币圈审计参差不齐？带你一览 8 个你需要知道的安全公司

币圈审计参差不齐？带你一览 8 个你需要知道的安全公司

近来，安全审计公司 CertiK 被爆出内部人黑帽骇客行为，盗取 Kraken 交易所 300 万美金，震惊了整个币圈。审计师对于代码漏洞知而不报、内部人员监守自盗的行为，使审计公司的可信度再次成为市场焦点。

 

根据 DeFiLlama，从 2016 年以来总计有超过 82.9 亿美元的重大遭骇事件（统计不包含个别事件），事后能追回的比例占极少数，由此可知有合约风险的项目得不到市场的信任，会进一步影响总锁仓量（TVL）、交易量和基本面。

本篇文章将介绍快速检验审计公司的方法论，并纵览加密产业中重要的 8 间安全公司。

如何鉴定评断一间 DeFi 项目的安全审计品质？

根据 OKX Web3 钱包安全特刊第 05 期，可以透过以下 5 个检验标准帮助项目方找到理想的审计公司，对于用户来说也可用此法检验每个项目是否找到安全的审计公司。

1. 核心人员的专业背景？

2. 是否审计过知名项目？

3. 之前是否有审计项目被攻击过的纪录？

4. 审计公司是否有黑历史？

5. 审计报告判断安全品质

前四点相对第五点较能快速实现，第五点则是要依赖长期阅读审计报告的经验，时间成本较高，但仅判断安全审计公司的核心人员背景、审计项目、黑历史等就可以找到足够多的 insight，有助于短时间辨别各家审计的优劣。

纵览 8 个必知的安全审计公司

Trail of Bit

 

Trail of Bit 成立于 2012 年，是审计范围横跨人工智慧、机器学习、密码学、区块链、隐私技术的 Tier 1 资讯安全团队。强调自己做的不是「安全审计」而是「安全估值」，团队认为以估值角度出发，更能全面地呈现出一个项目在程式码视角的价值。除了安全估值服务之外，Trail of Bit 旗下产品也包括手机防毒软体 iVerify。

知名评估项目：

• Apple 私有云计算（Private Cloud Compute,PCC）技术

• 公链/生态系：Solana、Cosmos SDK、Starknet、Polkadot

• EVM Rollups：Starknet、Arbitrum、Optimism

• DeFi：Elixir Protocol、Uniswap V3、AAVE、yearn、Balancer

• 预言机：Chainlink

ChainSecurity

 

ChainSecurity 是创立于 2017 年的瑞士公司，过去审计过的顶级 DeFi 数量众多，共同创办人均毕业于苏黎世理工学院（ETH Zürich）电机或资工研究所，创立以来一直与会计师事务所 PwC Switzerland 保持合作关系，其中包括 Tezos 基金会等的外部审计报告，直到 2020 年 PwC 出资收购 ChainSecurity。

在 Curve 2023 年 7 月被骇之后，ChainSecurity 在第一时间也给予 Curve 改版建议，并在 2023 年 12 月针对 Curve 以及 Vyper 程式语言（此事件的漏洞源头）发布完整的安全审计报告。

知名的审计项目有：

• 以太坊基金会 EIP-4788

• 跨链桥：WBTC、Layer Zero、Polygon 官方桥、Polkadot

• DeFi：1inch、Uniswap、AAVE、MAKER、Curve 三池、yearn

近期针对 Tron 生态的 RWA 项目 stUSDT 以及 SparkLend 的预言机功能发布安全审计报告 

 

慢雾 Slowmist

 

慢雾是业内顶级的区块链安全公司，从 2018 年创立至今主导大量交易所、项目方遭骇事件的案件追查任务，2021 年 8 月 Poly Network 遭骇 6.1 亿美元，在不到一天的时间内却主动归还，虽然官方指出具体原因，但有新闻指出是因为慢雾在事发之后快速掌握了骇客本人的电子邮件与 IP 位置。

 

创办人余弦（本名 钟晨鸣）本身非常积极于社群平台上分享资安相关知识，创立慢雾之前曾在资安公司知道创宇担任技术副总裁、404 安全实验室负责人、知名网路空间搜寻引擎锺馗之眼(ZoomEye)创办人，过去也曾主导大量抓虫、救火事件，同时也是【区块链黑暗森林自救手册】的编辑，从零开始教安全的链上交互技巧。

