Arch Day 173
Arch Day 173: 安全审计与工具 — 审计流程、竞赛平台与PM检查清单
PM不需要会写Solidity,但必须能读懂审计报告、评估审计方案、设计安全运营流程。2026年中等复杂度DeFi审计费用$60K-$120K。
2026-09-19
第七阶段 - Web3专题深度审计Code4renaSherlockImmunefiSlitherForta安全工具
日期: 2026-09-19 (Day 173) 阶段: 第七阶段 - Web3专题深度 标签: #审计 #Code4rena #Sherlock #Immunefi #Slither #Forta #安全工具
核心概念
一句话定义
PM不需要会写Solidity,但必须能读懂审计报告、评估审计方案、设计安全运营流程。2026年中等复杂度DeFi审计费用$60K-$120K。
知识点详解
1. 审计生态
| 类型 | 代表 | 模式 | 成本 |
|---|---|---|---|
| 传统审计 | Trail of Bits, OpenZeppelin, Spearbit | 固定团队+固定周期 | $60-120K |
| 竞赛审计 | Code4rena, Sherlock | 众包+奖金池 | $50K-$2M |
| Bug Bounty | Immunefi, Hats Finance | 持续悬赏 | 按发现付费 |
Ethereum Foundation为Fusaka升级跑了$2M Sherlock竞赛,510+研究者参与。
2. 安全工具栈
| 工具 | 类型 | 用途 | PM关注 |
|---|---|---|---|
| Slither | 静态分析 | CI/CD集成,自动扫描 | 集成到部署流程 |
| Mythril | 符号执行 | 预审计深度检测 | 审计前自查 |
| Tenderly | 交易模拟 | 部署前模拟 | 功能测试 |
| Forta | 实时监控 | 运行时威胁检测 | **关键!**7月114M笔交易 |
| GoPlus | 安全API | Token/地址风险评分 | 717M月调用量 |
| Certora | 形式化验证 | 数学证明合约正确性 | 高价值合约 |
推荐组合: Slither(CI/CD) + Mythril(预审计) + Tenderly(模拟) + Forta(运行时)
3. 事件响应框架
检测(Forta/监控告警)
↓
评估(严重性判断: P0/P1/P2)
↓
P0 → 暂停合约(Pausable)
↓
War Room(技术+安全+法律+PR)
↓
修复/缓解
↓
Post-mortem(公开透明)
↓
改进(更新安全策略)
SEAL 911在2025年处理了1,800+工单,追回$50M+。
4. PM安全检查清单
上线前:
- ≥2家审计完成
- 多签+Timelock部署
- 暂停机制(Pausable)
- Bug Bounty启动(Immunefi)
- 事件响应预案+沟通模板
持续运营:
- Forta实时监控
- 季度安全review
- CI/CD集成Slither
- 人员安全(防朝鲜渗透)
面试题
问题:如何读懂一份审计报告?
回答:关注四个部分——1) Executive Summary: 整体安全评级和关键发现数量;2) Critical/High Findings: 每个必须理解影响范围和修复状态;3) Remediation Status: "Fixed"/"Acknowledged"/"Won't Fix"——"Won't Fix"需要理解为什么;4) Scope: 审计覆盖了哪些合约和功能——未审计的部分才是最大风险。