审计公司监管部门，审计机构谁管

前两天，Merlin DEX这个由区块链安全审计公司审计的字母为“C”的项目，卷走了200万美元，在业界引起了不小的震动。从跑的节奏来看，这个项目知道怎么跑:第一天，宣布完成安全审核；第二天，就宣布达到了流动性TVL；200万美元；第三天，钱跑了[1]。审计公司C给出的审计意见竟然是安全的。

讽刺的是，在M项目跑路的同时，C审计公司《对话Web3安全超级独角兽》采访稿出炉[2]。在对话中，记者问及猎户座协议，这是一个在2月份卷走了300万美元的项目。当时审计公司C给的分数是满分。被采访者给出的答案是事故的代码没有提交审核，错都是项目想省钱。“对安全的重视程度仍然不够。虽然大家都在安全上花了钱，但这还不够，还要做完整的代码审计。”因此，被调查者认为他们为项目方“背锅”。

但是真正的钱，毕竟解决不了。安全审计业务至少面临以下四个问题:

一、内在矛盾所谓的安全审计在逻辑上是不符合区块链精神的。什么是区块链精神？不要相信，核实。但安全审计做的是让用户相信审计公司写的审计报告，不需要核实。

是的，很多人会辩解说，大部分用户根本没有技术能力，看不懂智能合约代码，而且就算懂一点，也很难有这么专业的安全知识，能够看出代码中的问题和猫腻。用户的守护神审计公司为用户审查这些代码，避免了用户遭受损失的风险。

然而，一个意想不到的结果出现了。审计公司凭借其专业性，拍着胸脯告诉用户没有问题。这削弱了用户的风险意识，增强了用户的投机心理，最终给用户造成了更大的损失。

如果一个土狗项目，没有代言。冲进去的时候会战战兢兢，不敢投入太多——因为怕一不小心，土狗卷款跑路，或者代码bug，或者黑客偷钱，诸如此类。但现在，土狗还是土狗，只是他穿上了“黄夹克”，拿出了盖着几个红章的安全审核报告。你不知道当地的狗，但你知道审计公司的金字招牌。所以你的位置很重。土狗跑了。你失去了很多。

安全审计报告就像一根无形的杠杆，无形中放大了你的损失。当然也让当地的狗跑收入翻倍。

二、位置问题回看防守。审计公司真的是全心全意站在用户的角度，为了用户的安全去审核那些代码吗？

如果有人这么认为。那么，谁给审计公司付费呢？审计公司赚谁的钱？

谁拿钱给谁干活。你可以一直相信* *决定脑袋，利益决定立场。

就像依赖车商的评测工作室不可能对用户真诚，只会是更高级的营销手段，靠项目挣钱的审核公司绝不会坐在用户一边。说白了，他们的审计报告只是更高级的营销材料。

更糟糕的是，毕竟车商还是要靠用户买他们的车来赚钱，所以评测工作室不能完全抛弃用户的立场，但是Web3项目就不一样了。很多时候，营销是他们唯一的“产品”。营销完了，拿到钱就可以和用户说再见了。这种模式注定，审计公司的* *必然会坐得更歪，甚至成为项目方的“帮凶”。

或许，正是这种心态，让审计人员在M项目的代码中看到用户存放的资金全部授权给项目方，就觉得应该没有问题。

第三，如果道德风险客观上注定了审计公司的立场偏向项目方，那么主观上就无法摆脱故意动机，无法证明自己的清白。

就像项目跑路后，拥有超级权限的项目方很难证明自己，是真的不小心泄露了私钥，还是从内部窃取的。偷自己的东西，也不是不能一起分享赃物。或者干脆吃黑。夜黑风大，穿上黑衣服变身黑客。漏洞在心里，而且往往成功。

即使作为一个组织，没有作恶的动机，但仍然防不胜防，办理的一线人员也不会贪得无厌。

审计员看到代码有漏洞就告诉姐夫，姐夫会把漏洞的线索卖给x国的黑客，这也不是不可能。

如果条件允许，道德风险总是会发生的。这就是所谓的墨菲定律。

第四，在责任缺失的情况下，谁最理解这种矛盾和纠结？当然是审计公司本身。

但是，你不拿白花花的赚钱，那是你的智商。毕竟这个世界可以媲美读一行代码赚几十块钱的暴利生意。哪个不需要把头别在腰带上？

审计公司做的和项目自己测试人员做的有什么技术上的区别？是为了最大程度的保证代码的可靠性和安全性。但从成本上来说，简直是天上地下。超高的保费是从哪里来的？它来源于市场营销，市场营销被技术所覆盖。每100元，1元是技术，99元是营销。Web3营销就是利用品牌平台，利用专业包装，用报表调用订单。目的很简单，就是让韭菜大胆地把口袋里的三个瓜和枣都拿出来。

这次安全审计解决的是如何解放思想，放开胆子，大胆去做的问题。

如果这个行业有监管和问责，它实际上应该是一个头被钉在腰带上的行业。

2001年，安然丑闻曝光，经过一系列追查和问责，为安然出具审计报告的全球五大审计和会计事务所之一的安达信轰然倒塌。应该把握什么，应该判断什么。从此，“五大”变成了永远的“四大”，直到今天。

这里的风景很独特，因为没有人监督。看看今天很多Web3审计公司出具的安全审计报告，连审计人员的名字都不敢签公开披露。

更不用说，出了事，他们要负责。

参考资料:

–[1]https://twitter.com/3orovik/status/1651380667710595074

–[2]https://mp.weixin.qq.com/s/6VVhOn47jVCEo0UzjZb1nw

* * *刘娇莲制作* * *

(微信官方账号:刘娇莲。知识星球:微信官方账号回复“星球”)

来源:DeFi之路

本网站声明:网站内容来源于网络。如有侵权，请联系我们，我们会及时处理。