这事要从我闲着没事刷CoinMarketCap说起。
我平时有个习惯,看到一个代币会顺手点进它的Audits栏看一眼。没什么特别的理由,就是想知道这个项目到底被谁审过、审出来什么。今天刷到$OPEN,页面确实挂着Quantstamp的徽标,蓝底白字,一眼就能看到。说实话,看到这个徽标的第一反应是踏实的——Quantstamp在圈内名气不小,很多正经项目都找他们审,能挂上这个标,至少说明团队在这件事上花了心思也花了钱。
然后我就点进去了。
审计报告打开,标题写的是Qredo Token。熟悉这个项目的都知道,Qredo是$OPEN更早的品牌名,团队后来做了更名和品牌升级。这个倒没什么,审计本身就是之前做的,内容不会因为改名就失效。
我往下翻,整份报告总共发现了4个问题。没有高风险,没有中风险,这是好事。低风险有两个,其中1个已经修复了,状态标着Resolved。另一个低风险项的状态写的是Acknowledged。
Acknowledged这个词,直译是“已知晓”。在审计报告的语言体系里,它的准确意思是:团队知道存在这个问题,但选择接受它,不打算修。
这个未修复的问题编号QSP-1,名字叫Privileged Roles and Ownership。具体内容是合约里有特定账户被授权可以铸造代币,也就是mint,这个权力集中在owner手里。Quantstamp给的建议很克制,没有说这是个漏洞或者必须改,只是说这种权力的集中需要向用户明确披露,让大家知道这件事的存在。
团队的回应就是Acknowledged。相当于说,我们知道了,但就这样吧。
读到这里,我开始想一个很现实的问题。CoinMarketCap上挂的那个Quantstamp徽标,对绝大多数普通用户来说,传递的信号是什么?大概率就是“这个项目是安全的,已经通过了审计”。一个徽标,一个外部的信任背书,大部分人的浏览路径到这里就结束了,不会再多点一下。但如果你真的点进去读了,你会发现里面有个低风险问题,团队选择接受而不是修复。
我没有任何暗示这个问题会导致什么后果的意思。合约里有mint权限的owner这件事,在不同的项目里严重程度完全不一样,有的只是多签钱包控制下的正常功能,有的可能确实存在信任假设。Quantstamp给的是低风险评级,说明在审计方的专业判断里,这不是一个会直接威胁资金安全的问题。我没有理由去推翻专业机构的判断。
但我想说的是另一层东西。审计报告的意义,不只是给项目方一个可以挂在官网上的徽标,更是给社区和用户一份关于代码质量的真实记录。这个记录里不光有好评,也有问题和建议。如果团队对待问题的态度是Acknowledged——知道但不修——那么这份审计的价值是不是打了折扣?
换个角度想,如果你是项目方,你花钱请了顶级审计机构来审代码,审完之后人家给了建议,你选择不采纳。那当时花钱审计的目的到底是什么?是为了真正提升代码的安全性,还是为了拿到那个可以挂出来的徽标?
我没有答案,也没有立场替任何人回答这个问题。但作为一个持有$OPEN的人,我个人的期待很简单:我希望看到那个Acknowledged变成Resolved。不是因为它现在有多危险,而是因为这种态度上的区别,长远来看会决定一个项目能不能持续获得社区的信任。
说回审计报告本身。Quantstamp的整体结论是“代码质量良好,遵循最佳实践”,4个问题里0个高风险、0个中风险,这种结果放在整个行业里横向比较,已经是很干净的审计报告了。很多市值高得多的项目,审计报告打开高风险项一个接一个,还未必修得过来。OpenLedger在安全方面的底子并不差。
但这个Acknowledged一直挂在那儿,就像一件白衬衫上有个不太明显的小污点。远看完全看不出来,近看也未必每个人都会注意到,但你知道它在那里。$BTC
我写这些不是想唱衰什么,也不是想制造恐慌。恰恰相反,正是因为我对这个项目有期待,才会去翻审计报告,才会在意里面一行小字的状态。如果我不在乎,我根本不会点进去。#BTC
所以最后想对团队说一句:既然都花了钱请Quantstamp做了审计,也把绝大部分问题修干净了,剩下这最后一个低风险项,不如找个时间也处理掉。把Acknowledged变成Resolved,不只是给社区一个交代,也是给自己一个交代。
