Guía de auditoría para emprendedores de Finanzas descentralizadas: cómo elegir un auditor seguro y establecer una "visión de auditoría" efectiva

En la industria de las criptomonedas, la auditoría es crucial para garantizar la integridad y seguridad de los proyectos. Las observaciones indican que algunos de los proyectos líderes, como Lido y Compound, invierten enormes cantidades en auditorías, a menudo alcanzando cifras de siete dígitos en dólares, y suelen contratar a varias empresas de auditoría para revisar el mismo conjunto de código del producto.

Este aspecto refleja que los principales proyectos de DeFi han obtenido grandes beneficios desde el verano, teniendo suficientes fondos para seguir invirtiendo y construir barreras de competencia más sólidas. Por otro lado, esto también muestra a otros proyectos y emprendedores en la industria un aspecto importante de la auditoría: el trabajo de auditoría no es simplemente un proceso de "pagar - contratar - generar informe - promocionar", sino que debería haber un conjunto completo de "filosofía de auditoría" y metodología. Los proyectos deben considerar qué productos necesitan auditoría, cómo elegir proveedores, cómo garantizar la efectividad del trabajo de auditoría, y cómo completar el trabajo de auditoría de la manera más rentable y segura.

Este artículo abordará desde la perspectiva del emprendimiento práctico y la operación de proyectos, explorando cómo debería ser una "visión de auditoría" ideal.

Visión general de proveedores de servicios de seguridad

En los últimos 2-3 años, el número de proveedores de auditoría disponibles ha crecido de manera explosiva, con aproximadamente 15-20 proveedores comunes en el mercado. Basado en la experiencia y la comunicación con colegas, y considerando la reputación, la capacidad técnica y la cobertura integral, algunos proveedores como Peckshield, SlowMist, Trail of Bits y OpenZeppelin pueden considerarse de primer nivel.

En general, los proveedores con antecedentes en China siguen siendo la primera opción para los proyectos en chino dentro de la industria de criptomonedas. Su principal ventaja radica en la comunicación sin diferencia horaria y la conveniencia del idioma. Además, los precios son relativamente razonables, generalmente entre 12,000 y 15,000 dólares por persona por semana, y pueden fluctuar según la temporada alta o baja del mercado. En comparación, los proveedores extranjeros tienen un reconocimiento más bajo en proyectos en chino, pero debido a factores como la prima de marca, los recursos del equipo fundador o las capacidades técnicas, sus precios suelen ser de 1.5 a 2 veces más altos. Algunos proveedores extranjeros incluso pueden obtener pedidos masivos, como una plataforma que contrató a OpenZeppelin para auditorías por más de un millón de dólares en un solo trimestre.

Además de los proveedores de auditoría tradicionales, existe una categoría de proveedores de servicios de "comunidad de sombrero blanco", como algunas plataformas de recompensas por vulnerabilidades. Este modelo es un sector maduro en el campo de la seguridad tradicional y ha surgido en la industria de las criptomonedas en los últimos dos años. Los proyectos publican en la plataforma los módulos que desean auditar (, como el front-end, back-end, contratos inteligentes, etc. ), definen la gravedad de los errores y la recompensa correspondiente, atrayendo a "hackers de sombrero blanco" a informar problemas de manera proactiva. Esto puede ser un complemento útil a la auditoría tradicional, pero requiere que los proyectos puedan definir con precisión la clasificación, el nivel y el alcance de los errores, y ofrecer recompensas razonables.

Proceso de auditoría, metodología y control de costos

Para el equipo del proyecto, antes de solicitar la revisión por parte de un auditor por primera vez, es necesario preparar lo siguiente:

1. Asegúrate de que se hayan realizado al menos dos rondas de pruebas internas y, si es posible, es mejor realizar una ronda más de pruebas comunitarias para evitar pagar por problemas evidentes.

2. Tratar de agrupar el código por hitos del proyecto y entregarlo todo de una vez para la auditoría, con el fin de controlar los costos.

3. Asegurarse de que el contacto comprenda el principio de funcionamiento general del producto, la cantidad aproximada de código y la distribución de los módulos principales, para evitar una comunicación poco clara sobre los requisitos en la fase de configuración inicial.

4. Comparar los cronogramas de diferentes proveedores y considerar el pago para asegurar los plazos de productos importantes.

A pesar de que hay muchos proveedores en el mercado, las diferencias en los cronogramas son enormes. Se recomienda enviar solicitudes de evaluación a al menos 3 auditores para el mismo código, para obtener cronogramas, cotizaciones y evaluaciones de carga de trabajo. Para los nodos de productos importantes, se sugiere pagar por adelantado del 30% al 50% del costo para asegurar el cronograma y evitar afectar el progreso. Por lo general, los proveedores chinos sugieren reservar con 2 a 4 semanas de anticipación, mientras que los proveedores extranjeros requieren al menos un mes de anticipación.

Una vez que se confirma la programación y la cotización, el código del proyecto se entrega al auditor para iniciar la revisión. Durante el proceso, el auditor responsable discutirá cualquier duda con el equipo del proyecto. El contacto del proyecto tiene la responsabilidad de mantener una buena comunicación con el auditor y asegurarse de que:

1. La auditoría se lleva a cabo según lo programado.
2. El informe de auditoría inicial debe ser revisado de manera cruzada por al menos dos técnicos del equipo del proyecto, y luego se debe confirmar con la empresa auditora si es la versión final.
3. Establecer un canal de chat entre el personal clave del proyecto, el personal del producto y los auditores para llevar a cabo revisiones de código.
4. Prestar atención a los informes de incidentes de seguridad publicados por otros auditores y comunicarse proactivamente con los auditores sobre posibles problemas relacionados.

