Dịch vụ kiểm toán bảo mật là một dự án có hệ thống, bất kỳ thay đổi nào trong việc kết hợp hợp đồng, nâng cấp hợp đồng, v.v. đều có thể khiến công việc kiểm toán ban đầu trở nên “vô nghĩa”.
Tác giả gốc: @tmel0211
Nguồn gốc: X
Lưu ý: Văn bản gốc đến từ Tweet dài được đăng bởi @tmel0211 .
Bạn có thể nhận thấy rằng một số chuyên gia bảo mật như OpenZeppelin và Safe đã cùng nhau tung ra tiêu chuẩn ERC-7512, tiêu chuẩn này đưa ra phương pháp tiết lộ Báo cáo kiểm tra trong môi trường trực tuyến và cung cấp giao diện thống nhất cho on-chain, nhằm cải thiện tổng thể bảo mật của ngành công nghiệp chuỗi khối. Điều này nên được giải thích như thế nào?
Theo tôi, điều ngành bảo mật thiếu không phải là báo cáo minh bạch mà là quy trình kiểm toán được tiêu chuẩn hóa và sự đồng thuận về quyền và trách nhiệm việc kinh doanh. Nói một cách đơn giản:
1) Trực giác cho thấy chỉ có một số công ty bảo mật tham gia, chẳng hạn như Openzepplin, Safe, v.v. Các công ty bảo mật nổi tiếng trong nước SlowMist, BlockSec, Certik, PeckShield, v.v. vẫn chưa bày tỏ lập trường của mình. các ông trùm, họ đều nói rằng hiện tại không có sự đồng thuận thống nhất để thúc đẩy việc này và chúng tôi sẽ chờ đợi những bước tiếp theo.
2) Báo cáo kiểm toán bảo mật được lưu trữ trên on-chain dựa trên các tiêu chuẩn thống nhất. So với lưu trữ hiện tại trên Github, chức năng duy nhất có thể là ngăn chặn giả mạo, nhưng yêu cầu này không cứng nhắc. Các báo cáo do công ty kiểm toán đưa ra thường bị ràng buộc bởi các điều khoản của hợp đồng pháp lý hợp tác và khó có thể bị giả mạo nhằm mục đích xấu và không cần thiết phải làm như vậy.
3) Tôi nghĩ mục đích của tiêu chuẩn này là hướng dẫn các công ty bảo mật xuất ra định dạng thống nhất và nội dung báo cáo kiểm toán được tiêu chuẩn hóa on-chain , chủ yếu là để tạo điều kiện thuận lợi cho các công ty bên thứ ba tiếp theo cung cấp phân tích plug-in và các dịch vụ khác (khả năng phân tích cú pháp). Mục đích tổng thể là tăng cường khả năng hiển thị nhiều kịch bản của báo cáo kiểm toán thông qua hình thức yêu cầu hợp đồng minh bạch. Ví dụ: việc phát triển một plug-in có thể tự động phân tích nội dung của báo cáo kiểm toán bảo mật khi kiểm tra hợp đồng trên Etherscan. Tương tự, nội dung trực quan của báo cáo cũng có thể tích hợp trong các giao diện người giao dịch như Uniswap . Tuy nhiên, nội dung báo cáo kiểm toán thường bị tụt hậu, khi người dùng sử dụng sản phẩm, việc kiểm tra một số vấn đề đã được giải quyết là không quá cứng nhắc, hơn nữa nếu phát hiện một dự án có nhiều vấn đề sẽ ảnh hưởng đến sự tương tác. tâm lý ở một mức độ nào đó.
4) Nhìn chung, đây là một nỗ lực có ý nghĩa. Lấy đây làm điểm khởi đầu, chúng tôi dần dần khám phá lộ trình tiếp xúc kiểm toán bảo mật chẳng hạn như báo cáo kiểm toán- cuộc gọi phân tích ba bên - plug-in với phần bổ trợ phía trước. Tốt nhất là rút ra một bộ hệ thống "Trách nhiệm giải trình" hiệu quả , nếu có nhiều dự án tham gia và có nhiều công ty bảo mật, nó sẽ cải thiện hiệu quả tình trạng hỗn loạn hiện nay trong ngành kiểm toán sau khi đạt đến một mức độ phổ biến nhất định.
Tóm lại, dịch vụ kiểm toán bảo mật là một dự án có hệ thống, bất kỳ thay đổi nào trong việc kết hợp hợp đồng, nâng cấp hợp đồng, v.v. đều có thể khiến công việc kiểm toán ban đầu trở nên “vô nghĩa”.
Về bản chất, kiểm toán bảo mật là một công ty bảo mật bên thứ ba sử dụng tính chuyên nghiệp của mình để giúp bên dự án khắc phục các sự cố ra mắt, giải quyết các trường hợp khẩn cấp trong quá trình vận hành và bổ sung các công cụ, dịch vụ khác và trợ giúp khác để cải thiện tính bảo mật của dự án. dự án. Nhưng suy cho cùng thì đó là dịch vụ “gia công” chứ không phải là dịch vụ bảo hành trọn đời, không lo lắng.
Chúng ta không thể chỉ dựa vào các công ty bảo mật để xác định nhiều rủi ro và rủi ro bảo mật hơn.Thị trường nên chú ý đến kiểm toán bảo mật, nhưng chúng ta không thể dựa quá nhiều vào kiểm toán bảo mật, đặc biệt nếu kiểm toán được đưa ra thị trường như một sự chứng thực, nó sẽ hoàn toàn thay đổi hương vị.
