AuditHub：Veridise 推出持續安全解決方案 Web3

在一年內發生價值 350 億美元的智能合約攻擊事件的時代——包括針對 已經接受審計 — Veridise 首席執行官 喬恩史蒂芬斯 走上舞台，傳達了一個簡單但緊迫的訊息： 僅靠審計是不夠的。

史蒂芬斯的主題演講， “AuditHub — 持續安全 Web3，“ 推出了一個新平台，defi了解區塊鏈團隊如何處理智慧合約和零知識安全——將曾經的一次性審計轉變為持續、自動化和自適應的過程。

問題：安全措施實施太晚

史蒂芬斯首先概述了一個常見的缺陷 Web3 項目正在建設中。

「安全通常被視為軟體生命週期的最後一步，」他說。 “團隊規劃、建置、測試，然後——在發布之前——才考慮安全問題。”

他解釋說，這種被動應對的做法會讓專案暴露在風險中。即使經過審計， 2024 年近三分之一的已利用合約受到審計，還有更多的人因“超出範圍”的代碼而遭受損失。

在一個案例中，一個被忽視的數學庫導致了價值223億美元的漏洞。 「這並不是說審計做得不好，」史蒂芬斯說。 “而是整個流程出了問題。我們總是在最後才考慮安全問題，但那時已經太晚了。”

問題延伸到 零知識項目，這對於隱私和可擴展性至關重要。 Veridise 的內部研究發現 55% 的 ZK 專案審計 至少有一個嚴重漏洞—— 是典型值的兩倍 DeFi 協議。

為什麼審計還不夠

史蒂芬斯坦誠地談到了當前解決方案的局限性。

“審計對於發現錯誤非常有用，但不能保證錯誤不存在。”

他解釋說，傳統審計成本高昂、頻率低，而且往往受範圍限制。同時，基於人工智慧的審計工具雖然價格實惠、速度快，但可靠性卻不足。 “人工智慧擅長發現常見模式，”他說道，“但它難以處理深層邏輯錯誤——這些錯誤實際上會導致災難性的故障。”

雖然靜態分析、模糊測試和形式驗證工具已經存在，但它們通常對開發人員來說比較難使用，需要專業知識。 「形式驗證的聲譽存在問題，」他指出。 “它被認為速度慢、複雜且難以理解。”

解決方案：持續安全

為了彌補這些差距，史蒂芬斯推出了 審計中心，Veridise 專為 Web3 項目。

他說：“我們的目標是讓高保證安全工具像 GitHub 整合一樣簡單、無縫。”

AuditHub 整合了多種 Veridise 工具（包括 Vanguard、OrCa 和 Picus），涵蓋智慧合約和零知識證明電路。該系統結合使用靜態分析、模糊測試和形式化驗證，在整個開發生命週期中提供持續的回饋。

該平台檢測 常見漏洞 例如可重入性或非確定性 ZK 電路（佔 2024 年大多數重大漏洞的發生率） 無需額外的開發人員投入。

除此之外，它還支援 自訂安全配置，允許開發人員根據其特定的業務邏輯自訂掃描。 「我們希望擺脫通用分析，讓團隊 defi「『安全』對他們的專案意味著什麼，」史蒂芬斯解釋道。

自動化與專家監督結合

AuditHub 的突出特點之一是 引導式問題分類 系統。它不會強迫開發人員篩選數百個誤報，而是從他們的回饋中學習——自動標記類似的非問題。

「安全是邊做邊學的，」Stephens 說。 “你只要告訴 AuditHub 為什麼某個問題不是 bug，它就不會再因為同樣的模式來煩你了。”

所有工具都在 統一框架，這意味著開發人員無需單獨配置每個組件。該平台還直接整合到 CI / CD管道，實現「部署時的安全性」。

「當你推送程式碼或發起拉取請求時，AuditHub 會自動執行掃描並傳回結果，」Stephens 說。 “這是一種主動安全措施，內建在你的工作流程中。”

速度和規模

AuditHub 的形式驗證引擎， 皮庫斯，已經展現出業界領先的性能。 Stephens分享道， 在八分鐘內驗證了 RISC Zero ZK 電路這項任務通常需要花費數小時甚至數天的時間。

「速度很重要，」他強調。 “如果安全措施的速度趕不上你的開發週期，它就不會被採用。”

透過使先進的驗證工具變得易於訪問和高效，Veridise 希望縮小快速開發和強大保護之間的差距——這種緊張關係一直困擾著 Web3 自成立以來。

新範式：從第一天起就確保安全

史蒂芬斯最後將安全重新定義為一個連續的循環，而不是最終的複選框。

「安全不應該是最後的一道大門——它應該從第一行代碼開始就成為始終如一的伴侶。”

借助 AuditHub，團隊現在可以將安全掃描整合到早期開發中，在問題加劇之前檢測到問題，並完全消除「超出範圍」的漏洞。

他說，結果就是， 安全與創新同步發展，不在它後面。

「審計永遠重要，」Stephens 說。 「但持續的保證——自動化、自適應和嵌入式——才是我們確保 Web3 規模化。 」