El proyecto necesita tener una posición clara y retener el control de manera moderada.

Las empresas de auditoría se centran principalmente en la calidad del código, la lógica y la seguridad, y rara vez abordan la relación entre el código y el negocio. A veces, ajustar la lógica del código o la seguridad puede afectar la lógica del negocio.

Por ejemplo, en cuanto a la actualización de permisos de contratos, ajuste de tarifas, emisión adicional de tokens y otros módulos clave, desde la perspectiva del desarrollo temprano del negocio, en realidad se necesita que los miembros clave del proyecto puedan controlar de forma independiente, para poder realizar ajustes oportunos ante cambios en el mercado o eventos de seguridad imprevistos, en lugar de perseguir ciegamente el control de múltiples firmas, lo que afectaría la capacidad de reacción del proyecto en momentos de crisis.

La retención razonable de "puertas traseras" o "permisos especiales" no solo afecta al propio proyecto, sino que también puede influir en la supervivencia de toda la industria. Imagina que, si algunos intercambios no hubieran tomado medidas de emergencia, algunos stablecoins no hubieran suspendido el canje y algunas cadenas públicas no hubieran realizado "mantenimiento de la cadena", la situación de la industria podría ser muy diferente.

La comunicación continua y el intercambio fomentan la seguridad a largo plazo

Los servicios de los auditores pueden detectar problemas, pero no pueden garantizar una seguridad del 100%; los incidentes de seguridad pueden ocurrir en cualquier momento. Por un lado, las partes del proyecto deben comunicarse proactivamente con la empresa de auditoría para discutir cómo manejar posibles compensaciones, auditorías secundarias gratuitas, reembolsos, etc. (. Por otro lado, cada descubrimiento y reparación de vulnerabilidades de seguridad está relacionado con el progreso de toda la industria. Sin involucrar intereses comerciales clave, se alienta a todas las partes del proyecto a revisar públicamente problemas similares junto con la empresa de auditoría, lo que ayuda a la industria a compartir estándares de seguridad más altos y, a largo plazo, también puede reducir los costos de auditoría de cada proyecto.

La capa de decisión del proyecto debe tener una mentalidad de hacker y valorar la fuerza de la comunidad

La auditoría es una guerra de fondos duradera y es una barrera importante en la competencia de proyectos. Por un lado, se debe seguir invirtiendo fondos de manera continua entre cada hito del producto, contratando auditores externos conocidos y confiables para cubrir posibles vulnerabilidades de seguridad. Por otro lado, también se debe valorar el poder de la comunidad, fomentando la participación de la comunidad de hackers éticos en la construcción de la seguridad del proyecto.

El autor logró invitar a un miembro de la comunidad de sombrero blanco con una recompensa de aproximadamente 30,000 dólares, ayudando a depurar y reparar un contrato que gestiona fondos de millones de dólares.

Además, reutilizar contratos maduros en la medida de lo posible, en lugar de buscar nuevos caminos, también es un método efectivo para reducir costos y aumentar la eficiencia.

Conclusión

El umbral de entrada para emprender en la industria de las criptomonedas ha aumentado significativamente, y la financiación de millones de dólares no es rara en el mercado actual. Como se puede ver en la discusión anterior, es muy difícil realmente sostener un conjunto de aplicaciones descentralizadas confiables, seguras y estables; incluso las aplicaciones de más alto nivel en la industria no pueden garantizar una seguridad absoluta.

Por lo tanto, desde la perspectiva del control de costos, cada proyecto emergente debería integrar en la medida de lo posible instalaciones existentes y maduras al elegir contratos y modelos, evitando reinventar la rueda. Existen intercambios descentralizados comunes, plataformas de préstamos, agregadores de rendimiento, staking líquido y re-staking, e incluso categorías como el comercio de derivados y activos sintéticos, que cuentan con una serie de infraestructuras maduras y utilizables que los nuevos proyectos pueden reutilizar e integrar. Esto no solo puede reducir los costos de seguridad del proyecto, sino que también puede aumentar efectivamente la seguridad del propio proyecto y garantizar que la seguridad del sistema evolucione con la modernización de los objetos reutilizados.

Desde una perspectiva de la industria en su conjunto, lograr una seguridad integral requiere el esfuerzo y la contribución conjunta de todos los participantes del mercado.

Para los auditores: 1) deben prevenir posibles intenciones ocultas por parte del proyecto, como usar versiones de código diferentes a las que están realmente en línea durante la auditoría. Se sugiere verificar nuevamente la versión de código real después de que el proyecto se despliegue oficialmente. 2) se puede considerar explorar un modelo combinado con seguros, para proporcionar un mecanismo de compensación por accidentes de seguridad a los clientes que adquieren servicios de gran volumen, protegiendo así los derechos del proyecto. 3) hacer públicos de manera más amplia los casos de auditoría y las experiencias de depuración. La industria de la auditoría es similar a la industria médica, el progreso general depende tanto de la inversión en investigación y desarrollo a largo plazo como de la acumulación de casos. Desde esta perspectiva, la "auditoría de relaciones públicas", que a menudo es objeto de burla por parte de los usuarios, también es un impulso para el progreso de la industria, al menos permite que más casos de auditoría sean compartidos dentro del sector.

Para los usuarios: 1) deben adoptar medidas de seguridad como la separación de carteras frías y calientes, utilizar direcciones de cartera específicas para diferentes aplicaciones descentralizadas, limpiar periódicamente las autorizaciones desconocidas y no operar con tokens airdrop de origen dudoso. 2) Los usuarios de alto patrimonio neto deben habituarse a revisar regularmente los informes de eventos de seguridad publicados por las auditoras y mantenerse alerta ante los riesgos de seguridad comunes.