竞争性审计与私有审计：优缺点分析

竞争审计与私有审计？在本指南中，你将学习何时以及如何决定哪种智能合约安全审计类型最适合你的协议。

DeFi 仍然是黑客和恶意行为者的主要目标，这并不令人惊讶。由于在 DeFi 协议中存储了数百万美元，恶意攻击者攻击这些协议的诱惑非常大。不幸的是，这导致 2023 年第三季度成为 2023 年的最糟季度，报告损失达 7 亿美元。

那么，还有人质疑审计的重要性吗？ 它们是该领域的重要保障，所有协议在开发期间都必须经过审计。随着安全服务和选择的快速增加，一个问题出现了：

你应该选择竞争审计还是私有审计？

总的来说，答案是“都是”，但有一些考虑。在这篇博文中，我们将彻底审查这两种选择，并根据你的业务需求和协议的开发阶段探讨各自的好处。

竞争审计与私有审计 - 如何选择合适的解决方案

选择最适合公司类型的智能合约审计就像厨师为他们的招牌菜选择合适的配料一样。

从外部观察者的角度来看，推荐最昂贵或最受欢迎的配料似乎是合理的，但只有厨师真正了解菜品的细微差别。他们知道需要实现的精确味道特征，需要保持的质感平衡以及需考虑的饮食因素。同样，只有构建协议的团队，理解其复杂性并设想其用例，才能准确确定所需的审计类型和程度。

然而，在决策过程中有帮助的手总是令人感激的。那么，让我们深入探讨这一点，希望为你提供对最佳选择的更清晰视角。

• 私有审计：私营公司提供彻底的审查，包含专门的团队，从而生成更全面和详细的报告、最佳实践协助、对你团队的教育，以及可以在整个开发和部署过程中帮助你的密切合作伙伴。额外的好处是，有一群专家专注于审计你的智能合约。
• 竞争审计平台：另一方面，竞争审计允许多个审计员竞争审计你公司的智能合约，可能会发现更多样化的问题。这些平台如 CodeHawks 对所有规模的公司都是一个吸引人的选择。

然而，还有许多其他因素需要考虑，比如：

• 时间限制
• 开发状态
• 代码库复杂性
• 预算限制
• 潜在的质量问题，这些问题可能会从审计中产生

因此，你和你的协议必须仔细权衡这些因素，充分认识到在开支上节省经费可能是极其危险的。与潜在的安全漏洞造成的损害相比，审计过程的费用是一小笔开支。

让我们深入比较的关键要点，从私有审计开始，随后比较竞争审计与私有审计。

私有审计：优先考虑信任作为首要指标

有许多公司，如 Cyfrin，提供专注于安全审查、静态和动态分析以及智能合约手动渗透测试的专业服务。他们的主要目标是确保你的智能合约的安全性和防黑客能力。由于有多种选择，选择最佳的私有审计公司可能既具有挑战性又具有主观性，取决于个人偏好。

这里最关键的方面是信任——你在多大程度上可以信赖一家公司提供最高质量的审计。虽然承认这一信任指标的内在偏见以及保证 100% 准确性的不可能性，但在评估你的信任程度时，有几个关键因素需要考虑：

• 过去进行的审计数量和所审计协议的规模。
• 报告的质量及在以往审计中发现的问题数。
• 公司在研究和知识传播上的投资。

私有审计成本：单独审计员与审计公司

值得注意的是，无论是公司还是单独审计员都不会为每次审计提供固定费用，因为每个案例都是独特的，定价反映了智能合约的复杂性，SLOC和你公司的具体要求。然而，我们可以使用一些参考数字来提供粗略估计，并让你了解潜在的成本。

私有审计员主要有两种类型：单独审计员和审计公司。

单独审计员：通常提供经济实惠的选择，单人审计约收费 2000 美元/天，或 5000 至 10000 美元/周。这个价格反映了他们的服务，以及他们在智能合约审计方面的专业知识。但是，大多数审计员通常对协议的预算更具灵活性，在他们认知的专业知识与审计过程的指定预算之间达成平衡。

私有审计公司：由于他们的团队规模更大、专业领域更广及支持更全面，通常收取更高费用。审计公司的两周审计费用范围通常在 4 万到 6 万美元之间。费用增加是由所提供服务的综合性质所证明的。这通常涉及多个审核层次，对智能合约功能的深入检查，多个审计员，以及详细和全面的最终报告，辅助你的团队。

根据 Cointelegraph 的数据，大型项目的审计成本可高达 500,000 美元，具体价格取决于你的协议规模及全面审计代码库的难度。虽然单个审计员的可负担性更具吸引力，但考虑到只有一个人审核代码的局限性及全面检查整个代码库的时间限制是非常重要的。

私有审计：他们被黑客攻击多少？

现在我们已经对私有审计提供了一个大致概述，并探讨它们如何旨在提高协议的安全性，让我们来看看自 2020 年底以来被攻破的100多个项目的数据，如 REKT 领导者榜上所示。

这些项目包括从简单的 meme 代币到复杂的 DeFi 协议，它们都有一个共同的因素——安全措施不足。在137个被攻破的项目中，近一半曾经过审计。

• 未经审计的项目：79（约 57.7%）
• 经过审计的项目：58（约 42.3%）

来源： rekt news

那么，如果近一半的被攻破协议仍然被黑客攻击，私有审计的目的是什么？当我们考虑到过去几年里损失金额的巨大增加和漏洞的规模时，其重要性变得显而易见。

来源： rekt news

总损失金额约为49.9亿美元，数据显示，正如预期的那样，未经审计的项目相比经过审计的项目损失的比例大幅显著。

• 经过审计的项目：占总损失金额的 26.1%，约13亿美元
• 未经审计的项目：占总损失金额的 73.9%，约36.9亿美元

必须认识到，审计员和其他人一样，也有可能出错，可能会忽视潜在的错误或漏洞。为确保全面的检查，我们认为涉及 多个审核者 以及多阶段审计是正确的做法。

现在，让我们深入研究另一面，探索竞争审计可以提供的有价值见解。

竞争审计：眼睛越多越好吗？

竞争审计的前提是越多的人审查智能合约，发现漏洞和缺陷的可能性就越高 视频 。很高的层次：在竞争审计中，几位审计员独立审核同一协议的代码库，然后对比笔记，从而允许更广泛的视角。

