文章作者：Meta Era 编辑部

牛市的大门正在开启，关于如何把握机会及如何鉴别项目的价值，大多数人分享的观点普遍都是教你如何通过机构的团队背景、项目的白皮书去甄别一个项目的好坏。

但实际上，庄家操盘、开牌、推牌和洗牌或许是决定无数韭菜们是一夜暴富或被收割的最主要因素，但这些时候往往我们都还有的选，我们可以选择入场与否，可以选择入场与退场的时机，期间我们往往都还能拥有一定程度上摆脱被割宿命的自主权。

2023 Web3 被盗资产已达数十亿美元，在跟随日渐狂热的市场一起 Fomo 之前，我们最需要考虑是一个致命且难以掌控的的问题——项目自身的安全性。因此，甄别项目是否安全应是重中之重。

诚然，Web3 的生态已经渐趋庞大而“成熟”（仅相较于十年前的野蛮生长来说），但我们每天都能看到不同项目随时都有可能出现的漏洞与各类攻击危机。这是再大的机构或再元老的项目都无法逃避的潜在风险 —— 

下一秒，它们随时可能会因为某一个潜在漏洞而被黑客侵袭导致瞬间瓦解。

随着 Web3 生态中越来越多安全审计机构的涌现，我们可以明显地看到，这样的潜在风险得到了一定程度上的遏制，但我们绝不应就此放松警惕。

「安全防卫」之于 Web3，正如「军队」之于国家。Web3 生态日趋成熟的一大标志就是这支「军队」的势力正在不断增强，这让整个生态面相较以前来说都变得更加稳定了。但这还远远不够，利益，尤其还是牛市下的利益当前，目前各个机构/项目的「军备」实力还不足以让潜伏在暗面的风险有所收敛。

支撑 Web3 蓬勃生长的底层逻辑正是区块链技术，而区块链技术的根本价值就在于去中心化信任。公链之所以拥有超万亿美金的估值并受到万众瞩目，就在于它提供了具有去中心化信任的智能合约服务。而交互期间所损耗的 gas fee，正是我们在为这份「去中心化信任」买单。

如何在实现稳定交易收入增长的同时，不断达成应用的创新，这是整个 Web3 生态都在追寻的「共赢」之道。不过，并非是拥有了精卫填海般的毅力就能靠一己之力摸索到这样的「道」，这是属于整个行业的发展命题，需要所有布局其中的机构们与其随行者在不断试错与迭代中前行探寻。

那么在达成这样的大道之前，作为有韭菜自觉性的我们需要知道什么呢？普通人又该去做什么准备呢？

如何甄别漏洞？以 Cosmos 为例

如果说意识到「安全」的重要性是第一步，那甄别是否「安全」以及如何甄别就是我们要爬上的下一层台阶。

Cosmos：行业孤岛破局者中的潜在危机

以 Cosmos 这一条公链为例，Cosmos 的目标是解决现有的区块链之间的孤岛问题，使它们能够相互通信和交换价值。在目前多链时代，跨链成为区块链行业的刚性需求。Cosmos 通过其核心技术—— CometBFT 共识算法，Cosmos SDK 以及一个名为 Inter-Blockchain Communication（IBC）的协议，提供了一个跨链解决方案。

Cosmos 的生态系统中涌现了大量项目。迄今为止，已经托管了超过 46 个网络，其中许多被认为是值得关注的（如 Osmosis、KUJI、Cronos、ThorChain、Injective、Secret、KAVA、Akash 等），并且有一系列新的领先项目，如 Celestia 和 dYdX。目前，Cosmos 生态开发者最常用的基础组件是 Cosmos SDK 和 IBC 协议（The Inter-Blockchain Communication protocol），这两者也是开发者最常使用的扩展和添加链自身逻辑的组件。包括广受用户关注的 dYdX V4 在内的诸多应用均据此进行搭建。

