Why Audits Aren’t Enough - Part 3: Mitigating Risk Beyond Audits

Web3 協議的安全防線長期被簡化成「做一次外部審計」，但這集播客正是要拆解這個迷思。主持人與來賓 Hani 和 Aneesh 從三個維度論述：為什麼主動安全是必要的、歷史上有哪些佐證、以及具體該怎麼做。

首先從現實數據說起。講者團隊在每一起 Web3 駭客事件後都會進行事後分析，持續用自家靜態分析工具驗證：這些被審計員遺漏的漏洞，本可在審計之前就被發現。這不是在指責審計員失職，而是在說明審計本質上受到人力、時間與理解深度的結構性限制。更關鍵的是，帶著大量未處理漏洞進入審計，審計員被迫花時間處理低難度問題，無暇深入挖掘高複雜度漏洞。結果是審計報告滿是問題，VC 拒絕接受，要求重做，最終團隊支付了兩次審計費用，卻只發布第二份——第一份等於白費。

Hani 從 Web2 的視角補充了制度面的洞察。Web2 的安全最佳實踐之所以廣泛執行，是因為有監管機構強制要求；Web3 目前完全缺乏這個外部壓力，責任因此落到 CEO 與董事會身上。他觀察到，安全記錄最優秀的合作團隊，無論是來自 Web2 背景還是受過 Web2 思維薰陶，都有一個共同特質：他們在部署前已經想清楚每一個環節——審計前的內部測試、審計本身、上線後的漏洞賞金計畫（Bug Bounty）、鏈上監控（On-chain Monitoring）。這套思維不是一個工具，而是一種文化，而且必須從第一天起就嵌入團隊敘事中。

Aneesh 則聚焦於具體工具。他提出四層防禦架構，按複雜度遞增排列：第一層是靜態分析，執行時間不到一秒，真陽性與假陽性易於判斷，沒有理由不用。第二層是單元測試，最低標準是 90% 分支覆蓋率，這不是說分支覆蓋率等於品質，而是說連這個基線都未達到，代表開發者根本沒有認真思考過測試。第三層是突變測試，做法是系統性地對每一行程式碼引入微小變異（例如移除存取控制修飾器、或將加法改成減法），再執行現有測試套件，若測試未能偵測到這個變異，就代表測試套件本身有盲區。這在銀行業與編譯器開發中是標準做法，Web3 應當跟進，建議覆蓋率達 90–95%。第四層是模糊測試，特別適用於涉及複雜代幣經濟的協議，能找出邊緣案例中的潛在漏洞。

這四層工具的整合方式同樣重要。開發者本地應有 CLI 或 IDE 擴充套件，在推送前即可快速執行；CI/CD pipeline 應設置硬性閘門，高嚴重性靜態分析問題必須逐一確認、分支覆蓋率與突變覆蓋率未達標則阻止合併。這樣的設計讓安全不再只是「審計前的準備工作」，而是每一次程式碼提交的日常一部分。