為什麼通過安全審計的項目還是會被攻擊？

年底安全事件一個個接踵而至，駭客估計是怕市場熊的沒錢了，以億為單位先把年終獎領了。有人要問了，Rabby、TempleDAO、Mango 這些被攻擊的項目，都是被安全審計過的，為何還被攻擊了？有人甚至藉此非議安全審計沒意義，作為多年區塊鏈安全行業的從業者，簡單說兩句：

1、各位看官得先調整預期，安全審計不可或缺，但審計完了也絕不可能一勞永逸。攻擊和防禦工事完全不是一個量級。我們看安全公司的 audit report 會發現，幾乎每一個項目都能找出 1 個嚴重漏洞，2-4 個高風險漏洞，還有若干中等以及低級別的漏洞。你能說，這些漏洞發現沒意義嗎？有，但更多是降低安全風險！

2、有人會在東窗事發後說，漏洞這麼簡單，為何沒被發現？這個問題很複雜，安全審計基於已有的工具，已有的經驗進行邏輯審查，掃除代碼缺陷，排查諸如溢出、重放、驗簽等常規漏洞。但 defi 等協議難的並非代碼，而是複雜的金融業務邏輯，比如流程管控，外部組合嵌套，市場操縱等，超出安全公司的業務範疇。

3、區塊鏈生態存在形形色色的組合，開源+非開源，已審計項目+非審計項目，鏈下 validator+鏈上執行等等，很多項目給安全公司的審計也都只是模塊化展開，比如審計開源的部分，那未開源的部分呢？因鏈下流程影響到鏈上執行呢，因市場交易深度問題導致市場被操縱呢？出了事，不可能全部讓安全公司背鍋。  

4、可怕的是很多項目方，找安全審計的目的並不純，只是希望拿到一份所謂的「安全背書」，抱有這樣的心態做項目，其在自身安全防備上的投入可想而知。出了問題又一副我找 xx 頭部安全公司審計過的無辜嘴臉，試問，項目本身在安全防禦+加固+應急響應上的投入有多少呢？我想這才是安全事件屢見不鮮的根本原因；  

5、其實，行業生態大的威脅並不全是駭客攻擊，更多是安全意識薄弱造成的「人禍」，比如某些項目一旦遭攻擊就會傳出 rug 消息，我們司空見慣的網路釣魚受詐騙等等，這些壓根就沒法統計，如果把人為 rug、網路釣魚、網路勒索、資金盤詐騙等等一系列安全損失都統計起來呢？其安全威脅絲毫也不遜色於駭客；  

6、在我看來，加密行業安全問題路漫漫其修遠兮，我們預期的生態是，項目自身安全防護+第三方安全審計預防協助+用戶人人皆有安全意識，行業從根本上變得更「安全」。但事實上，安全公司壓根不是 security 建設者身份，安全公司能作為修理工，橋塌修橋，路斷補路就不錯了。安全生態需要每一個參與者共同守護。  

原文連結