協議審計＝安全無虞？統整加密審計機構出包機率

L2 解決方案 zkSync era 生態中的去中心化交易所 MERLIN 日前遭駭 180 萬美元，從最初的審計完善、募資完即遇駭，審計機構 Certik 也從「堅稱沒漏洞」到承認 MERLIN 開發者 Rug pull。用戶該如何評比審計機構？社群統計了過往審計機構的出包比例。

以下內容編譯自 Stacy Muur 推特，詳細內容與討論請見原文連結。

CertiK佔加密審計七成

REKT 統計了自 2011 年以來超過 3,000 筆的 Rug pull 及漏洞利用相關數據，CertiK 在加密領域審計了超過 70% 的專案，加上 4 月 26 日遭駭的 MERLIN，CertiK 總計審計的專案有 34 個被駭。

派盾18項加密審計曾被駭

知名安全審計機構派盾 (PeckShield) 有 18 項審計專案被駭或 Rug pull。

DeFi Safety 12 項加密審計曾被駭

不過 Stacy Muur 也提到正面的數據，自 2021 年以來，從未有經 DeFi Safety 審計的專案遭駭。

加密審計統整：漫霧出包率最低

Stacy Muur 依照 REKT 的被駭數據、CoinGecko 的安全機構評級製作以下列表 (審計機構名稱、審計專案數、被駭數、被駭百分比)。

能發現 Quantstamp 的出包比例最高，最低的是漫霧 (SlowMist)。

不過 Stacy Muur 也強調，圖中的數據仍過於籠統，不應被解讀為審計機構的出包機率。

加密審計無法保證 100% 安全

Stacy Muur 統計完數據的心得是：

審計並不能保證一定安全。

他指出自己過去曾在十幾個有接受資安審計的公司上班，多數情況都是自家開發者發現了關鍵漏洞，而非審計機構。

通常，審計機構會以「通用腳本」來檢測潛在漏洞，但是，每個專案都擁有獨特代碼、架構，因此需要量身定做進行審核，

此外，他也非常懷疑專案每月皆執行一次深度審計的可行性，即便某些專案可以做到，Stacy Muur 仍強調：

請記住，所有人皆無法保證 100% 安全，僅投資你所能承受虧損的錢。

漫霧創辦人：審計方不應逃避責任

慢霧創辦人 Cos (余弦) 轉推 Stacy Muur 的統計文章，並指出：

1. 已審計專案絕對不代表 100% 安全

2. 需警惕宣稱已審計、100% 安全的專案

3. 即便出現低級失誤，審計方也不應逃避責任