皆妙笔DM永恒协议这个项目,最近热度很高,底池规模快速达到了1500万油,项目方声称为进一步强化合约安全与生态信任,已于 2025 年 10 月 21 日正式完成 CertiK 国际安全审计(CK Audit),并以 零漏洞、零后门、零权限风险 的成绩顺利通过审计验证。很多群众不明真相,说CK审计的结果到底是什么意思,今天把它的审计报告翻出来,给大伙做个拆解。
CertiK审计报告中,重点就是提出来的9个风险点,我们挨个解读:
一、审计整体情况
CK审计针对OasisEX项目代码,共发现9个问题,无最高级“Critical(致命)”风险,但存在中心化、逻辑错误等需关注的风险项;部分问题已修复,多数处于“已确认未处理”状态。
二、各风险的具体解读
1. DMD-02:Centralization Related Risks(中心化相关风险)
类别:Centralization(中心化)
严重程度:Centralization(中心化类风险)
状态:Renounced(已放弃)
风险解读:项目初期存在“单一/少数主体控制关键权限”的设计(比如合约所有权、代币发行权等),属于中心化风险(区块链项目通常追求去中心化,此类设计会增加“权限滥用、项目方单方面操控”的可能)。
当前状态说明:项目方已主动放弃了相关中心化权限(比如放弃合约所有权),该风险已解除。
2. DMD-03:Initial Token Distribution(初始代币分配)
类别:Centralization(中心化)
严重程度:Major(重大)
状态:Acknowledged(已确认)
风险解读:代币的初始分配过度集中于少数地址/主体(比如项目方、早期投资方),可能引发后续风险:
少数持有者可通过大量抛售操纵市场价格;
项目控制权易被集中方主导,背离去中心化属性。
当前状态说明:项目方已知晓该问题,但暂未采取调整分配的措施。
3. DMD-04:Unrestricted LP-Reward Enrollment On Add-Liquidity(添加流动性时LP奖励注册无限制)
类别:Denial of Service(拒绝服务)
严重程度:Medium(中等)
状态:Acknowledged(已确认)
风险解读:在“用户添加流动性以获取LP奖励”的流程中,未设置注册限制(比如无次数、金额门槛)。恶意用户可通过提交大量小额、高频的流动性添加请求,占用系统资源,导致正常用户无法使用该功能(即“拒绝服务”)。
当前状态说明:项目方已确认问题,但未修复限制逻辑。
4. DMD-05:Stale AMM Reserves Used For amountOut / Profit-Tax After Internal Swap(内部兑换后,AMM储备数据过时并用于计算输出量/利润税)
类别:Logical Issue(逻辑问题)
严重程度:Medium(中等)
状态:Acknowledged(已确认)
风险解读:AMM(自动做市商)的“资金储备数据”未及时更新(处于“过时状态”),却被用于计算“用户兑换的代币数量(amountOut)”或“内部兑换后的利润税”。
直接影响:用户兑换得到的代币数量不准确(可能少得/多得),或平台税费计算错误,损害用户/项目方利益。
当前状态说明:项目方已确认逻辑错误,但未修正数据同步机制。
5. DMD-06:Missing Zero Address Validation(缺少零地址验证)
类别:Volatile Code(代码不稳定性)
严重程度:Minor(轻微)
状态:Resolved(已修复)
风险解读:区块链中“零地址”是无效地址(资产转入后会永久丢失),但代码中未对“转账、授权”等操作的接收地址做“是否为零地址”的验证。若出现误操作,会导致用户/项目资产永久损失。
当前状态说明:该问题已完成修复,添加了零地址验证逻辑。
6. DMD-07:Out-Of-Scope Dependency Usage(使用超出审计范围的依赖项)
类别:Design Issue(设计问题)
严重程度:Minor(轻微)
状态:Acknowledged(已确认)
风险解读:项目代码引用了“未纳入本次审计范围”的第三方依赖项。这些依赖项可能存在未被发现的漏洞,间接影响项目安全性(但因依赖项的功能影响范围较小,故划分为轻微风险)。
当前状态说明:项目方已知晓,但未对依赖项做补充审计或替换。
7. DMD-08:Redundant Code Components(冗余代码组件)
类别:Volatile Code(代码不稳定性)
严重程度:Informational(信息性)
状态:Acknowledged(已确认)
风险解读:代码中存在“无实际功能的冗余组件”,这类代码不会影响项目安全/功能,但会增加代码的复杂度、降低维护效率(属于“代码优化建议”)。
8. DMD-09:Missing Error Messages(缺少错误提示信息)
类别:Coding Style(代码风格)
严重程度:Informational(信息性)
状态:Acknowledged(已确认)
风险解读:代码在“执行失败、参数错误”等场景下,未设置对应的错误提示信息。这会增加开发人员调试问题、用户排查操作故障的难度(属于“代码规范建议”)。
9. DMD-10:Typo(拼写错误)
类别:Coding Style(代码风格)
严重程度:Informational(信息性)
状态:Acknowledged(已确认)
风险解读:代码中存在文字拼写错误,不影响功能运行和安全性,但会降低代码的可读性与专业度(属于“代码规范细节优化”)。
三、总结
咱们做投资,投任何一个项目,本质上都是风险和收益的权衡。如果风险都已经明晃晃摆在台面上了,你还非要往里冲,那是赌命。
总体来看,DM永恒协议有一些瑕疵,但是已经完成了去中心化,总体风险不大,我的风控时间,2025年3月。在这之前参与,问题不大。
四、最后
谈谈关于去中心化项目的一些思考:
1.是否真去中心化:可以通过“离开测试”来判断,即如果开发团队和服务器明天就消失,项目是否还能正常运行。例如比特币,中本聪消失后,其仍能依托去中心化网络和全球开发者继续发展,说明其去中心化程度较高。此外,还可以看项目的代码是否开源,是否有活跃的社区能在团队离开后接管项目,以及是否有去中心化的验证节点保护网络等。
2.是否存在老鼠仓:老鼠仓本质是利用内部信息提前下单获利。在去中心化项目中,可通过一些指标来监测,如提前成交比例ACP,若交易执行时间距离挂单发布的提前秒数过长,如超过0.8秒,就可能存在问题。挂单回撤率WR,如果大额挂单在5分钟内被撤回的频率超过70%,也需警惕。链上冲突指数CCI,同一块内多笔相同资产的买卖方向冲突程度过高,如超过0.6,可能存在异常。
3.智能合约的安全审计情况:是否经过CertiK等专业机构的形式化验证,漏洞赏金计划的设置情况等。
4.项目的经济模型:通证的分配是否合理,是否有可持续的流动性激励机制等,像Uniswap V3的集中流动性设计就是一种较为成功的模式。
5.最关键还是提升自己的认知:要避免陷入“技术至上”“去中心化是完全自治”“Token即一切”等思维陷阱,明白去中心化的核心是价值分配机制,遵循“技术够用即可,机制决定生死”的原则。关注行业动态和前沿技术,不断学习和积累经验,提升对去中心化项目的认知水平。
