1.  獲得源代碼并搭建定制環(huán)境：

   • 這是審計(jì)流程的*步，確保審計(jì)團(tuán)隊(duì)能夠深入了解項(xiàng)目的代碼基礎(chǔ)。

2. 審查項(xiàng)目文件并進(jìn)行威脅模型分析：

   • 審查項(xiàng)目文件，包括文檔、設(shè)計(jì)圖等，以了解項(xiàng)目的整體架構(gòu)和設(shè)計(jì)思路。
   • 進(jìn)行威脅模型分析，識(shí)別項(xiàng)目的潛在漏洞和安全威脅，并制定相應(yīng)的安全檢查表。

3. 使用內(nèi)部工具和人工審計(jì)尋找安全漏洞和設(shè)計(jì)缺陷：

   • 利用內(nèi)部工具對(duì)代碼進(jìn)行靜態(tài)分析，識(shí)別不安全的代碼模式。
   • 進(jìn)行人工審計(jì)，包括微觀審計(jì)和宏觀審計(jì)，逐行檢查代碼，確保代碼的正確性和安全性。

4. 提交初審報(bào)告：

   • 匯總審計(jì)過(guò)程中發(fā)現(xiàn)的風(fēng)險(xiǎn)及其修復(fù)建議，形成初審報(bào)告。

5. 出具終審報(bào)告：

   • 在初審報(bào)告的基礎(chǔ)上，詳細(xì)描述審計(jì)工作為項(xiàng)目帶來(lái)的幫助，并展示審計(jì)專家是如何協(xié)助項(xiàng)目規(guī)避關(guān)鍵漏洞的。

安全審計(jì)工具推薦

1. CertiK：

   • CertiK提供端到端的安全解決方案，支持多種主流編程語(yǔ)言，為區(qū)塊鏈平臺(tái)、數(shù)字資產(chǎn)交易平臺(tái)、智能合約等領(lǐng)域提供安全技術(shù)支持。
   • 其審計(jì)*整合了靜態(tài)分析、形式化驗(yàn)證和人工審計(jì)，確保項(xiàng)目代碼庫(kù)的安全。

2. Go+ Security、StaySafu、Token Sniffer：

   • 這些工具可用于檢測(cè)合約地址風(fēng)險(xiǎn)，快速獲得簡(jiǎn)易審計(jì)報(bào)告。
   • 在與dApp交互或在DEX上輸入地址購(gòu)買長(zhǎng)尾代幣時(shí)，可使用這些工具的掃描功能輸入要交互的智能合約地址，查看風(fēng)險(xiǎn)檢測(cè)結(jié)果。

3. Scam Sniffer、Pocket Universe：

   • 這些是錢包防釣魚插件，下載安裝后，當(dāng)連接錢包發(fā)起交互時(shí)，安全插件會(huì)對(duì)交互邏輯進(jìn)行掃描，并彈窗告知安全掃描結(jié)果，提示風(fēng)險(xiǎn)。

4. Forta：

   • Forta可用于監(jiān)控智能合約地址和錢包地址的狀態(tài)變化，并發(fā)送狀態(tài)至郵箱、Slack、Discord等通訊軟件。
   • 用戶可向Forta輸入想監(jiān)控的地址，并留下通知方式，以便獲得實(shí)時(shí)的鏈上動(dòng)態(tài)。

5. Revoke、Approved.zone：

   • 這些工具可用于查看授權(quán)的NFT和Token，并可以取消授權(quán)。
   • 通過(guò)這些工具，用戶可以查看自己進(jìn)行了哪些授權(quán)，并可以取消不必要的授權(quán)，以降低資產(chǎn)被轉(zhuǎn)移的風(fēng)險(xiǎn)。

6. Harpie：

   • Harpie是一款鏈上防火墻工具，可對(duì)資產(chǎn)的交易進(jìn)行限制。
   • 用戶可以提前設(shè)置受信任的*、應(yīng)用或朋友的地址，如果有資產(chǎn)被轉(zhuǎn)到受信任地址之外的地址，Harpie會(huì)在執(zhí)行過(guò)程中阻止交易。

7. MistTrack：

   • MistTrack可用于分析目標(biāo)錢包地址的關(guān)聯(lián)交易、資金流向等鏈上信息，綜合評(píng)估地址風(fēng)險(xiǎn)。
   • 同時(shí)也能監(jiān)控某地址，獲得狀態(tài)變化推送。在發(fā)生財(cái)產(chǎn)損失后，可使用該工具對(duì)損失財(cái)產(chǎn)轉(zhuǎn)入地址進(jìn)行查看，分析被攻擊的方式。