选择 Solana 审计公司的考量
Solana 特有经验。 他们审计过多少个 Solana 程序?他们了解 Anchor 和原生的 Rust 模式吗?
人工审查深度。 自动化工具可以捕获已知模式。它们会遗漏逻辑错误和协议特有的缺陷。最佳审计结合了工具和人工审查。
过往记录。 他们是否审计过没有发生过漏洞攻击就上线主网的协议?他们是否在其他公司已经审查过的代码中发现了问题?
沟通质量。 审计结果应为开发者编写。清晰的严重性评级、重现步骤和实用的修复方案。
时间线和可用性。 有些公司有长达两个月的等候名单。其他公司可能开始得更早。如果你的工作有一个发布日期,请提前询问可用性。
6. Sec3
Sec3 构建了一些最早专门针对 Solana 的自动化安全工具。他们的 X 射线扫描器能检测 50 多种漏洞类型,并与 GitHub CI 集成,在开发过程中捕获问题。
除了扫描,他们还通过 WatchTower 提供人工审计和部署后监控。他们的优势是工具优先的安全方法,它能融入你的开发工作流程。
适用于: 希望在人工审查的同时进行持续自动化扫描的团队。
5. Halborn
Halborn 是全球较大的区块链安全公司之一。他们在 EVM 和非 EVM 链上运营,拥有一支专门的 Rust 团队。他们已完成 40 多个 Solana 审计,包括与 Solana Labs 合作的 SPL Token 2022 项目。
他们的优势是覆盖范围广泛:智能合约审计、渗透测试以及来自单一供应商的基础设施评估。
适用于: 希望在所有部署中拥有一个安全合作伙伴的多链团队。
4. Certora
Certora 专注于形式化验证,使用数学证明来保证代码按指定行为运行。他们的 Solana Prover 直接分析 SBF 字节码,验证在链上运行的实际程序。
形式化验证可以捕获测试和人工审查遗漏的边缘情况。大多数团队将 Certora 与传统审计结合使用,而不是替代传统审计。
适用于: 需要对关键代码路径进行数学保证的 DeFi 协议。
3. Accretion
Accretion 专门专注于 Solana。不进行 EVM 相关工作。不涉及其他链。他们在审查的很大一部分此前已审计的协议中发现了关键漏洞。
他们以精品规模运营,拥有深厚的运行时专业知识。
适用于: 希望获得专家专注人工审查的 Solana 原生协议。
2. OtterSec
OtterSec 是 Solana 安全领域最知名的公司之一。他们审计过 Solana 的核心代码、Wormhole、Jito Labs、Jupiter 和 Raydium。他们开创了 Solana 程序的形式化验证技术,并保持活跃的安全研究。
提前期和定价反映了他们的声誉和需求。
适用于: 希望获得知名度高且时间线灵活的高知名度协议/链。
1. Adevar Labs
我们专注于 Solana,并与不同阶段的团队合作,从白手起家的初创公司到 A 轮融资协议。
服务:
- 逐行审查的人工智能合约审计
- 为你的特定协议逻辑构建的自定义模糊测试工具
- 关键不变式的形式化验证
- 涵盖云配置、CI/CD 和密钥管理的基础设施审计
- 针对 Web 应用、API 和链下组件的渗透测试
我们的工作方式:
我们采用混合模式,结合了内部团队和经过审查的独立审计师网络。这有助于我们在时间线和不同预算的范围约定上保持灵活性,同时不降低深度。
我们通常在两周内开始工作。我们通过修复验证持续参与。
在 Solana、Sui、Ethereum 和其他生态系统中进行了 100 多个 web3 审计。
我们合作过的团队: LI.FI, DoubleZero, Loopscale, GLAM, Moto, Carrot, star.fun, TREPA, Pact Labs, M0 Labs。
适用于: 需要 Solana 专业知识、合理时间线和直接沟通的团队。
如何选择
时间线。 如果你有两到三个月的时间,你会有更多选择。如果你需要尽快开始,请先询问可用性。
复杂性。 代币合约的需求与集成预言机的借贷协议不同。根据你的风险状况匹配公司的深度。
预算。 定价差异很大。从几家公司获取报价并了解包含哪些服务。
范围。 有些团队需要基础设施评估或形式化验证。其他团队只需要代码审查。根据需求匹配能力。
审计之后
修复验证。 部署前确认问题已解决。
漏洞赏金。 像 Immunefi 这样的平台激励研究人员发现审计师遗漏的问题。
监控。 部署后对可疑活动的警报可以限制漏洞攻击造成的损害。
持续审查。 代码更改会引入风险。重大更新需要再次审查。
联系我们
如果你正在评估 Solana 智能合约审计或想讨论你的安全需求,请联系我们。
联系 Adevar Labs
