无论是否审计，你的测试套件都需要像红队一样行动。

– 运行突变测试以打破不变量
– 静态分析以捕捉结构性腐烂
– 使用攻击者塑造的输入进行模糊测试
– 测试角色互换 (msg.sender vs tx.origin) 和 delegatecall 上下文
– 模拟 gas 峰值、时间戳漂移和预言机滞后
– 来自非明显路径的重入，不仅仅是入口点

如果你的 CI 在这种负载下没有崩溃，那它就什么也保护不了。