Solidity 安全审计实务

很多团队把审计当成「上线前敷衍一下」的环节，结果钱花了，事故照样发生。真正的审计是一场认真的合作，需要双方都投入大量时间。本文按时间顺序拆解审计四个阶段：准备、配合、报告解读、修复复审，让你把每一分预算花到刀刃上。无论你计划上 Binance 还是更小的去中心化交易所，这套流程同样适用。

一、准备阶段：把代码冻结到一个清晰版本

审计开始前两周，先把代码冻结到一个 tag，给审计师明确的 commit hash。所有公开依赖列出版本号，私有依赖给完整源码。如果代码尚在迭代，审计师只会针对你提供的版本提出意见，后续改动可能引入新风险。

准备一份「合约地图」：包括架构图、关键不变量、用户流、外部依赖、特权角色。把你已知的风险点先告诉审计师，节省他们的时间。还要附上完整测试套件——覆盖率高的代码能让审计师更有信心专注核心逻辑。这种透明度也是 币安 等平台尽调时看重的素质。

二、配合阶段：保持每日同步

审计期间，团队最好设一个 24 小时响应的 Slack 频道或 Telegram 群。审计师提问通常很具体：某个函数在什么场景下被调用、某个常量为何选这个数。如果回复慢，审计会陷入猜测，质量必然下降。