Web3 審計的糟糕現狀，以及可以採取的措施

Balancer,一個經過充分審計的老牌協議,最近遭到「駭客攻擊」。同樣經過充分審計的 Yearn Finance 也是如此。幾年前,Euler Finance 透過一個為回應早期審計而引入的功能遭到「駭客攻擊」。USPD 在部署前進行了審計,但未經審計的部署過程本身遭到駭客攻擊,導致在推出約 3 個月內完全歸零。所有關注此事的人都不相信審計能保證某項目是安全的。許多人質疑審計是否有任何價值。

這並非新鮮事。這不是 web3 的問題。而且,這實際上也不是什麼特別深刻的觀察。但審計仍然是一回事。專案為審計付費。專案宣傳審計。人們假裝閱讀審計報告。通常當經過審計的產品遭到攻擊時,人們會問為什麼以及如何發生這種情況。

我們不會直接回答這些問題,而是將審視最近推出產品的幾份近期審計報告。這裡的目標不是取笑或批評任何人。這些是隨機選擇的,主要是因為專注於近期的事物。這並不意味著它們特別糟糕。它們甚至沒有那麼糟糕!

我們的觀點不是審計人員做錯了什麼。審計人員正在做委託他們的專案所要求的事情。審計範圍由專案設定。舉一個極端的例子:如果 Do Kwon 為他的穩定幣計劃聘請審計人員,他們會注意到它可能不穩定。該問題會被標記為「已確認」,然後不會採取任何行動或做出任何改變。

這個問題與那些聲稱 Do 的 Terra-LUNA 生態系統非常穩健的研究完全無關。預測未來很困難,這類研究被正確地視為自利性營銷,在極限情況下承認了核心問題。專案贊助的研究預期會以積極的角度描繪事物。審計的全部意義在於提供客觀的第三方視角。誇大宣傳不可信,審計不是保證或保險。生活就是這樣。

本次調查的重點是強調,這裡的真正問題不是審計人員非常適合識別且審計流程精心設計來解決的基本程式設計錯誤。審計人員很擅長發現這些問題。事實上,最初構建這些東西的程式設計師也是如此。從經驗來看,這類回饋會傳達給合適的人員,狹義的問題會得到修復。

不,真正的問題是產品完全按預期運作,但已知的「風險」成為現實並導致一切崩潰。你現在將看到審計人員試圖保護自己免受任何和所有未來已知-未知問題的影響。作為一種免責和避免嘲諷的做法,這或許是有價值的事情。但從一般意義上講,它對任何人都沒有幫助。

然後在最後,我們將討論一系列各方可以做些什麼,既能提供幫助又能服務於他們自己狹隘的自身利益。如果你改善審計的處方涉及利他主義,那麼,它不是很有用。

Jovay

Jovay 是一個與螞蟻金融或阿里巴巴或該領域某些事物相關的 L2。但 Jovay 做什麼並不重要。它是一個來自大型且資金充足組織的軟體構建的東西。這份審計列出了八個問題:

1. 一個合理的程式設計錯誤,後來得到了修復。
2. 該協議不是無需信任的。這在某種程度上是一個問題,但它也是設計的核心部分。
3. 適用於生態系統廣泛範圍且不特定於該專案的「虛假充值」攻擊。
4. RPC 伺服器使用 HTTP 而不是 HTTPS。這些介面不處理機密資訊。這適用於數十億個完全安全的唯讀網站。
5. 量子計算對以太坊構成風險。好吧。非常切題。
6. EVM 智能合約可能容易受到攻擊。不是開玩笑。它說「由於不可變代碼部署和複雜的互動,EVM 智能合約容易受到各種攻擊向量的影響,可能導致資金被盜......」好吧。再次真正尊重這份審計的狹隘焦點。
7. 排序器設計受 MEV 影響。就像以太坊生態系統的其他部分一樣。夜晚也太黑了。
8. 代碼品質可以改進。不像自計算誕生以來編寫的大多數其他代碼。

