Guide d'audit pour les entrepreneurs DeFi : comment choisir un auditeur de sécurité et établir une "vision de l'audit" efficace

Dans l'industrie de la cryptographie, l'audit est essentiel pour garantir l'intégrité et la sécurité des projets. Les observations montrent que certains projets leaders comme Lido et Compound investissent massivement dans l'audit, souvent à hauteur de plusieurs millions de dollars, et engagent fréquemment plusieurs prestataires d'audit pour examiner le même lot de code produit.

D'une part, cela reflète le fait que les principaux projets de la Finance décentralisée ont obtenu d'importants retours depuis l'été, avec suffisamment de fonds pour continuer à investir afin de construire des barrières concurrentielles plus solides. D'autre part, cela montre aux autres projets et entrepreneurs du secteur un aspect important de l'audit : le travail d'audit n'est pas un simple processus de "paiement - embauche - rapport - promotion", mais devrait avoir un ensemble complet de "vision d'audit" et de méthodologie. Les équipes de projet doivent considérer quels produits nécessitent un audit, comment choisir les fournisseurs, comment assurer l'efficacité du travail d'audit, et comment mener à bien le travail d'audit de la manière la plus rentable et sécurisée.

Cet article abordera la question de ce à quoi devrait ressembler une "vision d'audit" idéale du point de vue de l'entrepreneuriat pratique et de l'exploitation de projets.

Aperçu des fournisseurs de services de sécurité

Au cours des 2 à 3 dernières années, le nombre de fournisseurs d'audit disponibles a connu une croissance explosive, avec environ 15 à 20 fournisseurs d'audit couramment rencontrés sur le marché. D'après l'expérience et les échanges avec des pairs, en tenant compte de la réputation, des capacités techniques et de l'intégralité de la couverture, certains fournisseurs tels que Peckshield, SlowMist, Trail of bits et OpenZeppelin peuvent être considérés comme faisant partie de la première catégorie.

Dans l'ensemble, les fournisseurs d'origine chinoise restent le choix privilégié pour les projets en chinois dans l'industrie de la cryptographie, avec des avantages principaux tels que la communication sans décalage horaire et la facilité linguistique. Les prix sont également relativement raisonnables, généralement entre 12 000 et 15 000 dollars par personne par semaine, et peuvent fluctuer en fonction des saisons de marché. En revanche, les fournisseurs étrangers ont une notoriété plus faible dans les projets en chinois, mais en raison de la prime de marque, des ressources de l'équipe fondatrice ou des capacités techniques, les prix sont généralement 1,5 à 2 fois plus élevés. Certains fournisseurs étrangers peuvent même obtenir des commandes massives, par exemple, une plateforme a déjà engagé OpenZeppelin pour une audit à plus d'un million de dollars par trimestre.

En plus des fournisseurs d'audit traditionnels, il existe une catégorie de fournisseurs de services appelés "communauté des chapeaux blancs", comme certaines plateformes de récompenses pour les vulnérabilités. Ce modèle est un secteur mature dans le domaine de la sécurité traditionnelle, qui a émergé au cours des deux dernières années dans l'industrie de la cryptographie. Les porteurs de projets publient sur la plateforme les modules qu'ils souhaitent faire auditer ( tels que le front-end, le back-end, les contrats intelligents, etc. ), définissent la gravité des bugs et la récompense correspondante, attirant les "hackers éthiques" à signaler activement les problèmes. Cela peut servir de complément utile à l'audit traditionnel, mais nécessite que les porteurs de projets puissent définir avec précision la classification, le niveau et la portée des bugs, ainsi que fournir une récompense raisonnable.

Processus d'audit, méthodologie et contrôle des coûts

Pour les porteurs de projet, avant de demander l'audit d'un auditeur pour la première fois, il est nécessaire de préparer les éléments suivants:

1. Assurez-vous que des tests internes ont été effectués au moins deux fois, si possible, il est préférable de procéder à un test communautaire supplémentaire pour éviter de payer pour des problèmes évidents.

