获得源代码并搭建定制环境:
- 这是审计流程的*步,确保审计团队能够深入了解项目的代码基础。
审查项目文件并进行威胁模型分析:
- 审查项目文件,包括文档、设计图等,以了解项目的整体架构和设计思路。
- 进行威胁模型分析,识别项目的潜在漏洞和安全威胁,并制定相应的安全检查表。
使用内部工具和人工审计寻找安全漏洞和设计缺陷:
- 利用内部工具对代码进行静态分析,识别不安全的代码模式。
- 进行人工审计,包括微观审计和宏观审计,逐行检查代码,确保代码的正确性和安全性。
提交初审报告:
- 汇总审计过程中发现的风险及其修复建议,形成初审报告。
出具终审报告:
- 在初审报告的基础上,详细描述审计工作为项目带来的帮助,并展示审计专家是如何协助项目规避关键漏洞的。
安全审计工具推荐
CertiK:
- CertiK提供端到端的安全解决方案,支持多种主流编程语言,为区块链平台、数字资产交易平台、智能合约等领域提供安全技术支持。
- 其审计*整合了静态分析、形式化验证和人工审计,确保项目代码库的安全。
Go+ Security、StaySafu、Token Sniffer:
- 这些工具可用于检测合约地址风险,快速获得简易审计报告。
- 在与dApp交互或在DEX上输入地址购买长尾代币时,可使用这些工具的扫描功能输入要交互的智能合约地址,查看风险检测结果。
Scam Sniffer、Pocket Universe:
- 这些是钱包防钓鱼插件,下载安装后,当连接钱包发起交互时,安全插件会对交互逻辑进行扫描,并弹窗告知安全扫描结果,提示风险。
Forta:
- Forta可用于监控智能合约地址和钱包地址的状态变化,并发送状态至邮箱、Slack、Discord等通讯软件。
- 用户可向Forta输入想监控的地址,并留下通知方式,以便获得实时的链上动态。
Revoke、Approved.zone:
- 这些工具可用于查看授权的NFT和Token,并可以取消授权。
- 通过这些工具,用户可以查看自己进行了哪些授权,并可以取消不必要的授权,以降低资产被转移的风险。
Harpie:
- Harpie是一款链上防火墙工具,可对资产的交易进行限制。
- 用户可以提前设置受信任的*、应用或朋友的地址,如果有资产被转到受信任地址之外的地址,Harpie会在执行过程中阻止交易。
MistTrack:
- MistTrack可用于分析目标钱包地址的关联交易、资金流向等链上信息,综合评估地址风险。
- 同时也能监控某地址,获得状态变化推送。在发生财产损失后,可使用该工具对损失财产转入地址进行查看,分析被攻击的方式。