当我们看合同审计时，我们在看什么？

随着DeFi项目数量的激增，安全审计机构已经忙得不可开交。从某种程度上说，合同审计是把握智能合同风险的第一道门槛。

根据安全团队的解释，完整的定义=智能合约+前端页面。也就是说，经过智能合约安全审核后，仍然存在几个风险。

当我们看审计报告时，我们在看什么？

作为DeFi的参与者，合同审计到底能给我们什么样的借鉴？

随着“交换系统”数量的增加，DeFi项目的“雷声”和“逃跑”事件也在增加。

面对社会各界对德孚项目风险的担忧，很多项目方选择进行合同审计，要么是为了证明自己的清白，要么是为了赢得投资者的信任。有时，对DeFi项目的合同审计也被认为是一种很好的解释。

这种做法似乎行之有效：在寿司交换创始人突然套现、项目控制权变更后，一则“寿司交换项目智能合约审核进展顺利”的消息，让寿司立刻出现小幅增长，在连续三个项目的漏洞被曝光，项目方被指没有做详细的测试和审计后，也恢复了部分投资者的信心，天创的官方矿业项目孙通过审计报告的消息也再次增加了博昌社区的知名度。

同时，也有一些平台因漏洞在审计方面受到质疑。上周，一些投资者对新出现的“掉期系统”平台提出了质疑，如“发现预挖矿”、“合约没有时间锁定”和“平台上存在多个漏洞”他们还质疑他们的审计，并引起了社会的关注。

目前，moonswap已经在发射当天18点多锁定，慢雾安保团队已经发布了正式的安全审计报告。

当我们看审计报告时，我们在看什么？

作为DeFi的参与者，合同审计到底能给我们什么样的借鉴？

面对这些问题，blocklike还发现，对于审计能够发挥的作用，有人曾做过这样的总结：“代码可以审计，人性不能审计。”

审计范围有限，合同风险隐患

许多投资者目前的处境可能正如prime ventures的创始合伙人多维所描述的：“别问我XXX是否能挖。现在，有两个专职程序员帮我签各种现代农产品（包括一个专职农民，看我在哪里可以签一个专职农民的钱包，包括一个专职农民帮我签各种安全项目。”

事实上，合同安全是许多投资者关心的话题。近日，为了给更多的投资者一个风险的提示，社会各界总结出了这样一幅DeFi生态思维图和风险点：

1合同风险、代码漏洞、未经审计以及黑客攻击造成的资产损失

2私钥的风险。不存在多重契约，即掌握契约私钥的人可以变更契约或逃跑

例如，流动性损失也是不稳定的

4交易摩擦风险。目前以太坊成交的气速很高。几笔交易可能要花一个以太坊，而散户投资者的本金可能不足以来回折腾几次

5操作错误的风险。资产因转让过程中的错误而**性丧失。最近，出现了几个大的传输错误。建议投资海外项目，实行开源审计和社区民主自治，仅供参考。

可以看出，未经审计的风险，首先是由代码漏洞造成的风险。在某种程度上，合同审计已成为把握合同风险的第一道门槛。

从投资者参与非审计项目的现状和普遍性来看，很多人对安全审计的意义并不了解。早在YAM上市之初，佛摩在市场上的人气就被推高。虽然YAM已经被宣布是一个“未经审核”的合同，但它的受欢迎程度仍然惊人。

那么，作为DeFi投资者，我们应该如何看待合同审计呢？

Blocklike从慢雾安全团队了解到，目前智能合约的基础安全审核主要分为ETH部分（wave field和币安智能链相似，均基于EVM）和EOS部分。其中ETH安全审计包括13个类别，EOS安全审计包括15个类别。

