Web3、良好的卫生以及对端到端安全性的需求

进行智能合约审计很像洗手——只做一次，并为后果做好准备。

由于网络犯罪遭受毁灭性的一年损失，围绕加密安全的对话变得激烈 - CertiK 最近的报告指出“2022 年将是 web3 有记录以来成本最高的一年”——审查一些安全最佳实践至关重要。其中最主要的是彻底、定期的智能合约审计的重要性。

很多时候，新的区块链项目将其安全检查视为在启动之前就可以摆脱的东西，再也不会被考虑到。这种随意的态度在只有一次智能合约审计的项目中表现得最为明显。这样做的项目似乎认为审计更多是出于营销目的而不是实际安全。诚然，投资者和用户都应该避开没有经过任何智能合约审计的项目，但他们也应该确保他们投资的项目对他们的项目采取积极的、端到端的方法。安全。

您可能想知道‘为什么一个项目需要定期审核？不应该涵盖整个项目吗？这是一个常见（且代价高昂）的误解。虽然任何好的智能合约审计都应该对项目的底层代码进行全面评估，但它不能评估审计发生后发生的任何更改或更新，尤其是在底层代码发生更改的任何时候。

当然，任何从不更新的技术项目很快就会变得多余，在快速发展的 web3 世界中尤其如此。任何优秀的技术投资者或用户都知道要避免拒绝更新和开发的项目，但他们经常将资金投入到从不（或很少）更新安全性的项目中。回到清洁的比喻，这就像在某人说他们一年没洗手之后与他们握手。

采取Deus Finance 利用例如，攻击者消耗了近 1600 万美元的资金。虽然 Deus 确实对他们的智能合约进行了审计，但攻击者能够通过复杂的快速贷款攻击来瞄准新的未经审计的智能合约。在整个攻击过程中，黑客能够改变 Deus 的 DEI 代币的价格，并从这种可预测的价格行为中获益。他们通过操纵预言机使用的借贷池来做到这一点——一个解释数据的代码节点——它决定了代币的价格。

现在，任何物有所值的智能合约都会警告您使用通过交易对确定价格的预言机的危险，因为这些很容易被操纵。然而，由于易受攻击的智能合约超出了初始审计的范围，审计人员没有机会强调这个问题。

Deus 应该明确警告项目，他们必须将智能合约审计视为其安全框架中的一项持续功能，并在每次对项目进行重大更改时对其进行审计。然而，并非所有审计都是平等的。我们一次又一次地看到精心策划的项目遭受不良审计的缺陷。

拿最近的FEG漏洞利用举个例子。 FEG（Feed Every Gorilla）超通缩治理模因令牌最近遭到两次闪电贷款攻击，在两天内从协议中总共消耗了 320 万美元的资金。

在每次攻击中，黑客（或多个黑客）都针对 FEG 智能合约中的相同漏洞。 CertiK 对漏洞利用的分析发现，这是由于令牌的缺陷造成的[[Swap-To-Swap 功能](https://docs.fegtoken.com/fegex/smartswap#:~:text=Swap%2DTo%2DSwap%20(S2S,found%20in%20the%20next%20section) ，它直接将用户输入的“路径”作为可信方，没有任何卫生。简单来说，这个漏洞允许黑客反复调用函数，从而获得无限的津贴并耗尽其资产的合约。

对于 FEG 来说，最令人沮丧的可能是智能合约审计应该检测到这个缺陷。尽管 FEG 确实对他们的智能合约进行了审计，但审计人员应该注意到 FEG 的不受信任的“路径”参数传递给协议并被批准用于合约的支出资产。然后，任何良好的审计都会将此标记为主要严重性，并建议项目采取相应行动并进行编辑。

对于加密安全行业来说，这里有一个教训——随着黑客不断寻找新的和巧妙的方法来利用项目，审计人员仅仅更新他们的检查以应对新的攻击已经不够了。相反，他们必须不断更新他们的技术，以便在发生新攻击时做好准备。

这两个漏洞不仅强调了对严格和定期的智能合约审计的需求，而且还强调了对 web3 安全性的主动、一致、端到端方法的需求。这相当于转向将安全视为要构建和维护的东西，而不仅仅是要买卖的标签。这适用于需要与技术同步更新项目安全性的团队，也适用于需要预测攻击而不仅仅是响应攻击的审计公司。