本文讨论了Zellic收购Code4rena的影响,强调这一举措将改善客户的安全审计体验。文章介绍了两种审计方法—咨询审计和竞争审计,强调结合这两种方法能为客户提供更全面、更有效的安全保障。
很多创业新闻往往关注公司或创始人,而非产品或客户。例如:“公司[ABC]正在颠覆你[XYZ]的方式”;“这些辍学生想要[…]”;等等。我觉得这很奇怪。作为一个阅读新闻的人,为什么我应该关心某个随机的公司?那个标题与我似乎没有什么关系。一个更有用的标题可能是:“明年你将用XYZ而不是ABC”,这告诉我新闻如何实际影响我的生活。
这有几个原因。首先,标题中的名称对公司的品牌是有益的。这让领导层在股东面前看起来不错。而有时,创始人只是想感到特别。因此,像这样的博客文章通常会描述两家公司以及其战略相关性、创造利益相关者的协同作用等废话。或者关于公司理念、他们的旅程、他们的文化等一些复杂的故事。
但我不打算写这些。因为你不关心。你想知道这如何影响你。所以这就是我将要告诉你的。关键点是:这项收购与Zellic或Code4rena或他们的任何创始人无关。它是关于你,关于我们的客户和Wardens。
致我们尊敬的客户:首先,感谢你选择Zellic和Code4rena。我们希望我们是做这项工作的最好团队,我们很高兴你与我们同行。我们也相信我们可以做得更好。原因在于我们各自审计的基本性质,我会在稍后描述。
但首先,要对Code4rena的Wardens说几句话。
致我们可信赖的Wardens:感谢你们。Code4rena的存在完全依赖于你们的努力和勇气。我知道独立寻找漏洞是多么困难。我自己也是一个安全研究员。我曾受到自我怀疑的煎熬,这种感觉让人绝望。从16岁到21岁,我觉得很糟糕,因为我觉得我没有发现我朋友和Twitter上人们发现的酷漏洞。当我找到一些东西时,我会感到不可触及和神一般的存在;而当我没有找到时,我会感到毫无价值。作为一名独立研究员,情感上的过山车经历是十分艰难的。所以感谢你们帮助我们让Web3更安全,感谢你们所有辛勤的工作。我们希望你们继续与我们一起做出伟大的工作。
Code4rena不会有任何重大变化,按照你们现在的了解,大部分事情将保持不变。Code4rena将继续独立运作,现有的管理团队和你们信任的团队将不变。我们将继续对平台进行投资,正如我们一直以来所做的那样,并将在未来几个月推出一些收购前已计划的重要改进。
现在,我将讨论将Zellic和Code4rena结合如何使我们提供比其他审计更好的安全性。
首先,让我们谈谈代码的一般情况。对于任何软件,有几个关键的安全属性绝对必须保持。对于桥梁或DeFi应用,这意味着资金不能被盗或者资金无法“砖化”。对于一条Cosmos链,这意味着链不会停止。对于一个永续DEX,这意味着用户不能获得无限的杠杆或故意制造不良债务。对于一个钱包,这意味着我们不会将用户的种子短语记录到磁盘或云中。这里有一个视觉辅助工具:
现在,Zellic的审计是咨询性的和时间有限的。我们试图以灾难性的方式破解你的代码。我们在思考:我怎么能窃取所有资金?你的机制真的有效吗?关于这个或那个漏洞呢?我们专注于这些事情,因为我们的首要任务是确保你不被黑客攻击。但由于我们的审计是时间限制的,我们自然没有时间列举每一个可能的途径。我们必须明智地分配时间,认真覆盖一些基本的、关键组成部分和攻击面。但不幸的是,这也意味着我们有时不得不将低优先级和信息性质的发现置于非关键代码的次要地位。
虽然我们为审计配备了世界知名的研究人员和CTF获胜者,但这种权衡一直是我们的一大痛点。我们不希望在关注关键问题或捕捉每一个问题之间做选择。为什么不能两者兼得?毕竟,我们的客户值得这样。每当我们错过任何内容时——即使是轻微的发现——我们也和你一样感到不好。
这就是Code4rena的用武之地。与咨询性审计不同,竞争性审计受奖金池规模的约束。你不再只获得少数几个超强的审计员,而是获得一个完整的Wardens(独立审计员)社区,他们会在你的代码里逐字逐句地进行全面审查。无论问题的性质如何,他们都会寻找并报告。而这并不是说Code4rena的比赛不会抓住深层漏洞。它们会,而且“黑马”——例如展示出极大深度和全面性的未知审计员——定期在比赛中出现,甚至胜过一些成熟的审计员。
最后,通过将Zellic审计与Code4rena竞赛相结合,你将获得一种新的混合参与模式,这超越了任何单独的审计。首先,Zellic会确保优先事项得到处理。然后,Code4rena的竞争带来了对于各种潜在问题的广泛覆盖,包括不仅限于关键组成部分,还有集成和辅助合约。没有更多的权衡:客户获得了Zellic审计的集中保证,并结合了竞争性审计的“尽可能多的人关注代码”的好处。
咨询性审计和竞争性审计是互补的。它们不是替代品或替换品。最佳的安全性来自于同时获得这两者。
还有另一种看法。以下是大多数软件开发的样子,以及在每个开发阶段捕捉漏洞的成本。
当你从更早的开发阶段进入后期阶段时,代码接受审查的人数越来越多。从最初的单一代码所有者,即最初编写代码的人,到达每个世界潜在对手。当然,越早发现漏洞,成本就越低。之前,Zellic恰好位于中间位置:
对于以安全为中心的项目来说,我们之后的最自然的一步就是进行一个竞争性审计。事实上,我们已经在积极建议我们的客户执行这一点:
但如果你考虑一下,这里有很多低效率。管理一个竞争性审计需要很多工作。你必须决定希望审查的范围;然后你需要向Wardens提供关于要查看什么攻击面指导;最后,你必须帮助评估所有发现的判断,这极其繁琐。这些还是在日常的后勤工作之上,包括销售电话、供应商选择、法律文件的修订和签署、发票和收账、KYB,等等……而且你还得为咨询性审计和竞争性审计分别做这些。
所以显而易见的解决方案就是将这两个步骤结合成一个单一的、一体化的服务,即我们所称的Audits+:
而且,这不仅效率更高,还能让客户以更少的麻烦获得更好的安全性。这是因为我们的审计员——他们已经花了几天或几周的时间来审核该项目——知道在哪里是最重要的范围以及需要注意哪些攻击面。他们可以指导Wardens,回答问题,并帮助审查发现,客户的参与程度最小(当然客户会在整个过程中保持充分信息透明)。
在Zellic的审计中,我们始终包括详细的威胁模型练习,并在审计报告中记录结果。这些威胁模型极其全面,准确概述了协议的工作方式和可能出错的地方。能够完成一次咨询性审计,把这些准备工作交给一百个审计员是非常了不起的。当你开始一个时间限制的审计时,你根本不知道你将面临什么,特别是在你希望拥有更多时间的地方。在这种结合中,而不是让咨询性审计受到限制,战略性交接把审计员的工作提升为竞争审计的倍增器。
简言之:Zellic审计与Code4rena竞赛结合在一起是一个绝佳组合,让我们的客户获得更好的安全性,更快且更具成本效益。
Zellic收购Code4rena的原因很简单:因为这将使我们能够为客户提供更好的审计。我们不会搞砸这个平台,也不会突然改变事情。我们只想在世界上做最好的审计,并公平对待我们的审计员,这一直是我们从一开始的目标。非常感谢大家。
- 原文链接: zellic.io/blog/why-code4...
- 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!