竞争审计采取不同的方法，在独立审计员之间进行协作与竞争的模型。它们平均提供更全面、严格的合同审查，因为它们同时开放代码给多个审计员。一个审计员发现其他人遗漏的问题并不少见，从而增强了审查过程的 robust 性。

然而，值得注意的是，尽管竞争审计的协作性质可能会导致更加多样化的审查，但它们也没有一组审计员提供的额外好处，帮助你的工程团队进行开发和缓解过程，在实施最佳实践的过程中进行教育和协助，让你的协议进入主网。

因此，选择竞争审计不仅应考虑经济因素，还有管理和战略开销。

漏洞赏金与竞争审计

在这方面，与竞争审计类似，漏洞赏金平台在确保智能合约安全方面发挥着独特的作用。

漏洞赏金平台通常在部署后使用，向能够发现并报告已部署代码中的漏洞的个人提供奖励。这种“按发现付费”模式鼓励在代码发放后继续审查代码。

竞争审计平台，另一方面，主要在部署前运作。它们动员社区的安全研究人员在部署前审核代码，发现并修复潜在的安全问题。这种主动的方法，采用固定费用审计，作为安全网，捕捉可能在传统审计流程中滑过的漏洞。

选择漏洞赏金平台和竞争审计平台主要取决于开发阶段：

• 部署前：竞争审计
• 部署后：漏洞赏金平台

竞争审计的定价和结果

Code4Arena 最近发布了 大约154场比赛的记录。这些信息提供了有关我们可以期待竞争审计的有趣见解。

首先，它回答了一个关键问题：经过竞争审计的协议会被黑客攻击吗？

答案是肯定的，但被攻击的次数远低于未经审计的协议——在竞争审计中，60.0% 的竞赛没有被攻破，而11.7%的竞赛被攻击，这再次表明了进行多个审计阶段的必要性，以尝试发现尽可能多的漏洞。

在 Code4rena 报告中的另外 27.7% 的竞赛属于“重复/其他”类别，表明重复记录或替代分类。不幸的是，C4 报告对此没有更多信息。

来源 code4rena

你可能想要回答的其他问题是：竞争审计的费用是多少？

简单来说：大多数竞赛的奖金池从 0 到 100,000 美元不等，然而也有一些竞赛的奖金池更高，接近于 800,000+ 美元。

通过分析这些数字，我们可以观察奖金池如何随时间变化，具体取决于竞赛的开始日期。这些信息可以提供奖金池的变化与趋势以及他们的平均奖励的宝贵见解。

来源 code4rena

这告诉我们一件事，竞赛的奖金池金额仅仅是参考，因为它们可能因项目复杂性而有很大差异。在 60,000 到 100,000 美元的平均奖金池中，一些协议甚至还举办奖金高达 15,000 美元的小型竞赛。

此外，当与可能存在的协议被攻破的潜在风险进行平衡时，高成本是对坩埚的有价值投资。

竞争审计的关键点：

• 财务考虑：竞争审计的费用在 60,000 至 100,000 美元之间，具体取决于项目复杂性。这包括平台费用。
• 全面分析：竞争审计涉及多个审计员进行深入调查，提升审计的质量。
• 发现不一致性：竞争环境有助于审计员识别被忽视的问题，从而加强审查过程。

结论

总之，我们希望这篇关于竞争审计与私有审计之间区别和优点的全面讲解为你提供了有价值的见解。正如我们所看到的，没有一种解决方案可以解决所有问题，在 Cyfrin，我们始终建议客户经历包含私有与竞争审计的多个审计轮次，以在工程支持、问责、彻底性与实现更高安全覆盖之间找到平衡。

通过深入了解这些不同类型的审计，我们的目标是赋予审计员和需要审计的个人做出与其独特目标和可用资源完美对齐的明智决策。有了这些知识，你可以自信地在审计领域中导航，并优化审计效果。

参考列表：

区块链审计公司（无日期） Alchemy.com： https://www.alchemy.com/best/blockchain-auditing-companies （访问时间：2023年10月29日）。

Jones, C.（无日期） Solana 和以太坊智能合约审计，Cointelegraph （访问时间：2023年10月29日）。Livestream, [ethcc] (2021)

Sebastian Banescu - 从300多次安全审计中学到的教训。Youtube （访问时间：2023年10月29日）。

[public] C4 漏洞数据（无日期） Google Docs （访问时间：2023年10月29日）。Reguerra, E.（2023）

Q3 2023 登顶最‘具破坏性’季度，损失达700M美元：报告，Cointelegraph：https://cointelegraph.com/news/700-m-loss-crypto-hacks-exploits-scams-q3-certik （访问时间：2023年10月29日）。Rekt - leaderboard（无日期）rekt：https://rekt.news/leaderboard/ （访问时间：2023年10月29日）。Xiao, R.（2023）

人群的智慧：社区驱动的安全——ray Xiao, Medium：https://learnblockchain.cn/article/13848 （访问时间：2023年10月29日）。

• 原文链接： cyfrin.io/blog/competiti...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～