木星链 木星链
Ctrl+D收藏木星链
首页 > 波场 > 正文

PLE:谁来监管审计公司?

作者:

时间:1900/1/1 0:00:00

前两天,一个C字打头的区块链安全审计公司审计过的项目MerlinDEX卷款200万美刀跑路,在业内引起了不大不小的震动。从跑路节奏的掌握上看,这个项目方是懂跑路的:第一天,宣布完成安全审计;第二天,宣布达成200万美刀流动性TVL;第三天,卷款跑路。而C审计公司给出的审计意见,竟然是安全无虞。

略显讽刺的是,就在M项目卷款跑路的同一时间,C审计公司的专访稿“对话Web3安全超级独角兽”放了出来。对话中,记者问到了2月份卷款300万美刀跑路的项目OrionProtocol,当时C审计公司给予的评分是满分。受访人给出的回答是,出事的代码没有提交审计,过错全在项目方想省钱,“对安全的重视程度还是不够。大家虽然在安全上花了钱,但花得还不够,应该做完整的代码审计。”因此受访人认为,是他们替项目方“背了锅”。

但是真金白银的事儿,靠背锅甩锅毕竟不能解决。安全审计这个行当,至少面临下述四个方面的难题:

印度:IMF正在与G20合作制定加密货币政策:金色财经报道,印度经济事务部秘书 Ajay Seth 表示,国际货币基金组织(IMF)正在与印度协商起草一份文件,该文件将重点关注货币政策的各个方面和加密资产的政策方法。Ajay Seth还表示,在本月晚些时候举行的 G20 会议期间将举行 135 分钟的加密货币资产研讨会,国际货币基金组织正在为此准备文件,该文件将作为基础。Ajay Seth 称,计划将 IMF 起草的文件从 G20 的共识转移到金融稳定委员会的加密资产工作组,并希望所有国家都接受该政策。[2023/2/3 11:45:33]

一、内在矛盾

所谓安全审计这个事情,从逻辑上是不符合区块链精神的。区块链精神是什么?不要信任,要验证。但是安全审计所做的事情,恰恰是让用户不去验证,去信任审计公司写的审计报告。

OpenSea已添加Solana链自动索引上架功能:9月23日消息,OpenSea宣布已添加Solana链的自动索引上架功能。目前平台可以自动添加大多数的Solana NFT系列,并支持Metaplex CandyMachine和MCC标准。[2022/9/23 7:15:29]

是的,很多人会辩护说,大多数用户根本没有技术能力,自己又看不懂智能合约代码,而且就算懂一点儿,也很难有那么专业的安全知识,能够看得出来代码里的问题和猫腻。审计公司,就是用户的守护神,替用户审查了这些代码,避免了用户遭受损失的风险。

但是,一个始料未及的结果出现了。审计公司以它的专业性,拍着胸脯告诉用户没问题。这削弱了用户的风险意识,增强了用户的投机力度,最终给用户造成了更大的损失。

如果一个土狗项目,没有任何背书。你在冲进去的时候一定会哆哆嗦嗦,不敢投入太大——因为你生怕一不小心,土狗卷款跑路,或者代码bug,或者黑客盗币,凡此种种。但是现在,土狗还是那只土狗,可是却穿上了“黄马褂”,掏出了盖着几个红戳的安全审计报告。土狗你不认识,审计公司明晃晃的金字招牌你是认识的。于是你重仓梭哈。土狗跑路。你损失惨重。

Ripple回应SEC关于Hinman电子邮件裁决的反对意见:金色财经消息,Ripple公司称,法院必须拒绝美国SEC对Hinman电子邮件裁决的反对意见。Ripple和个人被告Brad Garlinghouse和Chris Larsen已经提交了他们对美国SEC反对法院最近关于披露前高官William Hinman的以太坊演讲相关电子邮件的裁决的答复。 被告要求法官拒绝SEC的反对意见。 治安法官Sarah Netburn迄今已发出三份命令,迫使该机构出示有关文件。据U.Today报道,法院在1月份裁定该机构必须交出Hinman的电子邮件,因为该机构辩称这些邮件受到蓄意程序特权(DPP)的保护。4月,Ripple公司又取得了重大胜利,Netburn法官拒绝了原告的复议申请。[2022/8/10 12:15:34]

安全审计报告,就像一个隐形的杠杆,无形之中,放大了你的亏损。当然,也倍增了土狗跑路的收益。

美联储梅斯特:相信美国并没有陷入经济衰退:8月3日消息,美国克利夫兰联储主席梅斯特表示,美国没有出现劳动力市场下滑问题,美国就业市场目前非常健康;相信美国并没有陷入经济衰退,经济活动没有大面积回落。并表示,美国2022年经济增速将低于趋势水平,有必要让物价涨势降温,美联储需让美国高通胀问题得到控制。(财联社)[2022/8/3 2:54:39]

二、立场问题

回头再看一眼辩护词。审计公司真的是全心全意站在用户的立场上,为了用户的安全在审查那些代码吗?

若谁认为是。那么请问,谁付钱给审计公司?审计公司挣谁的钱?