除了安全审计及资金追查服务外，慢雾科技也提供高效好用的币流追踪工具 MistTrack，供用户快速分析地址。

CertiK

 

CertiK 创立于 2018 年，共同创办人均为哥伦比亚或耶鲁大学计算机系华裔教授，团队成员及融资阵容都有华人背景，最近一期估值揭露高达 20 亿美元，获得 Tiger Global、软银愿景基金、高盛、红杉中国、等支持。值得注意的是，CertiK 曾发过代币 $CTK，但后续代币经济学、路线图等规划不了了之，导致投资币权的人形同被骗，投资股权的机构也因 CertiK 发币做得太难看而无法出场。

 

除了审计服务之外，CertiK 也建置数据、资讯网站，供用户研究项目的安全评分、团队成员背景、交易所安全系数与资产储备等功能。这些工具非常有效得提升 CertiK 对DeFi 用户的知名度，然而在那之后开始被社群诟病 CertiK 沦为「用光环包装且价格昂贵的盖章公司」

在 2024 年 6 月发生了 CertiK 发现 Kraken 交易所的程式码漏洞后先吃才报，被骇之后 300 万元犯罪所得被转入 Tornado Cash，事后虽返还资金并发布声明，但因未返还 100%、无法解释为何将资金投入混币器等，市场对其信心已明显下降。

知名审计项目：

• Web2：Apple IOS 17、LINE Blockchain

• Layer 1：SUI、TON、BNB Chain、Cronos

审计过后遭骇的项目：

• zkSync era 生态的 MERLIN DEX 遭骇 180 万美元

• Swaprum 在得到 CertiK 的审计报告后几周卷款 300 万美元

• 黑客组织 Lazarus 入侵的 Certik 审计协议比其他任何协议都多

BlockSec

 

BlockSec 是成立于 2021 年的中国大陆团队，工程团队中核心人员如共同创办人周亚金及技术长 Lei Wu 均有高度相似的背景，也就是北卡罗莱纳大学博士班、360安全卫士研究员、浙江大学教职。

根据 Linkedin，目前大部分资安员工毕业于浙江大学或就读该校博士班。

共同创办人周亚金拥有北卡罗莱纳大学计算机科学博士学位，毕业后加入防毒软体 360 安全卫士担任高级安全研究员，而后创办 BlockSec，目前同时也是浙江大学教授兼博士班导师。

除了审计服务之外，旗下产品也包括地址识别插件 MetaSuites（前 MetaDock）、币流追踪可视化工具 MetaSleuth、白帽骇客团队 Phalcon 等工具，可以善用这些插件从 etherscan 识别出钓鱼、诈骗、钻石手、特定币种大户等标签、实现可视化币流追踪、追踪项目方被骇事件。功能非常全面且使用门槛不高，受到许多用户及项目方青睐，如 Symbiotic 近期发推文表示有人尝试使用 Milady 进行再质押，便是使用 Phalcon 浏览器

近期 Manta 宣布与 Phalcon 合作，将 Phalcon 的攻击侦测引擎(Attack Detection Engine)纳入 Manta 自身的排序器当中，提高 Rollup 韧性。

 

知名审计项目：

• DeFi：PancakeSwap、LiNEAR Protocol

• LRT：Mellow Protocol、Puffer Finance、Magpie

• 再质押：Octopus Restaking（NEAR 生态再质押项目）

• 跨链：PolyNetwork、Multichain、XY Finance、Radiant V2

• EOS Network Foundation

值得注意的是，在 BlockSec 于 2022 年 4 月对 Multichain 的审计报告中可发现 BlockSec 早已建议 Multichain 不要将管控资金的权限过度集中，然后此建议没有获得项目方改善，最终 Multichain 在 2023 年 7 月因创办人个人私钥泄漏导致所有资金遭骇。

 

Quantstamp

 

Quantstamp 总部位于美国洛杉矶，核心人员来自全球各地、组成多元，在公司成立之前已累积丰富资安经历，有 Smart Contract Alliance、Tower Research Capital 背景。

CEO Richard Ma 毕业于 Cornell 电脑工程学系，并于 2018 年参与过 Y Combinator，本人多次参投许多项目如 Ondo Finance、Astar、Spectral 等。

董事总经理 Don Ho 同时也是 OrangeDAO 的 co-founder，OrangeDAO 是由区块链创业者组成的 DAO，有独立的创投基金及新创孵化器，过往曾参投 Hinkal Protocol、0G、Analog、Mezo、Toku 等项目

开发者关系主管（Head of Developer Relations）Martinet Lee 同时也是 ETH Taipei 发起人。

 

除了安全审计之外，Quantstamp 也参与部分一级市场种子轮投资，投过 0G、Analog、Hinkan Protocol 等...