其中只有一個是真正的問題。是的,如果文件另外聲明產品是無需信任的,那麼值得注意的是產品本身不是無需信任的。但這個產品在這方面幾乎沒問題。指出量子計算可能構成未來風險,智能合約可能有風險......這些要麼是試圖透過尋找編造的問題來延長報告的嘗試,要麼是試圖提供某種「這不是我們的錯」的說法,如果某些東西最終被駭客攻擊的話。可能是兩者的混合。

本著這些觀點的精神,我們提出第九個問題,即除非我們成為星際物種並以某種方式找出超光速通訊,否則當太陽死亡時網路將關閉。否則相對論將這個系統的使用壽命限制在大約 50 億年。老實說,這比聲明代碼品質可以改進更有用,因為即使在太陽死亡後,某處仍會執行糟糕的代碼。但我們是在開玩笑。

Hyperliquid

Hyperliquid 已發布了幾份審計報告。第一份審計報告發現了六個問題,第二份報告確認這些問題已得到解決。但審計範圍排除了:

1. Hyperliquid 系統的其他智能合約
2. 鏈下組件,例如驗證者
3. 前端組件
4. 與專案相關的基礎設施
5. 密鑰託管

這些似乎是潛在的問題區域!審計的只是單個橋接合約。但系統,嗯,比那複雜得多。

審計系統中只做少數嚴格定義事情的一個小角落是相當無用的。按照 Hyperliquid 的設計方式,經過審計的合約是所有人的外部進出點。因此,如果該合約充滿錯誤,那將是一個嚴重的問題。但確認合約有效提供的安慰微乎其微。

Ondo

這份審計強調了「受信任實體和角色的中心化風險」,團隊對此表示確認。報告中就是這樣大寫的。對。

這份審計指出,如果相關穩定幣脫鉤過於嚴重,系統可能會崩潰。他們將其表述為系統「將在 USDC 脫鉤事件期間允許過度鑄造 OUSG 代幣」。最後他們提出的「解決方案」是引用 Chainlink 預言機,並在價格報告過低時設置一個關閉開關。因此,與其在價值崩潰時內爆,協議將在價值崩潰時停止。對。這不是一個可解決的問題,因為如果 USDC 崩潰,沒有機制可以避免價值損失的結果。而且,根據這一事實,解決方案實際上並沒有解決任何問題。

這些審計相對較新。但為了提供一些背景,這份 2022 年 10 月的審計確定了許多真正的問題。幾乎 200 個。大多數已修復,一些類似於上述內容,只是得到了確認。重點是審計曾經做一些具體而實質的事情:尋找不可能是程式設計師意圖的程式設計錯誤。程式設計師過去常常修復這些錯誤,因為它們是真正的錯誤,而不僅僅是產品中內建的可疑設計決策。

然後到 2024 年,我們看到審計發現的技術問題相對較少,並將金融相關攻擊宣布為超出範圍。隨著時間的推移,解釋這種變化的唯一合理方式是,程式設計師和作為審計人員的程式設計師認識到,正常運作的代碼不是唯一的風險。當然,程式設計錯誤不時會被利用。但到 2024 年中期,每個人都可以看到,有缺陷的經濟機制也是一個巨大的風險。這是最大的風險。

完全按預期運作的專案——不是按夢想,而是按現實中的預期——不時爆炸,因為設計師的穩定性夢想在面對現實世界時破滅。

你可以在這個專案的審計中看到這種演變。

Mutuum Finance

現在我們有了審計的歸謬證明。這個只確定了一個問題:

問題是圍繞初始代幣分配缺乏透明度,以及這可能與中心化問題有關。它已被「緩解」,因為:

然後有很多多重簽名細節。最後是審計人員的回應:

因此,專案的風險是一個小團隊控制一切,而控制權將如何分散或可能不會分散的方式完全不透明。團隊提出的撰寫部落格文章來澄清其意圖的解決方案在任何嚴格意義上都不能解決這個問題。

值得一提的是,團隊已發布了詳細的代幣去向和時間清單。他們承認這是不完整的,評論如「我們正在考慮逐區塊或每週分配模式」。他們還承認一切都將透過手動多重簽名進行管理。所以他們是誠實的。只是這種誠實等於「是的,我們仍然可以做任何我們想做的事,你必須信任我們」。

這次審計的目的是什麼?如果代碼沒有可識別的錯誤,審計人員可以直接寫出來。有時去看醫生或機械師會產生健康證明。所以我們想知道是否只審計了微不足道的代碼?或者專案本身只是微不足道的代碼?審計人員是否覺得需要在報告中放入一些內容,因為否則一切都太空洞了?為什麼有人要費心做這些?