拿谁钱财,替谁办事。你永远可以相信,屁股决定脑袋,利益决定立场。

就像靠车商养活的测评工作室不可能对用户全掏一片真心,而只会是更高级的营销工具,挣项目方钱的审计公司,屁股绝对不可能坐在用户这一边。说白了,它们的审计报告,不过就是一种更高级的市场营销材料罢了。

更糟糕的是,车商毕竟最终还是要靠用户买它们的汽车才能赚钱,因此测评工作室也不能完全抛弃用户立场,但是Web3项目则不同,很多时候,营销就是它们唯一的“产品”,营销完毕,钱圈到手,就可以和用户说拜拜了。这种模式就注定了,审计公司的屁股必然就会坐的更歪,甚至沦为项目方的“帮凶”。

也许,正是这种心态,让审计在看到M项目的代码里赫然把用户存入的资金全部授权给项目方控制的时候,觉得这应该也没有什么问题吧。

三、道德风险

若客观上注定了审计公司的立场必然偏向于项目方,那么主观上就无法撇清有意为之的动机问题而自证清白。

就像一个项目卷款跑路之后,拥有超级权限的项目方也很难自证,究竟是真的不小心泄露了私钥,还是监守自盗。监守自盗的话,一起分个赃,绝非不可能。又或者干脆黑吃黑。夜黑风高,套上黑衣,变身黑客。漏洞在心,屡屡得手。

即便是作为一个组织,没有作恶的动机,可是依然无法防范,经手的一线人员不会见钱眼开。

一个审计人员,看到代码有漏洞,告诉自己的小舅子,小舅子再把漏洞线索卖给X国黑客,这也不是不可能的事情。

道德风险如果有条件发生,它就总是一定发生。这个叫做“墨菲定律”。

四、责任缺位

谁最明白这种矛盾和纠结?当然是审计公司自己。

但是,放着白花花的银子不赚,那是自己智商有问题。毕竟,这世界上能够媲美看一行代码赚几十美刀的暴利生意,哪个不是需要把脑袋别在裤腰带上干的?

审计公司所做的,和项目方自己的测试人员所做的,从技术上讲,有什么不同?都是最大程度的保障代码的可靠性、安全性。但是费用成本上,可是天上地下。超高的溢价来自于什么?来自于它本就是披着技术外衣的营销。每100块里,1块钱是为技术付费,99块钱是为营销付费。Web3营销,就是用品牌站台,用专业包装,用报告喊单。目的很单纯,就是让韭菜大胆地把兜里的仨瓜俩枣全都掏出来。

这安全审计,解决的就是怎么解放思想、放开胆子大胆干的问题。

如果这一行有监管,有追责,这事儿它其实也应该是一个脑袋别在裤腰带上的生意。

2001年安然丑闻曝光,一系列追查、追责下来,为安然出具审计报告的全球五大审计会计事务所之一的安达信轰然解体。该抓的抓,该判的判。自此,“五大”永远变成了“四大”,直到今天。

这边风景独好,因为没有监管。看看今天很多Web3审计公司出具的安全审计报告,居然连审计员的姓名都不敢签上去进行公开披露。

那就更不要提,出了事要它们负责了。

参考资料:

-https://twitter.com/3orovik/status/1651380667710595074

-https://mp.weixin.qq.com/s/6VVhOn47jVCEo0UzjZb1nw

***刘教链出品***

(公众号:刘教链。知识星球:公众号回复“星球”)

来源:DeFi之道

标签:PLEPPLSECINMpeople币可以涨到1美元吗ripple币怎么买卖Secure Padbitcoinmoney

波场热门资讯
GPT:笑疯 外国小哥用ChatGPT完成80%工作 同时打4份工

不少白领在工作中都用上了ChatGPT,堪称如虎添翼。毕竟,很多工作都是重复的、有章可循的。既然有了科技力量的加持,用一用提升一下效率倒也不足为奇.

1900/1/1 0:00:00
区块链:金色早报 | 以太坊链上费用在一个月内飙升153%

头条▌过去24小时ETH链上手续费收入突破1500万美元金色财经报道,Cryptofees.info数据显示,最近24小时,以太坊链上手续费收入为15251640美元.

1900/1/1 0:00:00
元宇宙:主题公园的未来在哪里?环球影城的元宇宙新玩法

为跟上不断变化的科技发展,环球影城主题公园不断演进。其中最让人激动的新进展之一是将元宇宙技术引入到环球影城的游乐设施中.

1900/1/1 0:00:00
EPE:PEPE 上涨 75%,创下历史新高,因为 Meme 代币飙升

来源|DecryptPepe Chain:跨链桥现已正常运行,即将推出新版本:7月21日消息,Pepe Chain发推称,跨链桥现已正常运行,到目前为止.

1900/1/1 0:00:00
OSMO:Cosmos流动性质押生态分析

以太坊的质押从2020年11月开始,直至最近的上海升级才开通赎回功能,随着质押率的上升,质押收益率也在不断下降.

1900/1/1 0:00:00
人工智能:对话凯文·凯利:AI 会取代人的 90% 技能,并放大剩余的 10%

来源:CSDN采访|邹欣,CSDN副总裁作者|王启隆???责编|唐小引 图片来源:由无界AI工具生成5000天后,你都会做些什么?是和AI助手一起编程,还是让生活完全由AI掌控.

1900/1/1 0:00:00