作者:Haotian,加密觀察員來源:X(推特)@tmel0211
大家或許注意到,OpenZeppelin、Safe等一些安全專家聯名推出了ERC-7512標準,介紹了一種在on-chain環境下披露Audit Report的方法,並有統一的接口可供鏈上調用,旨在提高區塊鏈產業的整體安全性。這事該如何解讀呢?
在我看來,安全產業缺的並非透明報告,而是規範的審計流程和業務權責共識。簡單說說:
1.參與安全公司不多: 直覺發現只有部分安全公司參與,比如Openzepplin、Safe等,國內知名的安全公司SlowMist、BlockSec、Certik、PeckShield等並未表態,跟幾個安全大佬簡單聊了下來,也都表示,目前尚是一種沒有統一共識要推進這個,靜待後續。
2.報告儲存在鏈上:安全審計報告基於統一標準存放在鏈上,相比現在存放在Github上,唯一的作用可能就是防篡改了,但這一點需求並不剛性。審計公司給的報告通常也受合作法律合約的條款約束,不太可能被惡意竄改,也沒那個必要。
3.標準的目的:這個標準,我感覺目的是引導安全公司在鏈上輸出統一格式、規範的審計報告內容,主要為了便於後續第三方公司做插件解析之類的服務(可解析性)。整體目的,是透過合約的呼叫的透明形式,提高審計報告的多場景曝光率。例如開發一個插件,在Etherscan查合約時都能自動解析出安全審計報告內容,同理在Uniswap等交易前端也可以整合報告視覺化內容。不過,審計報告內容通常是滯後的,使用者使用產品時去查看已經被解決的若干問題,也不那麼剛性了,而且若一個項目被查出問題很多,多少會影響交互心理。
4.有意義的嘗試:整體來說是個有意義的嘗試,以此為出發點,逐步探索出審計報告-三方解析呼叫-插件前端曝光等一條安全稽核曝光路徑,最好再衍生出一套行之有效的「問責」體系,若參與的項目多,安全公司多,達成一定普及度之後會有效改善當前審計行業存在的亂象。
總之,安全審計服務是個系統性工程,合約之間的組合,合約的升級等任何變動都可能導致原先的審計工作變得「無意義」。
本質上,安全審計就是第三方安全公司利用專業度幫助專案方排查上線前問題,解決營運過程中的突發應急問題,並輔以其他工具、服務等協助來提升專案的安全度。但畢竟是「外包」服務,不是終身全包無憂保障。
更多的安全隱憂和風險排查斷不能只依賴安全公司,市場應該重視安全審計,但也不能太依賴安全審計,尤其是把審計當成背書的方式推向市場,就完全變味了。
