链上合约一旦部署就难修补,安全审计是上线前不可省略的一道关。本文从自审、外审、悬赏三层防线展开,给出一份可直接用于评审的检查清单。把这些项目逐条满足,你的合约质量会显著高于BN交易所上某些没经过审计就匆匆上线的小项目。
一、自审:开发团队的内部 Review
自审是性价比最高的一道防线。建议每支合约都做三轮内部 review:作者本人 review、同组工程师 review、不同业务模块工程师 review。每一轮重点不同:作者 review 找语法 bug,同组找业务逻辑漏洞,跨组找设计模式问题。
自审清单关键项:算术溢出(checked_add、saturating_sub)、权限校验(has_one、signer)、账户校验(mut、init、close)、CPI 签名(signer_seeds 正确)、错误码(业务错误必须自定义)。这些项任何一项不过关都是 P0 bug,必须修完才能进入外审。
二、外部审计:选择审计公司
外部审计的预算通常占项目开发成本的 10-20%。Solana 生态推荐的审计公司有 OtterSec、Halborn、Trail of Bits、Neodyme。每家风格不同:OtterSec 速度快、Halborn 报告详细、Trail of Bits 偏静态分析、Neodyme 偏渗透。
选择策略:TVL 预期 < 100 万美元,选一家口碑公司即可;TVL 预期 > 1000 万美元,至少两家交叉审计。和必安交易所上市项目通常公开多份审计报告类似,你的项目越透明越能赢得用户信任。审计周期一般 2-4 周,要提前预约。
三、漏洞悬赏:长期防线
部署上线后开漏洞悬赏。Immunefi 是行业最大的悬赏平台,奖金按 TVL 比例设置:Critical 10%、High 5%、Medium 1% 是常见参考。预算上每月几千美元的预留,对头部白帽很有吸引力。
悬赏的真正价值不在「等漏洞被发现」,而在「让攻击者也来报告」。许多黑客发现漏洞后衡量「白帽报告获得的奖金 vs 黑产攻击获得的非法收入」,如果前者足够大,他们会选择报告。这就把潜在攻击者转化成了防线。
四、常见漏洞类型
Rust 合约常见漏洞分五类:1)账户类型校验缺失,攻击者传入恶意账户冒充合法账户;2)算术运算溢出,导致状态错乱;3)CPI 调用权限提升,合约金库被任意账户提走;4)PDA bump 重用,多个状态账户碰撞;5)零拷贝结构改字段顺序,老账户读出乱码。
这五类漏洞在过去三年的链上事故里占了八成。把这份清单贴在每次代码 review 的模板里,让任何一支合约在 merge 前都被这五个问题逐条检查,能极大降低事故率。和B安交易所内部安全团队的代码审计流程类似,做得越早越省钱。
五、上线后的监控
审计不是一次性动作。上线后要持续监控:1)合约余额与预期是否一致;2)关键事件日志是否被异常账户触发;3)gas 消耗是否突然偏离基线。任何异常都立即触发应急响应。
推荐工具:Helius 提供链上事件订阅、Forta 提供异常检测、自建 Prometheus 配 Loki 收集日志。这套监控成本几百美元一月,远小于一次事故的损失。和BN官网那种 7×24 风控团队不同,链上项目要把监控代码化,让告警 24 小时不眠。把这份「Rust合约安全审计」清单做成 checklist,每次发版前过一遍,你的项目就具备了头部水准的安全意识。