DEXX被盜，certik的審計有沒有責任？外行如何查看審計報告？

➤首先來說，Certik多少是有些問題的。

https://skynet.certik.com/zh-CN/projects/dexx…

第一，打開項目頁，首先是評分！一個審計機構，你評分是什麼鬼？

我們看審計報告，需要知道的是風險有多大，而不是項目或代碼有多好！

第二，上來還有項目亮點。而且你看DEXX這亮點都是啥？推特關注者數量、社羣、還有市場穩定性。這和你審計業務有啥關係，就這能叫亮點？

第三，可是涉及到審計的關鍵問題時，點擊”查看漏洞信息“，然後接下來，不但沒有顯示漏洞信息，整個代碼審計這塊就沒了……不信的話大家可以自己去試一下，我也錄了個視頻。

第四，其實頁面上有pdf審計報告文件可以查看，但是位置不太明顯。另一方面，審計報告裏的風險事件情況不寫在頁面上，反而在頁面上寫一些與安全無關的亮點和評分……

➤其次，外行看審計報告，應該至少看一下風險摘要。

一般審計報告會把風險劃分爲致命的、主要的、中度、輕度、信息化幾個級別。

我們可以看一下每個級別有多少風險問題，有多少已經解決、有多少還沒有解決。

像DEXX這個審計報告上寫了，有1主要問題——中心化。

4箇中度問題——易受攻擊代碼。這個已經比較直白了。已解決2個，未解決2個。

4個輕度問題——設計問題，已解決1個，未解決3個。

已解決就是已經解決了問題，已知悉，就是沒解決的意思哈哈。

這麼說吧，審計報告沒問題，不一定真的沒問題。但審計風險摘要裏都有問題的，那確實是真的有問題的。

➤對比其他DEX的審計報告

❚ DYDX

既然說到DEX，我們可以看一下著名的DEX #dydx 的審計情況。

DYDX也沒有花錢請certik進行審計，而是由不同的代碼審計人員組成審計組進行非正式審計共6次。最近一次審計報告顯示：

https://github.com/dydxprotocol/v4-chain/blob/main/audits/Informal-Systems-Audit-Report-2024-Q2%2B.pdf…

共有：
中度風險1項，未解決。
低風險6項，2個已解決，4個暫未解決。
信息性風險7項目，7個暫未解決。

❚ DeGate

再來看一個基於以太坊二層的DEX #DeGate ，2023年8月上線至今天，一共由3家審計機構進行代碼，包括 @trailofbits 、@LeastAuthority 和 #Secbit 共進行5次代碼審計。

看一下最近一次的審計報告，審計機構是Secbit。審計報告的地址是
https://github.com/degatedev/protocols/blob/degate_mainnet/packages/loopring_v3/security_audit/DeGate_Report_EN-final20230912.pdf… 。

中度風險4個，全部已經解決。
低風險8個，其中5個已經解決，3個暫時未解決。
信息性風險4個，1個已解決，3個暫時未解決。
還有4個討論級別的風險，2個已解決，2個暫時未解決。這類風險應該是需要討論的，不確定是否存在問題。

沒有發現更高級別的風險了，剩下的最高風險是低風險。

DYDX 和 DeGate審計的共同點是：

第一，都沒有花錢給Certik去"鍍金"，而是由多個審計主體進行了多次審計，這樣可以相對更充分的發現代碼中的安全問題。

第二，審計報告發布在Github平臺，而不是審計機構或項目方的官網，這樣可以看見審計報告文件的提交修改刪除等行爲，更公開更透明。

第三，這兩個DEX的審計報告中都沒有未解決的中度風險。根據審計情況都把風險控制在低風險級別下。

DYDX V4和DeGate分別已經安全運行了14個月和16個月。

可見，無論是大型DEX還是中小型DEX，都可以對比出DEXX的不安全。

➤寫在最後

作爲代碼小白的我們，聽說項目方有代碼審計，我們要打開審計報告看了一下。而不是聽項目方說有多少個安全性通過。

以DEXX爲例，雖然Certik把它的代碼排名在10%以內，但是它的評分只有59.31分。這說明DEXX實際的安全性可能更差。只要我們打開這份審計報告，什麼也看不懂，起碼能看見59.31這個評分。再仔細往下看就會發現"易受攻擊代碼"的字樣。當時看過這兩個細節，估計我們也不會去使用這個DEXX了。

打開審計報告以後，即使英文不好，也可以查找Medium這個詞，找到風險事件摘要，看一下已發現的各級別的風險問題有多少個，多少已解決、多少未解決。


0:10雖然代碼審計安全的項目不一定安全，雖然我們可能看不懂具體的代碼風險，但是發現風險級別較高的因素尚未解決，很可能說明項目代碼可能處於比較潦草的階段，還有待的完善安全性，我們在使用時要慎之又慎。

而參與審計的主體多、審計次數多，項目的安全性可能會相對更好一些。當然，也僅僅是相對安全。畢竟很多風險事件不一定是代碼層面上的。

提升安全性，我們的資產可以分散存儲，大額長期投資使用冷錢包。在應用的用戶端，手機電腦的環境保持安全性也非常重要，參與交易和持幣的瀏覽器、設備等與日常使用等進行隔離。在操作資產時，包括交易、遊戲等等行爲，要慢，要慢，要慢，仔細覈對信息……歡迎補充