对于世界上最大的NFT市场OpenSea来说,面对数亿美元的平台风险保障,如果用传统的流程进行代码审计具有很大风险敞口。传统的安全审计对其智能合约来说也是不合适的。
Sockdrawermoney说:"风险太高了,"他是一个名为Code4rena的去中心化审计平台的众多贡献者之一。DAO开创了由Scott Lewis 和Zak Cole设计的新模式,审计人员通过竞争来阻止代码中的错误。而这对于支持去中心化金融(DeFi)的智能合约至关重要。虽然一个未被发现的软件错误可能会导致程序崩溃或其他一些操作问题,但DeFi或资产交换协议中的智能合约错误可能会立即导致价值数亿美元的代币损失。代码审计是世界上最大的NFT市场OpenSea今年的首要任务。5月,OpenSea引入了一个名为Seaport的新协议来处理其交易,并帮助减少Gas费用。该计划是为了从完善的Wyvern协议迁移到Seaport。但考虑到通过OpenSea的流量和加密货币的数量(去年总流量达到100亿美元)Seaport需要在投入之前进行彻底的测试。
OpenSea与一家安全公司签约,对Seaport进行审计。但对于将其整个平台迁移到一个全新的协议这样大的举措,它希望得到更多的保护。OpenSea的一位发言人告诉Decrypt:"我们希望来自不同背景和思维过程的人来到这里,全面审视智能合约,特别是我们希望最好的开发人员来看看Seaport,这些开发人员不一定为审计公司工作。"即使是顶级的安全公司通常也只能抽出一两个审计师来审查一个项目一到两周,这没有足够的时间彻底分析一个智能合约协议的潜伏漏洞。Code4rena激励一个巨大的审计师社区,像攻击者一样,寻找最稀有和最高价值的漏洞。但与漏洞赏金不同的是,C4的主要目标是不让漏洞出现在生产代码中。OpenSea决定与Code4rena一起赞助一个为期两周的公开竞赛,以便在迁移之前对Seaport代码进行第二次审计,奖金池为100万美元。Code4rena是一个由贡献者管理的DAO,由ARENA代币持有人管理。它的方法简单得令人难以置信,它的模式涉及三个主要行为者:赞助商、监护人和法官。像OpenSea这样的赞助商创造了一个奖金池,以吸引监护人来审核他们的项目。监管人深入研究代码,尽可能多地发现代码威胁。而独立的评委,通常是C4社区中最精锐的工程师审核这些问题,并根据他们的表现向监管人发放奖励。(提交错误的过程是完全匿名的,但对于有KYC、AML或其他法律义务的赞助商来说,C4也会举办只有邀请才能参加的私人比赛,在NDA下工作的认证监护人数量较少。)Sock说,公开的C4审计的好处是它具有竞争性,任何人都可以参加。监管员的范围很广,从安全工程师到试图获得更多审计智能合约经验的绿色开发者,再到已经在加密货币领域赚了大量的财富,只想找点乐子猎杀漏洞的赏金猎人。OpenSea告诉Decrypt:"它让新的开发者和研究人员在一个公平的竞争环境中进入审计领域。"找到一个罕见的bug会比普通bug赚取更多的钱,但每个提交有效bug的人都会得到报酬,这与只奖励第一个发现漏洞的人的漏洞赏金计划不同。这促进了一种健康的竞争意识。虽然管理员被激励去寻找严重程度较高的漏洞,但他们在这个过程中也发现了很多其他的漏洞,他们的努力得到了回报,一些管理员甚至在特设的团队中一起工作。Sock说:"你可以把它看成是一项体育比赛。”一个典型的C4审计将看到超过50个管理员在一到两周的时间里产生大约400个不同的错误提交。如果一个典型的审计公司在1-2周的审计中配备了1-2名审计人员,这将产生40到160小时的代码审查。根据管理员自我报告的审查代码的平均时间,大多数Code4rena竞赛现在看到至少600小时的代码审查。在审查OpenSea的Seaport协议时,C4管理员发现了很多以前没有注意到的问题,包括两个被C4评委认为是高度严重的问题。其中一个问题被八个不同的监管员和/或团队发现。例如,在某些情况下,多个审查员意识到仅有部分内容的订单可以被多次处理。OpenSea在Seaport内部纠正了这个问题,设置了一个保障措施,使分子和分母永远不能超过某个特定值。
C4的审计人员还注意到,在履行聚合方面的两个特定错误相继被触发,会绕过对这两个错误的检查。通过对错误检查的一个小修改,一个潜在的非常糟糕的情况被修复了。Code4rena的管理员在代码中发现的许多错误在过去的多次审查和审计中都被其他人忽略了。6月,OpenSea能够将其市场迁移到Seaport,并确保所有的主要问题都已被发现和处理。但是,除了C4审计可以确保其智能合约代码安全的公司带来速度、效率和价值之外,该模型也是工作性质正在发生变化的案例研究。Code4rena每周都会举办多场审计比赛,任何人都可以参加,C4的顶级管理员之一Christoph Michel(又名cmichel)说。自2021年2月cmichel参加他的第一次C4竞赛以来,他已经为大约100个项目审计了代码库,赚取了超过100万美元。cmichel说:"你不需要征得同意,也不需要通过求职面试,对我来说,这就是未来的工作。"
2022-05-21