2. Regroupez le code par jalons de projet autant que possible, livrez-le en une seule fois pour l'audit, afin de contrôler les coûts.

3. Assurez-vous que le contact comprenne le fonctionnement global du produit, le volume approximatif de code et la répartition des principaux modules, afin d'éviter une communication floue des besoins lors de la phase de configuration initiale.

4. Comparer les calendriers des différents fournisseurs et envisager de verrouiller les calendriers payants pour les points clés des produits importants.

Bien qu'il y ait de nombreux fournisseurs sur le marché, les différences de calendrier entre eux sont énormes. Il est recommandé d'envoyer des demandes d'évaluation à au moins 3 auditeurs pour le même code, afin d'obtenir des informations sur le calendrier, les devis et l'évaluation de la charge de travail. Pour les points de produits importants, il est conseillé de prépayer 30 à 50 % des frais pour verrouiller le calendrier et éviter d'affecter le progrès. En général, les fournisseurs chinois recommandent de réserver 2 à 4 semaines à l'avance, tandis que les fournisseurs étrangers doivent être réservés au moins 1 mois à l'avance.

Après avoir confirmé le calendrier et le devis, le code du projet est remis à l'auditeur pour commencer la révision. Pendant le processus, l'auditeur responsable discutera des questions avec l'équipe du projet. Le contact du projet a la responsabilité de maintenir une bonne communication avec l'auditeur et de s'assurer que :

1. L'audit progresse comme prévu.
2. Le rapport d'audit préliminaire est examiné en croisée par au moins deux techniciens de l'équipe de projet, puis confirmé avec l'auditeur pour savoir s'il s'agit d'une version finale.
3. Établir un canal de discussion de groupe entre les personnes clés du projet, les personnes du produit et les auditeurs qui effectuent réellement la revue de code.
4. Suivre les rapports d'incidents de sécurité publiés par d'autres sociétés d'audit et communiquer proactivement avec les auditeurs sur les problèmes potentiels.

L'équipe du projet doit avoir une position claire et conserver un contrôle modéré.

Les sociétés d'audit se concentrent principalement sur la qualité du code, la logique et la sécurité, et s'occupent rarement de la relation entre le code et les affaires. Parfois, l'ajustement de la logique du code ou de la sécurité peut affecter la logique commerciale.

Par exemple, pour des modules clés tels que la mise à niveau des autorisations de contrat, l'ajustement des taux et l'émission supplémentaire de jetons, du point de vue du développement précoce des affaires, il est en réalité nécessaire que les membres clés du projet puissent contrôler ces éléments de manière autonome, afin de pouvoir ajuster rapidement en cas de changement de marché ou d'incident de sécurité inattendu, plutôt que de chercher à tout prix un contrôle par signatures multiples, ce qui pourrait affecter la capacité de réaction du projet en période de crise.

La décision de conserver raisonnablement une "porte dérobée" ou des "super droits" concerne non seulement le projet lui-même, mais peut également affecter la survie de l'ensemble de l'industrie. Imaginez si certaines bourses n'avaient pas pris de mesures d'urgence, si certains stablecoins n'avaient pas suspendu les rachats, ou si certaines blockchains n'avaient pas effectué de "maintenance de chaîne", la situation de l'industrie pourrait être très différente.

La communication continue et le partage favorisent la sécurité à long terme

Les services des auditeurs peuvent détecter des problèmes, mais ne peuvent garantir une sécurité à 100 %, des incidents de sécurité peuvent survenir à tout moment. D'une part, les équipes de projet doivent communiquer proactivement avec les sociétés d'audit pour discuter de la manière de traiter les solutions potentielles liées à (, qui peuvent inclure des compensations, des audits gratuits ou des remboursements, etc. ). D'autre part, la découverte et la correction de chaque vulnérabilité de sécurité sont liées aux progrès de l'ensemble de l'industrie. Sans impliquer d'intérêts commerciaux clés, il est conseillé à toutes les équipes de projet de revoir publiquement avec les sociétés d'audit des problèmes similaires, ce qui aide l'industrie à partager des normes de sécurité plus élevées et, à long terme, à réduire le coût des audits pour chaque projet.