；

（ETH安全审计示例）

然而，由于DeFi的整个安全模将更加复杂，慢雾安全团队将DeFi的风险点分为合同层和前端层

合同层：

1智能合约基础安全审计项目的准确性需要特别关注

2过度授权的风险：造币、授权迁移

3经济模风险：预开挖、队伍配置和使用

4同链平台迁移风险

5新池风险：添加恶意代币领取奖励

6合同直接收**币风险

7代币兼容性风险：通缩性代币，777代币

8DOS风险：循环递归，恶意合约拒绝接受以太

9治理契约风险：治理投票双花、治理垄断风险

10链平台迁移风险：不同链之间的EVM兼容方法可能不一致

雷击对贷款系统稳定性的影响

12预言机控制的风险

13贷款清算风险：全额清算、部分清算、无人清算、竞争性清算

前端层：

1准确性风险

2中间人攻击风险，如更换合同地址

3合同重置风险

4授权捕鱼风险

5气体限值风险

“普通用户确实很难一一理解，”慢雾安全团队进一步解释说，“但普通用户可以简单地理解，经过profi的安全审计，参与智能合约安全审计的用户主体是安全的。至于参与DeFi所造成的经济损失或非合约层面的损失，则不在智能合约安全审核范围内。”

需要注意的是，根据安全团队的解释，完整的定义=智能合约+前端页面。

也就是说，智能合约安全审计后，会有几个风险：一是安全审计中可能找不到的漏洞或新的攻击手段；二是智能合约可以升级或篡改，如何使其不可能或有效可信的社区治理行为；三是随着发展项目方面，将增加新的智能合约，如新池、新功能模块，需要注意查看智能合约安全审计报告，明确什么是审计。

由于前端页面属于中心化内容，如果前端出现漏洞或漏洞或作恶，危害可能更直接、更大。这不仅是安全审计机构可以审计的问题（事实上非常困难），而且也是一个社区监督的问题。

说到EOS安全审计，情况就不同了。

胡佛创始人王瑞喜曾公开表示：“EOS的合同特征是可修改的。你应该看清楚，不要盲目相信审计。因为目前，EOS上的大多数合同都不是开源的。没有开源的审计和不审计是一样的。如果有问题，审计就不值得损失。”

对于EOS上的智能合约，慢雾安全团队补充道：“如果项目业主签署了多个合同，项目方和至少两个受信任方需要签署多个合同进行合同更新或转让，主动权限删除了项目方的私钥权限。我们可以更好地控制EOS智能合约项目方权限过大的问题。”

因此，即使项目通过了安全审计，投资者仍需认真识别和关注风险。

投资者应该如何称呼它？

根据自己的工作经验，慢雾安全团队还向投资者提出了一些建议：“智能合约安全审计虽然不是银弹，但总比裸奔强。专业的安全审计机构将大大降低违约风险。切记不要进入钓鱼网站，未经授权将导致零本金。即使投资已经过多家安全审计机构的Defi审计，也要做好黑天鹅爆发的可能性，不要放纵；利用可靠的环境来发挥可靠的Defi，可靠的环境是指（电脑是安全的，浏览器是安全的，手机是安全的，钱包用的是知名的，网络用的是安全的，不要把所有资金放在一个篮子里，去中心化的安全管理非常重要。”

根据成都连锁安全的经验，合同审核的目的是检查代码规范性、常规漏洞（主要指一般性漏洞，如数据显示错误）、安全漏洞（如溢出、重入等）、业务逻辑漏洞。主要排除的风险主要体现在两个方面：一是降低被黑客攻击的可能性，二是减少代码正常运行导致的业务失败（如yam事件）

“审计报告会指出业务逻辑和功能描述，可以对比看项目方的宣传和功能是否正确；审计报告也会描述相关的权限，普通投资者可以看到项目方是否有能力像项目方那样跑路将合同中所有的资金转移权，或者可以对成都联安变相控制一些关键参数提出建议。

目前的情况可以看出，由于DeFi的普及，很多项目方过于急切。现在很明显，安全审计机构远没有忙，这对用户来说不是好事。由于很多用户缺乏安全意识，即使一个DeFi未能通过安全审核，也可能有大量用户直接涌入。

Blocklike提醒投资者在参与DeFi项目时，要注意智能合约的安全性。在投资时，本金的安全性是第一个重要的评价参数。面对巨额的参与资金，黑客比普通投资者热情更高。

毕竟，早在8月中旬，一些社会声音就已经向热心投资者的灵魂发问：“你有没有想过，这些不同的德银项目出了问题？你想在版权保护横幅上印谁的名字？”