ERC-7512标准:提升区块链行业安全性尝试

ERC-7512:提升区块链行业安全性尝试

审计报告的链上披露:有意义的尝试

引言

最近,一些安全专家联名推出了ERC-7512标准,旨在在链上环境下披露审计报告,并提供统一的接口供链上调用,从而提高区块链行业的整体安全性。对于这个标准的推出,需要如何解读呢?本文将会对这个问题进行一番深入挖掘,给出自己的见解。

作者Haotian指出,在他看来,安全行业缺少的并不是透明报告,而是规范的审计流程和业务权责共识。下面将从几个方面来分析这个问题。

缺乏参与安全公司的一致性

首先,我们可以发现只有少数一些安全公司参与了这个标准的推出,如OpenZeppelin和Safe等。然而,国内知名的安全公司SlowMist、BlockSec、Certik和PeckShield等并未表态。对此,一些安全大佬表示目前尚未形成统一共识来推进这个标准,需要进一步等待。

报告存储在链上的必要性

其次,这个标准要求将审计报告存储在链上,与目前存放在Github上相比,这样做的唯一好处可能就是提高防篡改的能力。然而,这一要求并不具备刚性需求。审计公司通常会根据合作法律合同的条款来提供报告,这并不容易受到恶意篡改,因此存储在链上并不是必要的。

标准的目的

接下来,我们来看一下这个标准的目的是什么。从我的理解来看,这个标准的目的是引导安全公司在链上输出统一格式和规范的审计报告内容。主要是为了便于后续的第三方公司进行插件解析等相关服务,提高审计报告的多场景曝光率。例如,开发一款插件,可以在Etherscan上自动解析出安全审计报告的内容,同样地,在Uniswap等交易前端也可以集成报告的可视化内容。然而,需要注意的是,审计报告通常是滞后的,当用户在使用产品时查看已经被解决的一些问题时,这种曝光就不太具有约束力了。此外,如果一个项目被发现存在很多问题,这也可能会影响用户的交互心理。

有意义的尝试

总体来说,这个标准是一个有意义的尝试。以此为出发点,我们可以逐步探索出一条安全审计曝光路径,包括审计报告、三方解析调用和插件前端曝光等。最好能够进一步发展出一套行之有效的“问责”体系。当参与的项目和安全公司越来越多,达到一定的普及程度之后,将有效改善当前审计行业存在的乱象。

审计报告的本质和意义

总之,安全审计服务是一个系统性的工程。第三方安全公司利用其专业度来帮助项目方在上线前排查问题,并解决运营过程中的紧急问题,同时辅以其他工具和服务,提升项目的安全性。然而,需要明确的是,这只是一种“外包”服务,而非终身全包的无忧保障。

不能单纯依赖安全审计来排查更多的安全隐患和风险,市场应该重视安全审计,但也不宜过度依赖它,尤其不能将审计当作背书的手段推向市场,否则就会彻底失去其意义。

结语

在解读ERC-7512标准的同时,我们需要重视其中存在的缺陷,并积极探索安全审计的完整路径,以进一步提高区块链行业的安全性。审计报告的链上披露只是整个过程中的一环,而安全审计的本质在于专业安全公司的帮助和合作,以及项目方自身的监管和风险控制。只有综合运用这些因素,才能够构建起一个更加安全可靠的区块链生态系统。