原文标题：《当我们看合约审计时，我们在看什么？丨目击》
撰文：Blocklike

随着「Swap 系」数量越来越多，DeFi 项目「暴雷」、「跑路」的事件也在增多。

面对社区对于 DeFi 项目风险的担忧，很多项目方都选择了进行合约审计，或是为了自证清白，或是为了取信于投资人，有时，DeFi 项目进行合约审计，也被当做是一种利好来进行解读。

这种方式似乎是有效的：在「寿司」Sushiswap 创始人被爆套现离场、项目控制权易主之后，一条关于「Sushiswap 项目智能合约审计工作进展顺利」的消息，让 Sushi 立刻展示出了小幅度涨幅，也让一部分投资者重获信心；在 JustSwap 连续三个项目均爆出漏洞、并被指项目方未做好详尽的测试和审计之后，Tron 官方挖矿项目 SUN 通过报告审计的消息，也让波场社区的热度再次增加。

同时，也有一些平台因为出现漏洞而在审计上备受质疑，上周，就有投资人对新兴的「Swap 系」平台 Moonswap 提出了关于「发现有预挖」、「合约没有时间锁」、「平台出现多个 Bug」等问题，并对其审计做出质疑，引发社区关注。

目前，MoonSwap 已于启动当天 18 点多已经加上了时间锁，慢雾安全团队发布了正式安全审计报告。

当在我们看审计报告的时候，我们在看什么？

作为 DeFi 参与者，合约审计能够真正给出哪些借鉴和参考？

在面对这些问题的同时，Blocklike 还发现，对于审计能够起到的作用，有人作出了这样的总结：「代码可以审计，人性无法审计。」

审计范围有限，合约风险暗藏

DeFi 热潮之下，很多投资人的现状可能正如 Primitive Ventures 创始合伙人 Dovey 所描述的那样：「千万别问我 xxx 能不能挖。现在一个人全职帮我看新地，一个人全职帮我看项目，还有两个 trader 全职做交易（各种，包括农产品打理），还有各种内应外援程序员帮我看合约安全，我就是个确认钱包多签的机器人，现代化农业哪里有那么简单。」

的确，合约安全是很多投资者都关心的话题。近期，为了给跟多投资者提示风险，社区就总结出了这样一份 DeFi 生态思维导图及风险点：

1. 合约风险，代码漏洞，未经审计，黑客攻击造成资产损失

2. 私钥风险，没有多签的 DeFi 合约意味着掌握合约私钥的可以随意更改合约或者跑路

3. 无常损失风险，例如流动性挖矿本身的无常损失，尤其是两种风险资产的流动性对收益高风险也高 (责任编辑：admin1)