我翻了GENIUS的审计报告,差点睡着,但还是发现了东西
先交代一个丢人的事。
昨天晚上我本来想认真看GENIUS的审计报告,结果看了不到十分钟,眼皮就开始打架。不是因为报告写得差,是那玩意儿实在太枯燥了——“第3.2.1节:输入验证边界条件测试”……我直接昏迷。
但我这个人倔,今天早上爬起来硬着头皮看完了。
先说结论:审计做了,不止一家,问题有,但都不是致命的。
GENIUS公开的审计报告有三份,分别来自慢雾、CertiK和Zellic。慢雾那份最早,查出来7个漏洞,其中1个是中风险(跟权限控制有关),其余全是低风险和“建议”。CertiK那份查出来4个,全是低风险。Zellic那份最干净,只有2个建议类的问题。
关键是:所有中高风险漏洞都已经修复了,官网上有修复记录,我一个一个对过了。
我还去看了它们的漏洞赏金计划。最高奖金5万美金,目前已经发了十几笔,从几百到几千不等。有个哥们发现了一个“假充值”漏洞,拿了8000美金。
说实话,有审计、有赏金、有修复记录,这在币圈已经算不错的了。多少项目连审计报告都不敢公开,或者只搞一个不知名小机构的“审计”,那才叫可怕。@GeniusOfficial
但我也不是无脑吹。我发现一个问题:GENIUS没有公开的“紧急预案”。我问了群里管理员,如果合约被黑,用户资金怎么赔?回复是“由DAO投票决定”。这个回答有点模糊——说白了,不一定赔,赔多少也要看投票。
我觉得这一点项目方应该说清楚。哪怕说“不赔”,也比“看情况”强。起码让我知道最坏的结果是什么。
今日吐槽:看完审计报告我最大的感受是——这个东西真不是人看的。项目方能不能出个“人话版”?比如“我们的合约有哪些坑,我们已经填了哪些”。我要求不高,能看懂就行