ここ2~3年の間に、選べる監査業者の数が爆発的に増加し、市場に出回っている監査業者は約15~20社です。経験や業界の交流に基づき、評判、技術力、カバレッジの完全性を総合的に考慮すると、Peckshield、SlowMist、Trail of bits、OpenZeppelinなどの業者は第一梯隊と見なされることができます。
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
分散型金融起業家必読:どのようにして全方位的で効率的な監査戦略を構築するか
DeFi起業家向け監査ガイド:セキュリティ監査人の選び方と効果的な「監査ビュー」の確立方法
暗号業界において、監査はプロジェクトの完全性と安全性を確保するために非常に重要です。観察によると、LidoやCompoundのような一部の主要プロジェクトは監査に巨額の投資をしており、通常は7桁のドルに達し、同じ製品コードの監査のために複数の監査サービスプロバイダーを雇うことがよくあります。
この点は、DeFiの夏以来、主要プロジェクトが豊富なリターンを得て、より深い競争壁を構築するために継続的に資金を投入できることを反映しています。もう一方では、これは業界内の他のプロジェクトや起業家に対して、監査の重要な側面を示しています: 監査作業は単純な「支払い-雇用-報告書作成-宣伝」プロセスではなく、完全な「監査観」と方法論を持つべきです。プロジェクト側は、どの製品を監査する必要があるのか、どの供給業者を選ぶか、監査作業の有効性をどのように確保するか、そして最もコスト効率が高く安全な方法で監査作業を完了する方法を考慮する必要があります。
この記事では、実際の起業やプロジェクト運営の観点から、理想的な「監査観」がどのようなものであるべきかを探ります。
! 【DeFi起業家体験トーク:セキュリティ監査人の選び方と「監査の考え方」(https何]://img-cdn.gateio.im/social/moments-b73df5d2c7037be42b3a40ce42ba7b16)
セキュリティサービスプロバイダーの概要
ここ2~3年の間に、選べる監査業者の数が爆発的に増加し、市場に出回っている監査業者は約15~20社です。経験や業界の交流に基づき、評判、技術力、カバレッジの完全性を総合的に考慮すると、Peckshield、SlowMist、Trail of bits、OpenZeppelinなどの業者は第一梯隊と見なされることができます。
全体的に見て、中国の背景を持つサプライヤーは依然として暗号業界の中国語プロジェクトの選択肢であり、主な利点は時差のないコミュニケーションと言語の便利さにあります。価格も比較的合理的で、通常は1人あたり週12,000-15,000ドルで、市場の繁閑に応じて変動します。それに対して、海外のサプライヤーは中国語プロジェクトでの知名度が低いですが、ブランドプレミアム、創業チームのリソース、または技術力などの要因により、価格は通常1.5-2倍高くなります。ある海外のサプライヤーは、例えばあるプラットフォームが四半期ごとに100万ドルを超える価格でOpenZeppelinに監査を依頼したこともあります。
伝統的な監査サービスプロバイダーの他に、「ホワイトハットコミュニティ」と呼ばれるサービスプロバイダーの一種が存在し、いくつかのバグ報奨プラットフォームが含まれます。このモデルは伝統的なセキュリティ分野において成熟した業態であり、ここ2年間で暗号業界に登場しました。プロジェクト側はプラットフォーム上で監査を希望するモジュール(、例えばフロントエンド、バックエンド、スマートコントラクトなど)を公開し、バグの重大度と対応する報酬を定義し、「ホワイトハットハッカー」に問題を報告するよう促します。これは伝統的な監査の有益な補足となる可能性がありますが、プロジェクト側がバグの分類、レベル、および範囲を正確に定義し、合理的な報酬を提供できることが求められます。
監査プロセス、方法論とコスト管理
プロジェクトサイドにとって、初めて監査人にレビューを依頼する前に、以下の準備を整える必要があります。
内部で少なくとも2回のテストが行われていることを確認し、可能であれば、コミュニティテストをもう1回行って、明らかな問題に対して支払うことを避けてください。
可能な限りコードをプロジェクトのマイルストーンごとにパッケージ化し、一度に監査を行ってコストを管理します。
接続者が製品全体の運用原理、概算のコード量、主要モジュールの分布を理解していることを確認し、初期設定フェーズでの要求コミュニケーションの不明確さを避ける。
異なるサプライヤーのスケジュールを比較し、重要な製品のノードについては有料でスケジュールをロックすることを検討する。
市場には多くの供給者がいるものの、各社のスケジュールには大きな差があります。同じコードに対して少なくとも3つの監査業者に評価リクエストを送ることをお勧めします。スケジュール、見積もり、作業量の評価を取得してください。重要な製品ノードに対しては、30%-50%の費用を前払いしてスケジュールを確保することをお勧めします。進捗に影響を与えないためです。通常、中国の供給者は2-4週間前に予約を推奨し、海外の供給者は少なくとも1ヶ月前に予約する必要があります。
スケジュールと見積もりが確定した後、プロジェクトコードは監査者に引き渡され、レビューが始まります。この過程で、責任のある監査者は疑問点についてプロジェクトチームと議論します。プロジェクトの担当者は監査者との良好なコミュニケーションを維持し、次のことを確保する責任があります:
