yīng)該也沒有什么問題吧。

三、道德風(fēng)險(xiǎn)

若客觀上注定了審計(jì)公司的立場(chǎng)必然偏向于項(xiàng)目方，那么主觀上就無(wú)法撇清有意為之的動(dòng)機(jī)問題而自證清白。

就像一個(gè)項(xiàng)目卷款跑路之后，擁有超級(jí)權(quán)限的項(xiàng)目方也很難自證，究竟是真的不小心泄露了私鑰，還是監(jiān)守自盜。監(jiān)守自盜的話，一起分個(gè)贓，絕非不可能。又或者干脆黑吃黑。夜黑風(fēng)高，套上黑衣，變身黑客。漏洞在心，屢屢得手。

即便是作為一個(gè)組織，沒有作惡的動(dòng)機(jī)，可是依然無(wú)法防范，經(jīng)手的一線人員不會(huì)見錢眼開。

一個(gè)審計(jì)人員，看到代碼有漏洞，告訴自己的小舅子，小舅子再把漏洞線索賣給X國(guó)黑客，這也不是不可能的事情。

道德風(fēng)險(xiǎn)如果有條件發(fā)生，它就總是一定發(fā)生。這個(gè)叫做“墨菲定律”。

四、責(zé)任缺位

誰(shuí)最明白這種矛盾和糾結(jié)？當(dāng)然是審計(jì)公司自己。

但是，放著白花花的銀子不賺，那是自己智商有問題。畢竟，這世界上能夠媲美看一行代碼賺幾十美刀的暴利生意，哪個(gè)不是需要把腦袋別在褲腰帶上干的？

審計(jì)公司所做的，和項(xiàng)目方自己的測(cè)試人員所做的，從技術(shù)上講，有什么不同？都是最大程度的保障代碼的可靠性、安全性。但是費(fèi)用成本上，可是天上地下。超高的溢價(jià)來自于什么？來自于它本就是披著技術(shù)外衣的營(yíng)銷。每100塊里，1塊錢是為技術(shù)付費(fèi)，99塊錢是為營(yíng)銷付費(fèi)。Web3營(yíng)銷，就是用品牌站臺(tái)，用專業(yè)包裝，用報(bào)告喊單。目的很單純，就是讓韭菜大膽地把兜里的仨瓜倆棗全都掏出來。

這安全審計(jì)，解決的就是怎么解放思想、放開膽子大膽干的問題。

如果這一行有監(jiān)管，有追責(zé)，這事兒它其實(shí)也應(yīng)該是一個(gè)腦袋別在褲腰帶上的生意。

2001年安然丑聞曝光，一系列追查、追責(zé)下來，為安然出具審計(jì)報(bào)告的全球五大審計(jì)會(huì)計(jì)事務(wù)所之一的安達(dá)信轟然解體。該抓的抓，該判的判。自此，“五大”永遠(yuǎn)變成了“四大”，直到今天。

這邊風(fēng)景獨(dú)好，因?yàn)闆]有監(jiān)管。看看今天很多Web3審計(jì)公司出具的安全審計(jì)報(bào)告，居然連審計(jì)員的姓名都不敢簽上去進(jìn)行公開披露。

那就更不要提，出了事要它們負(fù)責(zé)了。

參考資料：

- [1] https://twitter.com/3orovik/status/1651380667710595074

- [2] https://mp.weixin.qq.com/s/6VVhOn47jVCEo0UzjZb1nw

* * * 劉教鏈 出品 * * *

(公眾號(hào)：劉教鏈。知識(shí)星球：公眾號(hào)回復(fù)“星球”)

來源：DeFi之道

熱點(diǎn)：區(qū)塊鏈