作者:Haotian,加密观察员 来源:X(推特)@tmel0211
大家或许注意到,OpenZeppelin、Safe等一些安全专家联名推出了ERC-7512标准,介绍了一种在on-chain环境下发表Audit Report的方法,并有一致的接口可供链上调用,旨在提高区块链职业的全体安全性。这事该如何解读呢?
在我看来,安全职业缺的并非通明陈述,而是标准的审计流程和事务权责一致。简单说说:
1.参与安全公司不多: 直觉发现只要部分安全公司参与,比方Openzepplin、Safe等,国内闻名的安全公司 SlowMist、BlockSec、Certik、PeckShield等并未表态,跟几个安全大佬简单聊了下,也都表明,目前尚是一种没有一致一致要推进这个,静待后续。
2.陈述存储在链上:安全审计陈述根据一致标准存放在链上,比较现在存放在Github上,仅有的效果可能就是防篡改了,但这一点需求并不刚性。审计公司给出的陈述一般也受协作法律合同的条款约束,不太可能被恶意篡改,也没那个必要。
3.标准的目的:这个标准,我感觉目的是引导安全公司在链上输出一致格局、标准的审计陈述内容,主要为了便于后续第三方公司做插件解析之类的服务(可解析性)。全体目的,是经过合约的调用的通明方法,提高审计陈述的多场景曝光率。比方开发一款插件,在Etherscan查合约时都能自动解析出安全审计陈述内容,同理在Uniswap等交易前端也能够集成陈述可视化内容。不过,审计陈述内容一般是滞后的,用户使用产品时去查看现已被解决的若干问题,也不那么刚性了,并且若一个项目被查出问题很多,多少会影响交互心理。
4.有意义的尝试:全体来说是个有意义的尝试,以此为起点,逐渐探究出审计陈述——三方解析调用——插件前端曝光等一条安全审计曝光途径,最好再衍生出一套卓有成效的“问责”体系,若参与的项目多,安全公司多,达到必定遍及度之后会有用改善当时审计职业存在的乱象。
总之,安全审计服务是个系统性工程,合约之间的组合,合约的晋级等任何变动都可能导致原先的审计工作变得“无意义”。
本质上,安全审计就是第三方安全公司利用专业度协助项目方排查上线前问题,解决运营过程中的突发应急问题,并辅以其他工具、服务等协助来提升项目的安全度。但毕竟是“外包”服务,不是终身全包无忧保证。
更多的安全隐患和风险排查断不能仅依赖安全公司,市场应该重视安全审计,但也不能太依赖安全审计,尤其是把审计当成背书的方法推向市场,就彻底变味了。
此时快讯
【约1小时前,有人从Kraken提取446万美元到一个虚假Coinone挖矿交易所】金色财经报道,Scam Sniffer在其推文中表示,大约1小时前,有人从Kraken提取446万美元到一个假的Coinone加密挖矿交易所,受害者地址为:0x2175c0082d052872501f7fe54e1ac59858aaf7d9;诈骗者地址为:0xf994c143002388E11e9C939b8456dCe9De68a656
0xabb07822f471773ff00b9444308ceeb7cf0daca7。
其中“0xf994c143002388E11e9C939b8456dCe9De68a656”与许多加密货币挖矿诈骗网站相关。