プロジェクト側は明確な立場を持ち、適度に権限を保持する必要があります
監査会社は主にコードの品質、ロジック、セキュリティに焦点を当てており、コードとビジネスの関連性に関与することはほとんどありません。時には、コードのロジックやセキュリティを調整することで、ビジネスロジックに影響を与える可能性があります。
例えば、契約の権限アップグレード、料金調整、トークンの増発などの重要なモジュールについて、ビジネスの初期発展の観点から見ると、実際にはプロジェクトのコアメンバーが単独で制御できる必要があります。そうすることで、市場の変化や突発的なセキュリティ事件が発生した際に、迅速に調整が可能となります。単にマルチシグ管理を追求することは、危機的な状況でのプロジェクトの対応能力に影響を与えるからです。
"バックドア"や"スーパーパーミッション"を合理的に保持することは、プロジェクト自体だけでなく、業界全体の存続にも影響を及ぼす可能性があります。例えば、ある取引所が緊急措置を講じなかったり、特定のステーブルコインが償還を停止しなかったり、あるパブリックチェーンが"チェーン停止メンテナンス"を行わなかった場合、業界の現状は大きく異なっていたかもしれません。
継続的なコミュニケーションと共有が長期的な安全を促進する
監査業者のサービスは問題を発見することができますが、100%の安全性を保証することはできません。安全事故はいつでも発生する可能性があります。一方で、プロジェクト側は監査会社と積極的にコミュニケーションを取り、(に対する対応方法、例えば補償、無料の再監査、返金などの方案について話し合う必要があります)。もう一方で、各安全脆弱性の発見と修正は業界全体の進歩に関わっています。重要な商業利益に関与しない場合、すべてのプロジェクト側が監査会社と共に類似の問題を公開で振り返ることを奨励することは、業界がより高い安全基準を共有するのに役立ち、長期的には各プロジェクトの監査コストを削減することにもつながります。
プロジェクトの意思決定層はハッカー思考を持ち、コミュニティの力を重視すべきである
監査は持続的な資金戦であり、プロジェクト競争の重要な障壁です。一方で、各製品のマイルストーン間で持続的に資金を投入し、有名で信頼できる外部監査人を雇って可能なセキュリティの脆弱性をカバーすべきです。もう一方で、コミュニティの力を重視し、ホワイトハットコミュニティのプロジェクトの安全構築への参加を奨励すべきです。
筆者は約3万ドルの報酬で、コミュニティのホワイトハットメンバーを成功裏に招待し、百万ドルの資金を管理する契約のデバッグと修正を手伝ってもらいました。
さらに、成熟した契約を再利用することを心がけ、新たな道を切り開くのではなく、コスト削減と効率向上のための効果的な方法です。
まとめ
暗号業界の起業のハードルは著しく上昇しており、数百万ドルの資金調達は現在の市場では珍しくありません。前の議論からもわかるように、信頼性が高く、安全で安定した分散型アプリケーションを実現することは非常に困難であり、業界のトップアプリでさえ絶対的な安全性を保証することはできません。
したがって、コスト管理の観点から、各スタートアッププロジェクトは契約とモデルを選択する際に、既存の成熟したインフラを可能な限り組み込むべきであり、再び車輪を発明することを避けるべきです。一般的な分散型金融取引所、貸付プラットフォーム、収益アグリゲーター、流動性ステーキングおよび再ステーキング、さらにはデリバティブ取引、合成資産などのカテゴリには、新しいプロジェクトが再利用し、組み込むことができる成熟したインフラが多数存在しています。これにより、プロジェクトのセキュリティコストを削減するだけでなく、プロジェクト自体のセキュリティを効果的に強化し、システムの安全性が再利用対象のアップグレードに伴って進化することを保証します。
業界全体の観点から見ると、包括的な安全を実現するには、市場のすべての参加者の共同の努力と貢献が必要です。
監査業者にとって:1)は、プロジェクト側が存在するかもしれない小さな考えを防ぐ必要があります。例えば、実際のオンラインとは異なるコードバージョンを使用して監査を行うことです。プロジェクトが正式に展開された後に実際のコードバージョンを再検証することをお勧めします。2)は、保険と組み合わせたモデルを探求することを検討できます。これにより、大規模なサービスを購入する顧客に安全事故の補償メカニズムを提供し、プロジェクト側の権益を保護します。3)は、監査ケースやデバッグ経験をより広く公開します。監査業界は医療業界に似ており、全体的な進歩は長期的な技術研究開発への投資に依存しているだけでなく、ケースの蓄積にも高度に依存しています。この観点から見ると、ユーザーに冗談で言われることが多い「PR式監査」も業界の進歩を促進する一つの原動力であり、少なくともより多くの監査ケースが業界で共有されるようになります。
ユーザーにとって:1)は、ホットウォレットとコールドウォレットを分離し、異なる分散型金融アプリケーションに専用のウォレットアドレスを使用し、未知の承認を定期的にクリアし、出所不明のエアドロップトークンを操作しないなどの安全対策を講じるべきです。2)高ネットワースユーザーは、各監査業者が発表するセキュリティインシデントレポートを定期的に確認する習慣を身につけ、一般的なセキュリティリスクに対して警戒を怠らないようにすべきです。