1.  獲得源代碼并搭建定制環(huán)境：

   • 這是審計流程的*步，確保審計團(tuán)隊能夠深入了解項(xiàng)目的代碼基礎(chǔ)。

2. 審查項(xiàng)目文件并進(jìn)行威脅模型分析：

   • 審查項(xiàng)目文件，包括文檔、設(shè)計圖等，以了解項(xiàng)目的整體架構(gòu)和設(shè)計思路。
   • 進(jìn)行威脅模型分析，識別項(xiàng)目的潛在漏洞和安全威脅，并制定相應(yīng)的安全檢查表。

3. 使用內(nèi)部工具和人工審計尋找安全漏洞和設(shè)計缺陷：

   • 利用內(nèi)部工具對代碼進(jìn)行靜態(tài)分析，識別不安全的代碼模式。
   • 進(jìn)行人工審計，包括微觀審計和宏觀審計，逐行檢查代碼，確保代碼的正確性和安全性。

4. 提交初審報告：

   • 匯總審計過程中發(fā)現(xiàn)的風(fēng)險及其修復(fù)建議，形成初審報告。

5. 出具終審報告：

   • 在初審報告的基礎(chǔ)上，詳細(xì)描述審計工作為項(xiàng)目帶來的幫助，并展示審計專家是如何協(xié)助項(xiàng)目規(guī)避關(guān)鍵漏洞的。

安全審計工具推薦

1. CertiK：

   • CertiK提供端到端的安全解決方案，支持多種主流編程語言，為區(qū)塊鏈平臺、數(shù)字資產(chǎn)交易平臺、智能合約等領(lǐng)域提供安全技術(shù)支持。
   • 其審計*整合了靜態(tài)分析、形式化驗(yàn)證和人工審計，確保項(xiàng)目代碼庫的安全。

2. Go+ Security、StaySafu、Token Sniffer：

   • 這些工具可用于檢測合約地址風(fēng)險，快速獲得簡易審計報告。
   • 在與dApp交互或在DEX上輸入地址購買長尾代幣時，可使用這些工具的掃描功能輸入要交互的智能合約地址，查看風(fēng)險檢測結(jié)果。

3. Scam Sniffer、Pocket Universe：

   • 這些是錢包防釣魚插件，下載安裝后，當(dāng)連接錢包發(fā)起交互時，安全插件會對交互邏輯進(jìn)行掃描，并彈窗告知安全掃描結(jié)果，提示風(fēng)險。

4. Forta：

   • Forta可用于監(jiān)控智能合約地址和錢包地址的狀態(tài)變化，并發(fā)送狀態(tài)至郵箱、Slack、Discord等通訊軟件。
   • 用戶可向Forta輸入想監(jiān)控的地址，并留下通知方式，以便獲得實(shí)時的鏈上動態(tài)。

5. Revoke、Approved.zone：

   • 這些工具可用于查看授權(quán)的NFT和Token，并可以取消授權(quán)。
   • 通過這些工具，用戶可以查看自己進(jìn)行了哪些授權(quán)，并可以取消不必要的授權(quán)，以降低資產(chǎn)被轉(zhuǎn)移的風(fēng)險。

6. Harpie：

   • Harpie是一款鏈上防火墻工具，可對資產(chǎn)的交易進(jìn)行限制。
   • 用戶可以提前設(shè)置受信任的*、應(yīng)用或朋友的地址，如果有資產(chǎn)被轉(zhuǎn)到受信任地址之外的地址，Harpie會在執(zhí)行過程中阻止交易。

7. MistTrack：

   • MistTrack可用于分析目標(biāo)錢包地址的關(guān)聯(lián)交易、資金流向等鏈上信息，綜合評估地址風(fēng)險。
   • 同時也能監(jiān)控某地址，獲得狀態(tài)變化推送。在發(fā)生財產(chǎn)損失后，可使用該工具對損失財產(chǎn)轉(zhuǎn)入地址進(jìn)行查看，分析被攻擊的方式。