獲得源代碼并搭建定制環(huán)境:
- 這是審計(jì)流程的*步,確保審計(jì)團(tuán)隊(duì)能夠深入了解項(xiàng)目的代碼基礎(chǔ)。
審查項(xiàng)目文件并進(jìn)行威脅模型分析:
- 審查項(xiàng)目文件,包括文檔、設(shè)計(jì)圖等,以了解項(xiàng)目的整體架構(gòu)和設(shè)計(jì)思路。
- 進(jìn)行威脅模型分析,識(shí)別項(xiàng)目的潛在漏洞和安全威脅,并制定相應(yīng)的安全檢查表。
使用內(nèi)部工具和人工審計(jì)尋找安全漏洞和設(shè)計(jì)缺陷:
- 利用內(nèi)部工具對(duì)代碼進(jìn)行靜態(tài)分析,識(shí)別不安全的代碼模式。
- 進(jìn)行人工審計(jì),包括微觀審計(jì)和宏觀審計(jì),逐行檢查代碼,確保代碼的正確性和安全性。
提交初審報(bào)告:
- 匯總審計(jì)過程中發(fā)現(xiàn)的風(fēng)險(xiǎn)及其修復(fù)建議,形成初審報(bào)告。
出具終審報(bào)告:
- 在初審報(bào)告的基礎(chǔ)上,詳細(xì)描述審計(jì)工作為項(xiàng)目帶來的幫助,并展示審計(jì)專家是如何協(xié)助項(xiàng)目規(guī)避關(guān)鍵漏洞的。
安全審計(jì)工具推薦
CertiK:
- CertiK提供端到端的安全解決方案,支持多種主流編程語言,為區(qū)塊鏈平臺(tái)、數(shù)字資產(chǎn)交易平臺(tái)、智能合約等領(lǐng)域提供安全技術(shù)支持。
- 其審計(jì)*整合了靜態(tài)分析、形式化驗(yàn)證和人工審計(jì),確保項(xiàng)目代碼庫的安全。
Go+ Security、StaySafu、Token Sniffer:
- 這些工具可用于檢測(cè)合約地址風(fēng)險(xiǎn),快速獲得簡(jiǎn)易審計(jì)報(bào)告。
- 在與dApp交互或在DEX上輸入地址購買長(zhǎng)尾代幣時(shí),可使用這些工具的掃描功能輸入要交互的智能合約地址,查看風(fēng)險(xiǎn)檢測(cè)結(jié)果。
Scam Sniffer、Pocket Universe:
- 這些是錢包防釣魚插件,下載安裝后,當(dāng)連接錢包發(fā)起交互時(shí),安全插件會(huì)對(duì)交互邏輯進(jìn)行掃描,并彈窗告知安全掃描結(jié)果,提示風(fēng)險(xiǎn)。
Forta:
- Forta可用于監(jiān)控智能合約地址和錢包地址的狀態(tài)變化,并發(fā)送狀態(tài)至郵箱、Slack、Discord等通訊軟件。
- 用戶可向Forta輸入想監(jiān)控的地址,并留下通知方式,以便獲得實(shí)時(shí)的鏈上動(dòng)態(tài)。
Revoke、Approved.zone:
- 這些工具可用于查看授權(quán)的NFT和Token,并可以取消授權(quán)。
- 通過這些工具,用戶可以查看自己進(jìn)行了哪些授權(quán),并可以取消不必要的授權(quán),以降低資產(chǎn)被轉(zhuǎn)移的風(fēng)險(xiǎn)。
Harpie:
- Harpie是一款鏈上防火墻工具,可對(duì)資產(chǎn)的交易進(jìn)行限制。
- 用戶可以提前設(shè)置受信任的*、應(yīng)用或朋友的地址,如果有資產(chǎn)被轉(zhuǎn)到受信任地址之外的地址,Harpie會(huì)在執(zhí)行過程中阻止交易。
MistTrack:
- MistTrack可用于分析目標(biāo)錢包地址的關(guān)聯(lián)交易、資金流向等鏈上信息,綜合評(píng)估地址風(fēng)險(xiǎn)。
- 同時(shí)也能監(jiān)控某地址,獲得狀態(tài)變化推送。在發(fā)生財(cái)產(chǎn)損失后,可使用該工具對(duì)損失財(cái)產(chǎn)轉(zhuǎn)入地址進(jìn)行查看,分析被攻擊的方式。