Les décideurs du projet doivent avoir une mentalité de hacker et accorder de l'importance à la force de la communauté

L'audit est une guerre de fonds durable, c'est une barrière importante à la concurrence des projets. D'une part, il est nécessaire d'investir continuellement des fonds entre chaque jalon du produit, en engageant des auditeurs externes connus et fiables pour couvrir les éventuelles vulnérabilités de sécurité. D'autre part, il faut également valoriser la force de la communauté et encourager la communauté des hackers éthiques à participer à la construction de la sécurité du projet.

L'auteur a réussi à inviter un membre de la communauté white hat avec une récompense d'environ 30 000 dollars, pour l'aider à déboguer et à réparer un contrat gérant des millions de dollars.

De plus, essayer de réutiliser des contrats matures, plutôt que d'inventer des solutions alternatives, est également une méthode efficace pour réduire les coûts et améliorer l'efficacité.

Conclusion

Le seuil d'entrée dans l'industrie de la cryptographie a considérablement augmenté, et des financements de plusieurs millions de dollars ne sont pas rares sur le marché actuel. Comme l'indiquent les discussions précédentes, il est très difficile de soutenir un ensemble d'applications décentralisées fiables, sûres et stables, même les meilleures applications du secteur ne peuvent garantir une sécurité absolue.

Ainsi, du point de vue du contrôle des coûts, chaque projet de startup devrait, lors du choix de contrats et de modèles, intégrer autant que possible des infrastructures existantes et matures, évitant ainsi de réinventer la roue. Les échanges décentralisés courants, les plateformes de prêt, les agrégateurs de rendement, le staking liquide et le re-staking, ainsi que les échanges de dérivés et les actifs synthétiques, disposent tous d'un ensemble d'infrastructures matures et utilisables que les nouveaux projets peuvent réutiliser et imbriquer. Cela permet non seulement de réduire les coûts de sécurité du projet, mais aussi d'améliorer efficacement la sécurité du projet lui-même, tout en garantissant que la sécurité du système évolue avec la mise à niveau des objets réutilisés.

D'un point de vue global de l'industrie, la réalisation d'une sécurité totale nécessite l'effort et la contribution de tous les participants du marché.

Pour les auditeurs : 1) doivent se méfier des intentions possibles des parties prenantes, comme l'utilisation d'une version de code différente de celle réellement mise en ligne pour l'audit. Il est recommandé de vérifier à nouveau la version de code réelle après le déploiement officiel du projet. 2) peut envisager d'explorer un modèle combinant assurance, pour fournir un mécanisme d'indemnisation en cas d'accident de sécurité aux clients achetant des services à grande échelle, protégeant ainsi les droits des parties prenantes. 3) publier plus largement des cas d'audit et des expériences de débogage. L'industrie de l'audit est similaire à celle de la santé, les progrès globaux dépendent à la fois d'investissements à long terme dans la recherche et développement technologique et d'une accumulation élevée de cas. Dans cette perspective, l'audit souvent moqué par les utilisateurs comme "audit de relations publiques" est également un moteur de progrès pour l'industrie, permettant au moins à un plus grand nombre de cas d'audit d'être partagés dans le secteur.

Pour les utilisateurs : 1), il est conseillé de séparer les portefeuilles chauds et froids, d'utiliser des adresses de portefeuille spécifiques pour différentes applications décentralisées, de nettoyer régulièrement les autorisations inconnues et de ne pas interagir avec des jetons airdrop d'origine douteuse, etc., en tant que mesures de sécurité. Les utilisateurs de haute valeur nette, 2), devraient prendre l'habitude de consulter régulièrement les rapports d'incidents de sécurité publiés par divers auditeurs et rester vigilants face aux risques de sécurité courants.