2023年某DeFi项目因未检查预言机喂价延迟参数，上线3小时被闪电贷抽干1200万美元——事后复盘发现，团队甚至没把“数据源更新频率”写进预发布清单。

检查一：智能合约的“非预期路径”触发了吗？

多数团队只测试了标准交易流程，比如转账、质押、提取。但攻击往往发生在“边界状态”：当用户同时调用了两个互斥函数，或在交易回滚后余额出现临时差值。以一个NFT借贷协议为例，开发者默认用户还款后会正常释放抵押品，但未测试“还款交易在链上确认前再次发起借款”的场景，结果被机器人在同一个区块内利用时间差重复抵押。具体做法：用Truffle或Hardhat写一个模糊测试脚本，随机组合10个函数调用，至少运行5000次，并记录所有异常回滚点。

检查二：链下依赖是否写成了“隐形单点”？

许多应用号称去中心化，但关键操作却绑定在某个特定节点或数据库上。比如一个跨链桥项目，其“交易确认”环节依赖一个私有RPC节点，当该节点在半夜宕机，桥接延迟从2分钟暴增到6小时，用户资金被困。更隐蔽的例子：某些DApp的“价格计算”调用了中心化API，但代码注释里没标注，导致审计人员误以为全部链上计算。建议在清单中单独列一行：“列出所有外部API、节点、数据库，并标注如果该服务不可用，核心功能能否降级运行。”

检查三：权限管理的“最坏情况”推演过吗？

项目方常犯的错误是给管理员账户设置超级权限，却只测试了正常操作。比如一个DAO治理合约，团队预设“只有多签钱包才能升级合约”，但没测试“当多签钱包密钥丢失后，是否有紧急冻结机制”。更常见的是：管理员能直接提取用户质押的代币，虽然代码注释写了“仅用于合约迁移”，但实际审计报告显示，该函数没有任何用户确认步骤。正确的做法是：画一张“权限-操作”矩阵图，标注每种权限在三种场景下的行为——正常、撤销、被滥用，并确保每个高权限操作至少需要2个独立签名或延时锁。

三个最常见误区：

• 误区一：用“测试网跑通”替代“主网条件模拟”——测试网gas费低、节点响应快，但主网可能因拥堵导致交易排序变化，从而触发重入攻击。建议在Goerli测试时手动拉高gas price至主网峰值。
• 误区二：只检查智能合约，忽略前端交互逻辑——黑客可以篡改DApp前端代码，让用户误以为在授权“转账”，实际授权了“完全控制”。上线前必须用脚本自动对比前端调用的合约地址与官方部署地址是否一致。
• 误区三：认为“开源审计过”就等于安全——审计报告通常只覆盖静态代码，不测试实际部署后的链上状态变化。2024年某知名项目审计通过后，因管理员未撤销测试用的提款权限，导致正式环境资金被转出。建议在清单末尾添加“上线后72小时监控日志”，重点检查权限调用事件。