再次強調,我們並不是真的在責怪審計人員。在某種程度上,如果有人做錯了什麼,那幾乎肯定是委託審計的人的激勵問題。以及他們花費投資者的錢來製作一份基本無用的文件用於營銷目的的事實。這不是審計人員的錯!

改進

捕獲更多錯誤、向生產環境發布更少的破損代碼以及實施更多建議的修復是一件明確的好事。我們還沒有不成熟到建議問題是使用者和投資者關心錯誤的事情,例如,對沒有多大意義的審計賦予價值和信任。人們關心他們關心的事情,試圖改變這一點是徒勞的。

但我們可以提出一些真正的改進建議。Ethena 率先解釋了他們產品的許多故障模式。團隊始終如一地傳達 USDe 並非無風險的訊息。他們概述了可能遇到麻煩的方式。該產品經歷了一些波折後倖存下來,今天已經相當龐大。這為我們提供了投資者的行動要點:堅持要求專案誠實地說明可能存在的任何「金融相關攻擊」。

Ethena 表明,誠實不會毀掉專案!你可以說,透過更加誠實,專案吸引了更多關注。誠實還有一個額外的好處,就是在出現問題時提供更多的法律保護。專案應該已經想要這樣做了。

審計人員也可以重新安排他們進行分析的方式,使他們的工作更有用。或者至少減少無用和可能的誤導性。不要將經濟激勵問題或量子安全等一般關注點與錯誤放在同一部分。目前,這些通常以略微區分於編碼錯誤的方式標記。或者它們被列為「資訊性」而不是「關鍵性」。

但這沒有抓住重點。量子安全可能確實是系統的「關鍵」風險——但它與糟糕的簽名檢查或錯誤的負號完全不同!將這些內容放在單獨的部分。同樣,「這種穩定幣計劃在合理可能的條件下不穩定」與代碼中的邏輯錯誤完全不同。澄清這種混淆應該改善審計文件的外觀並提升審計人員的聲譽。

最後,交易所可以提供幫助。大型交易所因上架糟糕的專案、或劇烈波動讓人虧損的高風險迷因幣、或所有其他造成損失的奇怪商業決策而受到很多批評。如果交易所堅持要求合理的審計,誠實地涵蓋經濟穩定性,而不是將「智能合約可能容易受到攻擊」等風險與真正的邏輯檢查混為一談,會怎麼樣?

解釋審計人員用這種填充物填充結果的一種方式是,沒有人會認真對待空白的審計結果。這樣的文件會引起質疑,這是公平的。但如果一家主要交易所上架了一個代幣,比如說,有兩個相符的「空白」審計結果,不包括專案特定的問題,並採取這是一件好事的立場......這可能有助於向前推進一點。我們也處於這樣一個週期點,成為一個更「誠實」和「合理」的交易所應該能為你帶來比缺乏荒謬的衝向月球營銷所損失的更多客戶。

同樣,審計專案並說它看起來不錯不應該有任何污名。這取決於審計人員。也許一群審計人員可以在這個領域發表一些聯合聲明。是的,我們可以理解審計人員會想要對在委託開始時被排除在範圍之外的潛在問題提出警告。這也很公平。但用無意義的一般潛在問題填充結果不是答案。說團隊透過發布關於他們打算手動整理、很快、在某個尚待確定的時間表上的代幣分配的部落格文章來緩解中心化風險也不是答案。

審計可以是有用的。審計可以提供幫助。事實是,web3 審計已經捕獲了真正的問題,並且在很長一段時間內充滿了有用和有趣的內容。但工程師隨著時間的推移而進步,因為他們是工程師,這就是他們所做的。審計人員需要跟上步伐,借用一個詞,稍微創新一下。生態系統的許多較大部分,如交易所,也可以幫助推動這一進程。