关于审计，certik，defi风险的一篇文章，不是直接的财富密码，但推荐阅读

大有大有什么都有，我是你们的好友，大有。

前排利益相关声明，没有拿certik一毛钱公关费用。＠吴说Real 吴说Real 如下图所示的那条微博里后半部份.有一个关于审计的常识性错误，我这里需要指出。

因为后续我社群的朋友看到这条消息后来问我一些关于CTK、关于审计的问题。这里索性一次性给大家做一个科普。

操碎了心，加密玩家真的太难了，可能大家平常读的书可能都不少，有文化。但其实接触行业的深度和离具体项目都太远了，在这一块易有盲区。

比如审计，你们又不做审计，哪里会有经验对一句话做判断呢？

正因为此 ，所以很容易一个头部KOL的一句话，盲目相信，然后社区传播。自己没办法做验证工作，只能相信权威。

“自动化审计”其实是不可能在现阶段被用作主要审计方式的。

平常我们说的审计，都是一张纸，检查代码，看出问题在哪指出，给一个审计报告，这些漫雾、创宇、链安、certik大家做的一件事。

Certik包括任何审计公司，在当前阶段是不可能依赖“自动化审计”去检查代码的，因为代码不是没有生命的东西，屏幕上的代码之外有计算、有前后逻辑，有产品方面的逻辑，有类似的DEFI项目之前有没有因为某个设计而被攻击的经历。这些是审计公司存在的意义。

这些是出审计报告的机构必须要采用有经验、懂项目和代码的工程师去人工去做的事，这本质上是个脑力＋体力的活，复杂度非常高。

Certik（CTK）已经我写过不少次这个项目，关注长文的朋友可能印象多点。能看到Certik被binance 早期投了，还有哪些投资者：高瓴、老虎环球、顺为、Coatue Administration、Coinbase Ventures。

资本为什么看好这个赛道的理由是很简单的，因为DEFI和去中心化DAPP的发展，审计赛道是个真的赚钱且产出现金流的赛道。每天有几百个项目（只要想做的稍微长期一点，哪怕是带燃烧模式的MEME token也要审计啊）需求摆在这。

赛道头部公司的核心资产有二 1 是口碑，是不是真的让用户相信 2 是审计实力，这主要靠审计公司的富有经验的聪明大脑们。

Certik的审计报告是由静态审计（人工看）和动态审计（模拟真实环境测试）完成的，这一块他们赚的是现金流收入。同时这个过程跟其他审计公司只从流程上看，是不可能有什么独特差别的，所谓“自动化审计”稍微懂一点的人就觉得很搞笑，说的不好听就是，算了，不得罪人。

有自动化审计，去审计windos代码，那不发财了。机器自动跑，怎么可能呢。

真的能和其他审计公司有不一样的地方，以及CTK的未来可能价值所在是：Certik还有个实时监控的业务叫Skynet，要额外付费购买的。这个是监控比如：预言机、币价异常涨跌啊、有没有设想范围内的智能合约被攻击的情况啊之类。

第二点，我想向大家普及的是一个我不说，基本不知道的潜规则。项目方不会主动说这个的。

审计的标准是非常弹性的，几家常见的都差不多。大家觉得是要求审计的快给审计公司的钱多，还是要求审计的慢给审计公司的钱多？

答案和大多数人想的相反，结果看上：他们审计的越快，收的钱越少。因为很多一波流的项目只想要一张审计报告，审计的价钱和评估工期相关。这时候一些土狗项目方提过去的是最少量的代码以及大量的Fork，可供审计的量少，工作量少耗时短，给的费用就少。他们只需要一张审计报告唬住人。有的项目方很缺德的，给审计公司的是一份简单代码，部署上去的又增加了新内容，而且后续的内容不继续审计，出问题引导社区或者媒体人甩锅审计公司。

但是对真实正经做项目的项目方来说，审计的花费不小的，特别是你希望审计公司好好审计，那工程量就大了，费用和周期会很长。

最后：O3事件我之前也没出来聊两句，这会热度下来点再聊吧。事后去因为某一事件简单得到结论性归纳，即为不负责任。

不是对其他任何人不负责任，是对自己。

比如完全将问题给多签、时间锁、审计。比如多签、时间锁好了，O3的代码是经过审计的，大玩家敢拿一亿美金进去，他能没背后的技术团队？为什么之前没看出来？缺乏经验？不是这样的。

DEFI的风险，文章里、微博里提过无数次，非常复杂。

DEFI项目被盗，只会是两个可能的原因之一。

1 安全方面，比如某个保管资产的私钥被盗

2 逻辑，黑客找到了逻辑层面对项目实施攻击的方式，包括不限于攻击相关的预言机、找能于这个项目有可组合性的其他项目（闪电贷也是在操纵价格或者一个区块时间内的token 数量，跟预言机攻击类似的）

这些都是逻辑层面，不是像你想的，在开始设计项目时100％能想到。再厉害的DEFI大神也不行，再厉害的审计机构也不行。

举一个例子，5月以来，BSC上几个项目被攻击的案例，斯巴达开了BSC上项目被黑客大额攻击的头，然后是Pancake BUNNY。

Bunny是怎么回事呢，这里简单讲，我不是搞技术的原理知道就行了。比如CAKE，是总量无限，随着每个区块产出cake的对吗。但它的过程不一定是产出了，然后在放到池子里。这种池子里的token产出是可以有几种技术上的方案的，先铸造还是LP或者奖励池提token时再铸造。

bunny是后一种。玩家质押币/LP到一个池子，然后你在前端上看的见币在增加，但这时候币是没产出来的，到提取这一步，才完成铸币工作。

Bunny的某个池子被黑客盯上了，BUNNY的铸造是根据计算对应池子LP价值和提取奖励者所拥有的LP占比来的。黑客通过闪电贷操纵这段讲的那两个因子，来完成几乎无成本的增发Bunny的操作。

这个步骤中对黑客最关键的，并不是所谓神乎其神的操作。核心是，找没找到BUNNY当时的逻辑问题。

更需要关注的是，DEFI的风险还不仅仅是说单个项目有没有逻辑问题，几个DEFI项目可以有可叠加、可组合的逻辑风险构成可能。也就是说单看一个项目的逻辑没问题，但DEFI有可组合性，不同项目一组合，问题就来了。

而O3则是上面说的另一种情况了-持有资产的地址里私钥信息的保管/有无泄漏情况。

很多加密玩家离项目太远，很多时候只能靠自己猜测，所以我平常聊一些东西，尽管不是直接的财富密码，多听一听。

我都替很多人难，我不是没耐心和乐于分享的心，大多数朋友只想我准确的给一个币名。讲了我觉得好且有必要的东西，一看不是币名，又不想听。