DeFi 安全事故又一起！Hegic 的争吵提醒对安全审计的误解有多深？

撰文：LeftOfCenter

来源：链闻

 

Lendf.me 黑客事件发生不到一周，本周末又来一起，这次中招的是链上期权协议同时也是风险对冲工具 Hegic。

4 月 25 日，链上期权协议 Hegic 发布推文称代码中出现错误（typo），无法为新创建期权合约解锁过期期权合约中的流动性，呼吁用户立即行使所有的活跃期权合约。

其中，有 152.2ETH （约合 28537 美元）被永久锁定在未行使的看跌 / 看涨期权的合约池中。19 份合约中，有 16 份是看跌期权（DAI 被锁定），3 份是看涨期权（ETH 被锁定）。Hegic 称将为所有相关用户办理 100% 的退款。

此次事故虽然没有引发重大的财产损失，但在加密货币圈内引发的波澜仍然不可小觑，毕竟盘子本来就不大的开放金融安全事故一桩接一桩，而且这个号称匿名项目的 Hegic 才刚刚宣称已经通过 Trail of Bits 安全审计，并且本身就是做的与风险对冲业务，而如今事实证明自己也并不安全。

 

TYPO 还是 BUG？

 

话虽如此，但 Hegic 宣称这并不是一起安全问题，而是由代码中一个函数命名错误导致的，原话是 typo。

此话一出，更是举界哗然。

以太坊基金会社群经理 Hudson Jameson 公然喊话 称，「我想大声说这不是 TYPO，而是 BUG。如果说是 TYPO，那就太低估它的严重性了。如果你的合同存在缺陷，会导致其他人无法访问自己的金钱，那绝对不仅仅是 TYPO。」

可是， V1 版本 Hegic 协议不是刚刚通过 Trail of Bits 的安全审计吗？它还例举了审核合约的具体细节，包括 HegicOptions、HegicCallOptions、HegicPutOptions、ETHPool 和 ERCPool。

这是不是说明安全审计并不靠谱？

 

Trail of Bits 进行的是代码评审，而非「审计」

 

Trail of Bits CEO Dan Guido 表示不背这个锅，他透露，Hegic 根本就没有通过 Trail of Bits 的代码审计，仅仅是进行了为期短短 3 天的代码评审（code review），在代码评审过程中发现了 HegicOptions 中至少存在 10 个可能会伤害用户的关键缺陷，Trail of Bits 向 Hegic 团队给出的建议是「推迟部署」。

然而，Hegic 团队接下来是怎么做的呢？

Hegic 团队修复了其中几个 bug，除此之外没有进行任何更改就进行了部署，而且还将 3 天的代码审查（code review）错误地表述为「审计」。

Dan Guido 表示，在对 Hegic 团队进行代码评审时发现其代码缺少文档、没有 README 文件，甚至没有进行单独的测试，此外 3 天的代码审查时间非常的仓促。因此，在报告结论中 Trail of Bits 特意提出了警告称，「该协议还存在更多的错误」。

 

改进建议

Trail of Bits 提醒 DeFi 用户，一定要注意安全。对此，他提出了以下几个建议：

1. 千万不要将 Trail of Bits 的背书作为 HegicOptions 永远不会被黑客入侵的证明，更慎重的举动是自己阅读报告或进行进一步调查。
2. 应该要确保 DeFi 项目所需的整体安全性，智能合约审计是并不是 DeFi 应用的灵丹妙药。此前，Dan Guido 曾经多次公开发表相关的 声明 和 客户指南 强调这一点。
3. 不要相信仅仅将代码审查作为安全证明的任何项目，不仅如此，3 天的代码审查是一个相当短的时间，应该避免将安全性的评论等同于为安全认证，这应该是区块链行业的共识。
4. 区块链行业的共识意味着，这不仅仅限于安全行业，对于普通用户，也要清楚的明白这一点，即审计不可能捕获所有可能的错误。

事已至此，Dan Guido 提出了 3 点改进建议：

1. Trail of Bits 将终止和 Hegic 团队的合作，认为 Hegic 团队的行为是极其不负责任的，不仅无视 Trail of Bits 给出的建议，而且将用户的资金置于风险之中，这伤害了整个 DeFi 社区。
2. Trail of Bits 将为那些财力有限的团队提供服务。安全援助对于较小的项目至关重要，Trail of Bits 将为那些较小规模的项目提供帮助。
3. Trail of Bits 未来将在摘要报告中添加结构，以帮助读者在保持客观的同时更好地评估项目的当前状态和成熟度。因为很少有人阅读报告之外的东西，因此，Trail of Bits 决定在代码中提供统计信息和代码信息。

这给整个 DeFi 行业敲响了警钟。

作为 Hegic 的竞争对手，另一家*去中心化金融风险管理平台 Opyn *马上发布推文表示将安全作为自己的首要任务。Opyn 称期权是复杂的工具，如果正确理解，可以作为强大的对冲工具，并提醒用户在对创新保持乐观的同时，应对资金投入保持谨慎。

Opyn 还表示会投入更多资源帮助用户了解自己对安全的看法，同时发布了自己的安全审计报告。

然而，Maker DAO 中国区负责人潘超则认为，链上保险是个死胡同。