智能合约审计
智能合约审计 是什么?
智能合约审计由独立第三方对智能合约源代码、部署配置与经济设计进行的安全评审,通常在上线或升级前完成。
智能合约审计将经验丰富工程师的人工审查与 Slither、Mythril、Echidna、基于 Foundry 的模糊测试等自动化工具相结合,并经常引入 Certora 等工具进行形式化验证。审计师重点关注访问控制、算术、重入、预言机依赖、升级模式、Gas 优化以及意外的经济行为。最终交付是按严重程度(严重、高、中、低、信息性)分级的发现报告,附修复建议与对补丁的二次审计。知名厂商包括 Trail of Bits、OpenZeppelin、ConsenSys Diligence、Code4rena(竞赛型)与 Spearbit。审计可以显著降低但无法消除风险,仍需配合漏洞赏金、持续监控与熔断机制。
● 示例
- 01
Trail of Bits 与 OpenZeppelin 对类 Aave 借贷市场的上线前联合审计。
- 02
Code4rena 举办的竞赛式审计,数十名研究员在一到两周内对协议进行评审。
● 常见问题
智能合约审计 是什么?
由独立第三方对智能合约源代码、部署配置与经济设计进行的安全评审,通常在上线或升级前完成。 它属于网络安全的 Web3 与区块链 分类。
智能合约审计 是什么意思?
由独立第三方对智能合约源代码、部署配置与经济设计进行的安全评审,通常在上线或升级前完成。
智能合约审计 是如何工作的?
智能合约审计将经验丰富工程师的人工审查与 Slither、Mythril、Echidna、基于 Foundry 的模糊测试等自动化工具相结合,并经常引入 Certora 等工具进行形式化验证。审计师重点关注访问控制、算术、重入、预言机依赖、升级模式、Gas 优化以及意外的经济行为。最终交付是按严重程度(严重、高、中、低、信息性)分级的发现报告,附修复建议与对补丁的二次审计。知名厂商包括 Trail of Bits、OpenZeppelin、ConsenSys Diligence、Code4rena(竞赛型)与 Spearbit。审计可以显著降低但无法消除风险,仍需配合漏洞赏金、持续监控与熔断机制。
如何防御 智能合约审计?
针对 智能合约审计 的防御通常结合技术控制与运营实践,详见上方完整定义。
智能合约审计 还有哪些其他名称?
常见的别称包括: DeFi 审计, Solidity 审计。
● 相关术语
- web3№ 1056
智能合约安全
通过设计、审查和运维链上程序,防止其被利用以盗取资金、冻结逻辑或违反业务规则的实践。
- web3№ 910
重入攻击
智能合约漏洞,外部调用使攻击者在状态更新前再次进入原函数,通过递归循环不断转出资金。
- web3№ 106
区块链安全
保护分布式账本、共识机制、智能合约及其周边基础设施免受攻击、欺诈与盗窃的综合学科。
- web3№ 765
预言机操纵
通过扰乱智能合约所依赖的价格或数据源,使合约在借贷、清算或结算中做出严重错误决策的攻击。
- web3№ 424
闪电贷攻击
DeFi 攻击者在一笔交易中借入巨额无抵押闪电贷,以操纵价格或治理,在贷款偿还前盗取资金。
- defense-ops№ 813
渗透测试
对系统、应用或人员进行的经授权的模拟网络攻击,在真实攻击者之前发现可被利用的弱点。
● 参见
- № 952Rug Pull(抽地毯/卷款跑路)