其中，曾给整个圈子都带来至暗时刻的 Terra 亦是使用 Cosmos SDK 构建起一个与 IBC 兼容的网络，并处理过数十亿美元的 UST 交易。然而，Terra 的爆炸性增长仅仅只持续了短短几天，就开始断崖式下跌，其生态内的数百亿市值在数日内蒸发殆尽，也有相当一部分投资机构损失惨重，如 Jump Crypto 因本次 UST 脱锚事件损失数亿美元，Hashed 或损失逾 50 亿美元，Avalanche 损失约 6000 万美元，Delphi 相关投资已「完全亏损」。

事发当时，整个行业都因此受到了严重的冲击，Cosmos 的损失在事后两个月内超过 75%。基于它们使用 SDK 的事实，也曾一度给 Cosmos 蒙上了可能是有史以来加密协议中最失败案例之一的灰色面纱。

何谓漏洞？

谁都不想步 Terra 的后尘，也不想成为 Terra 雪崩之下的受害者。作为普通人，能让我们避开这一风险的最有效举措就是提高个人认知。有了一定的鉴别能力，知道了它会有潜在的风险，才能让我们在牛市中做出更明智的判断。

参考了行业领先的 Web3 安全机构 CertiK 最新发布的相关研报《Cosmos 生态安全指南》，在了解安全漏洞分类之前，我们需要对漏洞危险程度有一个基本划分，这样有助于更好地识别出危险性大的安全漏洞，尽可能规避潜在的安全风险。

漏洞具体怎么做分类，又如何鉴别？不同的组件往往因其的特性而有不同的分类标准和鉴别维度，以 Cosmos SDK 为例，从危险程度和影响范围考虑，我们主要关注 Critical 和 Major 的安全漏洞，他们通常可以造成以下风险：

1. 链停止运行

2. 资金损失

3. 影响系统状态或正常运行

除此之外，在 Meta Era 上周发布的《CertiK 独家：迅速掌握 Cosmos 生态安全现状》文章中，除了罗列不同漏洞的风险之外，还提了不同漏洞的成因。

由于 Cosmos 生态模块化的特殊性，各类链条实现上存在大量模块间相互使用，模块内相互调用的案例，因此存在漏洞触发路径与漏洞触发位置变量的可控路径不一致的情况，我们在分析漏洞具体触发原因时不应只关注触发路径，还应该关注漏洞关键变量的可控路径，这样才能帮我们更好地划分定义漏洞模型。

以下是上述所提到的漏洞类型的部分参考案例：

案例1：SuperNova 项目漏洞位置

案例2：Cosmos Interchain Security 项目漏洞位置

不仅于此，CertiK 还在《Cosmos 生态安全指南》这篇研报中为我们提供了更多维且详细的关于不同安全漏洞的解读。

由 CertiK 研究团队发布的《Cosmos 生态安全指南》全面剖析了 Cosmos 生态中关键组件的安全状况，针对以往发现的安全漏洞进行归纳分类，为 Cosmos 生态开发者和用户总结出通用的漏洞模型，审计思路和需要重点关注的安全问题。

尾声

诚然，Web3 庞大而复杂的安全问题并非一朝一夕即可彻底根除，但一叶落而知天下秋，透过 CertiK 这篇研报，我们能够见微知着地了解到整个 Web3 生态中的安全隐患。有了这些层面的信息积累，在下一次遇到想要立刻入场但实际上危机潜伏、bug 四溢的项目时，或许能在关键时刻让你悬崖勒马，免受侵袭。

业内一直存在着一定的误解 —— 对于小韭菜来说，这些信息在整个市场的 Fomo 前无济于事。但我们需要知道，利益诱人，布局者与黑客们往往正是利用这些信息差在市场的春天进行收割。明者防祸于未萌，智者图患于将来，投机者迟早会被市场过滤，而  Web3 也不会一直是野蛮而漫无边界的蓝海。

文章参考

[1] https://indd.adobe.com/view/91035407-4f21-4383-9485-a56394d9f95f

[2] https://metaera.com.hk/gw_detail?id=166677

[3] https://www.techflowpost.com/article/detail_14981.html

[4] https://foresightnews.pro/timeline/detail/11