我以前一直觉得审计报告就是一种心理按摩,直到我亲眼看着一个过了金牌审计的项目被掏空,我才明白静态审计在这个行业是多么无力。代码没漏洞,不代表资金就安全。因为大部分的暴雷,问题不在代码写错了,而在于不该被调用的函数被调了,不该流动的钱流过去了,不该有权限的人拿到了签名。这就好比一辆车出厂时有全套质检报告,但上路之后没有红绿灯,也没有交警,你觉得这车能开多远。$ETH
这种动态运行时与静态代码之间的真空地带,就是我们所有惨痛损失的根源。我这几天集中扫了一遍 @NewtonProtocol 的文档,感觉它最有意思的部分不是告诉你它的合约有多完美,而是它假设合约就是不完美的,协议本身也可能有漏洞,所以必须在每一次和合约交互之前,加一层运行时的动态检验。这不是信任你的代码,而是不信任任何代码。
牛顿的Rego策略引擎挺像给交易装了一个实时杀毒软件。你发起一笔交易去某个借贷协议,在那笔交易真正被执行之前,授权网络会先扫一遍现在的链上状态。这个池子的流动性有没有被突然抽干,这个预言机报价是不是被人操纵了,这个接收地址有没有在最近十分钟内被人标记过。如果发现有毒,直接就在那一层拦截了。$BTC
我觉得这种设计如果真的跑通了,会彻底改变我们评估项目安全的标准。以前我们迷信审计报告上的通过二字,以后我们看的会是你到底有没有接入一套能够在出事前一秒叫停交易的实时防御系统。这才是真正的金融级别安全。毕竟我们的钱是活的,交易是动的,靠一份几个月前的静态报告来保护流动的资产,本身就是一件挺掩耳盗铃的事。 #NEWT $NEWT @NewtonProtocol
金牌审计过关的项目还靠谱吗
0%
实时杀毒是不是链上安全答案
0%
0 ඡන්ද • ඡන්දය අවසන්