Smart Contract Audit: Framing a Comprehensive Audit — Forge College

本課程來自 Forge College 的《Foundry》系列，屬於 Capstone「綜合安全審查模組」的首講，主題是在實際動手審計合約之前，如何正確地「框架」整個審計流程。講者以建築物檢查作為比喻貫穿全課：你不會一進門就開始選燈泡，而是先看地基是否有裂縫、承重牆是否完好。智能合約審計的道理相同，若不先確認狀態存儲與升級機制，就直接深入某個 Gas 優化問題，很可能在最關鍵的風險上完全視而不見。

課程第一個核心概念是「心智模型」或稱架構檢查。講者強調，Web3 系統的「地基」就是狀態存儲與升級方式，「承重牆」就是存取控制與資金提領邏輯。以課程案例的 ERC-20 Proxy 合約為例，若整個升級控制權僅由單一帳戶持有，而無多簽或時間鎖保護，那麼一旦該私鑰洩漏，攻擊者便能直接替換 implementation 合約的所有邏輯，等同於整個協議歸零。這種架構風險必須在第一時間識別，而非等到逐行讀完程式碼後才回頭發現。

第二個核心是範圍界定與目標轉化。講者指出，審計師必須清楚知道「不審計什麼」——例如前端 UI、已有第三方審計的外部依賴——這些應直接排除，否則三週的時間可能全耗在無關緊要的地方。在確定範圍後，客戶給出的模糊期望（如「確保合約安全」）必須轉化為可二元測試的具體命題：例如「只有持有 MINTER_ROLE 的帳戶才能成功執行 mint()」，這樣才能設計出真正能驗證或推翻假設的測試案例。

最後，課程介紹六步工作流與審計計劃的組成。六步流程確保從目標設定到嚴重性分級，每一個環節都有明確產出，避免審計過程流於感覺驅動。Slither、Mythril 等自動化工具的輸出，在此框架下被定義為「熱點圖」——它們告訴你哪些區域值得深入人工審查，而非直接作為發現的依據。最終交付的審計計劃包含三層：給管理層看的執行摘要、給開發者看的技術發現含概念驗證（PoC），以及明確可執行的修復建議。講者強調，一份好的審計計劃其實就是審計報告的骨架，在動手之前就把報告的結構想清楚，才能在整個過程中保持專注與一致性。