为了更安全，我仍然更喜欢不仅使用工具，还喜欢接受第三方的审计.

无论您是在Sui上开发DeFi应用程序、区块链游戏还是任何链上项目，许多审计公司都已经在积极支持该生态系统，在不同的开发阶段提供安全服务： -Asympotic— 构建了 Sui Prover，这是一款专为 Sui 智能合约验证而设计的正式验证工具. -Blaize.Security— 提供以 SUI 为中心的全面安全服务，包括人工审计、CI/CD 管道保护、实时监控和事件分析. -Certora— 将传统的手动审计与形式验证相结合，生成严格的混合安全评估. -Movebit— 最早在Sui审计中采用形式验证的公司之一，同时还通过开发人员工具和CTF活动做出贡献. -OtterSec— 以全面的人工审核以及在整个审计生命周期中与团队的密切合作而闻名. -Zellic— 在Move语言方面提供丰富的专业知识，并积极参与Sui生态系统中的多个项目.

除此之外，Sui开发人员还可以利用Move Registry（MVR）——一个链上包管理系统，允许团队将源代码、文档和审计结果等关键信息直接附加到他们部署的智能合约中.

####1. 基本审计工具链

####静态分析 | 工具 | 目的 | 主要特点 | | ---------------| --------------| |** Move Prover** | 形式验证 |-不变量的数学证明-
检测算术溢出
-确保访问控制的正确性 | |** Move Analyzer** | IDE 集成 |-实时错误检测
-类型检查
-跨模块引用验证 | |** Sui CLI 安全检查** | 内置审计 | sui move verify
sui client verify-source|

Prover 用法示例：

spec balance_never_negative {  
    invariant balance >= 0;  
}  

####动态分析 | 工具 | 类型 | 覆盖范围 | | ------------| ----------| |** Sui 测试框架** | 单元测试 |-100% 路径覆盖率
-模拟对象/时钟 | |** Sui Fuzzer** | 属性测试 |-生成边缘案例
-在算术中发现恐慌 |

模糊测试示例：

#[test_only]  
fun fuzz_transfer(amount: u64) {  
    let balance = 1000;  
    transfer(&mut balance, amount); // Auto-tests 0, MAX, etc.  
}  

---

####2. Sui 专用扫描仪

####对象生命周期检查器 -Sui Storage 返佣分析器 | 检测： -物体无限增长 -缺少drop技能 -孤儿 UID

####访问控制审计

# Find all entry functions without signer checks  
grep -r "public entry" ./sources | grep -v "&signer"  

####共享对象 Linters 自定义规则： -缺少纪元检查 -并发修改风险 -过时的共享对象引用

---

####3. 人工审阅技巧

####关键检查

1. 能力模式：

  // Verify admin caps are properly guarded  
  assert!(address_of(signer) == admin_cap.admin, EUnauthorized);  

2. 动态现场安全：

  // Ensure no unvalidated user input in dynamic fields  
  dynamic_field::add(&mut obj, user_input, value); // RISKY  

####天然气热点 -存储操作：

 // Prefer Table over vector for large collections  
 let bad: vector<u64>; // Expensive deletions  
 let good: Table<ID, u64>; // O(1) ops  

####Sui 框架依从性 -交叉检查： -sui:: coin -sui:: clock

---

####4. 综合审计工作流程

步骤 1：静态扫描

sui move build --lint && \  
sui move prove --path ./sources  

第 2 步：动态测试

sui move test --coverage && \  
move-fuzzer ./sources -iterations 1000  

第 3 步：手动审阅

1. 检查所有entry功能： -签名者在场？ -输入验证？
2. 审计共享对象： -纪元支票？ -锁定机制？

---

####5. 按工具分类的常见发现

工具	典型渔获量
	Move Prover
Sui CLI	-对象所有权无效 -缺少技能
	Fuzzer
手册	-业务逻辑缺陷 -商城兼容性

---

####6. 专业提示

✅持续审计

# GitHub Action example  
- uses: MoveAnalyst/move-security-check@v1  
  with:  
    path: ./sources  

✅与已知漏洞比较 -Sui 审计报告 -Move 安全名人堂

✅使用多个 RPC 测试对象： -本地网络 -测试网 -不同的全节点提供商

---