Coinbase怎么确保智能合约不会出漏洞啊？

在智能合约安全方面，Coinbase 也做了两手准备。一方面是内部的代码审计，由 Coinbase 内部的安全工程师团队对代码进行多次审查。另一方面是外包给第三方安全服务商做渗透测试来检查漏洞。

对于合约本身存在漏洞的，Coinbase 是不会上线的。如果上线之后出现这样的问题，会第一时间下架或者直接关闭该功能，并且积极督促合约开发人员进行修补。另外，用户也可以通过官方渠道向其反应漏洞情况，Coinbase 还设有漏洞悬赏计划。

通俗讲，“查+测+堵”是有效防控的三大法宝。

Coinbase 对于合约安全相当重视，一般会采用第三方审计公司的服务，如Trail of Bits或OpenZeppelin等，提供审核保障。

平时开发中会尽量使用成熟的框架，少写自己的逻辑代码，毕竟开源社区已经验证过的代码更安全。

面对漏洞如何弥补？ Coinbase 则推出了漏洞赏金计划，邀请黑客帮助它们寻找问题，并承诺以很快的速度修复。在发生紧急事件时，他们还会通过邮件向用户发出警告。

翻译过来就是：专业审计 + 安全框架 + 激励机制 + 快速响应。这样四管齐下的措施，虽然还达不到“绝对安全”的目的，但是能够将隐患减到最小。

Coinbase 确保智能合约安全性，一共分下面三步走： 第一步：发布前，聘请最权威的安全公司进行代码审计，比如 OpenZeppelin、Consensys 等； 第二步：使用成熟稳定的开发框架，比如 Solidity 的最新版本和安全库； 第三步：程序已经发布到主网上之后，要持续监控合约的运行情况，发生任何威胁时立即触发熔断机制。简单来说，就是做到「事前防范、事中监控、事后熔断」