值得注意的是，TVL 高达 23 亿美元，位居 DeFi 项目第 15 名的 zk Rollup Zircuit 核心团队源自于 Quantstamp，共同创办人 Martin Derka、Jan Gorzny 原本分别是 Quantstamp 的新项目部主管 (Head of New Initiatives) 以及 L2 扩容部主管 (Head of L2 Scaling)

 

Zircuit 目前于 DeFillama Farm 分类为第一，接著为 Swell、AlLayer、Pencils 等协议。

https://defillama.com/protocols/farm

知名审计项目：

• L1/L2：ETH 2.0、Solana、TON、Avalanche、BNB Chain

• Gaming & NFT：OpenSea、Parallel、Sandbox

• DeFi：Maker、Curve、Lido、Ethena、Pendle、Puffer Finance

• 基础设施：ssv.network、Luganodes、Galxe

• Web 2：VISA、Revolut、Sequoia、BitGo

 

派盾 PeckShield

PeckShield 团队主要来自中国大陆，创办人蒋旭宪原本是 360 安全卫士的首席科学家、北卡罗莱纳大学教授，有报导指出蒋旭宪过去曾是周亚金在该校的老师。从官网提供的审计对象可以发现，PeckShield 的客户有较多是亚洲背景

知名审计项目：

• L1/L2：Avalanche、BNB Chain、polygon

• DeFi：Maker、Curve、Gearbox、1inch、dYdX 

• 基础设施：Starkware

• 跨链相关：Multichain、PolyNetwork

 

OtterSec

 

OtterSec 核心成员遍布全球，包括创办人 Robert Chen 在内工程团队核心成员过往是程式码漏洞赏金(Bug Bounty)平台 HackerOne 的积极参与者。该公司参与了 SUI、Solana 多个重要的基础设施及 DeFi 项目。

 

知名审计项目（审计作品集）

• SUI 生态：Navi、Scallop、Cetus、volo、Mysten zk login、Bluefin

• Solana 生态：Solayer、Sanctum、Jito、Jupiter、Raydium、Pyth

• 跨链桥：Wormhole、LayerZero

• 基础设施：Celestia、Cosmos、NEAR、Solana

Code4rena - 审计赏金活动平台

 

Code4rena 是 web3 安全审计竞赛平台，有别于传统审计服务与 bug 奖励，它建立一套完善的奖励审核机制、吸引项目方创立 bug 赏金奖池、促进智能合约民间好手参与审计，实现三方共赢的合作平台。

创立于 2021 年，并在 2023 年得到 Paradigm 的 600 万美元融资（以现金购入 $ARENA ）。共同创办人 Scott Lewis 同时是连续创业家与天使投资人，联合创立了 DeFi Pulse、SlingShot 等项目，同时也是 Canto 的核心贡献者。

现正活跃的 Debug 奖池中，民间审计师可以共同瓜分上万元 USDC，过去 zkSync 在 Code4rena 曾建立最高 110 万美元的天价 Debug 奖池。

 

知名参与项目：

• DeFi：AAVE、GMX

• 基础设施：EigenLayer、Optimism 超级链、Chainlink、ENS

• L1/L2：Base、Polkadot、Starknet、zkSync

• DePIN：The Graph

• NFT：OpenSea、Blur

小结

维持好审计公司的运作并不容易。CertiK 曾于 2021 年声名大噪，但我们却无法预期会发生憾事。同样在 2024 的当下我们也难以发现哪些公司正面临相同问题，通常需要经历几次安全事件才能反复验证。

除此之外，评估审计公司的失职与否不能仅依靠时序关系，而需详细检查审计报告内容。例如，BlockSec 早在 Multichain 被骇一年前就指出其问题，但项目方未改进。

审查整份审计报告需要大量时间，但投资人的重心在于项目评价，项目方可以考虑与多家审计公司合作，以程式码安全性的保障更得到市场信任。