Guia de Auditoria para Empreendedores de Finanças Descentralizadas: Como Escolher um Auditor de Segurança e Estabelecer uma "Visão de Auditoria" Eficaz

Na indústria cripto, a auditoria é crucial para garantir a integridade e a segurança dos projetos. Observações mostram que alguns dos principais projetos, como Lido e Compound, investem fortemente em auditorias, frequentemente alcançando milhões de dólares, e costumam contratar várias empresas de auditoria para revisar o mesmo conjunto de códigos de produto.

Este aspecto reflete que, desde o verão de DeFi, os principais projetos obtiveram retornos substanciais, com fundos suficientes para continuar a investir na construção de barreiras competitivas mais profundas. Por outro lado, isso também demonstra para outros projetos e empreendedores dentro da indústria um aspecto importante da auditoria: o trabalho de auditoria não é apenas um simples processo de "pagar - contratar - emitir relatório - divulgar", mas deve haver um conjunto completo de "visão de auditoria" e metodologia. As partes do projeto precisam considerar quais produtos necessitam de auditoria, como escolher fornecedores, como garantir a eficácia do trabalho de auditoria e como realizar o trabalho de auditoria da maneira mais econômica e segura.

Este artigo irá explorar como deve ser uma "perspectiva de auditoria" ideal, a partir da perspectiva da prática de empreendedorismo e da operação de projetos.

Visão Geral dos Prestadores de Serviços de Segurança

Nos últimos 2-3 anos, o número de fornecedores de auditoria disponíveis cresceu de forma explosiva, com cerca de 15-20 fornecedores de auditoria comuns no mercado. Com base na experiência e na troca de informações com colegas, considerando a reputação, capacidade técnica e abrangência, alguns fornecedores como Peckshield, SlowMist, Trail of Bits e OpenZeppelin podem ser considerados de primeira linha.

De modo geral, os fornecedores com background chinês ainda são a escolha preferida para projetos em chinês na indústria de criptomoedas, com a principal vantagem sendo a comunicação sem fuso horário e a conveniência linguística. Os preços também são relativamente razoáveis, geralmente variando entre 12.000 a 15.000 dólares por pessoa por semana, os quais podem flutuar conforme as temporadas de alta e baixa do mercado. Em comparação, os fornecedores estrangeiros têm menor reconhecimento em projetos em chinês, mas devido a fatores como o prêmio de marca, recursos da equipe fundadora ou capacidade técnica, os preços geralmente são 1,5 a 2 vezes mais altos. Alguns fornecedores estrangeiros conseguem até obter grandes pedidos; por exemplo, uma plataforma contratou a OpenZeppelin para auditoria por mais de um milhão de dólares em um único trimestre.

Além dos tradicionais fornecedores de auditoria, existe uma classe de prestadores de serviços chamada "comunidade de chapéus brancos", como algumas plataformas de recompensa por vulnerabilidades. Este modelo é um negócio maduro no campo da segurança tradicional e surgiu na indústria de criptomoedas nos últimos dois anos. As equipes de projeto publicam na plataforma os módulos que desejam que sejam auditados (, como front-end, back-end, contratos inteligentes, etc. ), definindo a gravidade dos bugs e a recompensa correspondente, atraindo "hackers de chapéu branco" a reportar problemas de forma proativa. Isso pode servir como um complemento útil à auditoria tradicional, mas requer que as equipes de projeto consigam definir com precisão a classificação, nível e escopo dos bugs, além de oferecer recompensas razoáveis.

Processo de Auditoria, Metodologia e Controlo de Custos

Para a equipe do projeto, antes de solicitar a auditoria pela primeira vez, é necessário preparar o seguinte:

1. Garantir que foram realizadas pelo menos duas rodadas de testes internos, se possível, é melhor realizar mais uma rodada de testes públicos na comunidade, para evitar pagar por problemas óbvios.

2. Tente agrupar o código de acordo com os marcos do projeto e entregá-lo de uma só vez para auditoria, a fim de controlar os custos.

3. Garantir que o ponto de contato compreenda o princípio de funcionamento geral do produto, a quantidade aproximada de código e a distribuição dos principais módulos, evitando uma comunicação de requisitos pouco clara na fase de configuração inicial.

4. Comparar os cronogramas de diferentes fornecedores e considerar o pagamento para garantir o cronograma para os pontos de produtos importantes.

Apesar de haver muitos fornecedores no mercado, as diferenças nas datas de agendamento são enormes. Recomenda-se enviar pedidos de avaliação para pelo menos 3 auditores sobre o mesmo código, para obter datas de agendamento, cotações e avaliações de carga de trabalho. Para nós de produtos importantes, sugere-se pagar antecipadamente 30%-50% do custo para garantir a data de agendamento, evitando assim impactos no progresso. Normalmente, os fornecedores chineses recomendam agendar com 2-4 semanas de antecedência, enquanto os fornecedores internacionais exigem pelo menos 1 mês de antecedência.

Após a definição do cronograma e da cotação, o código do projeto é entregue ao auditor para início da revisão. Durante o processo, o auditor responsável discutirá quaisquer dúvidas com a equipe do projeto. O ponto de contato do projeto tem a responsabilidade de manter uma boa comunicação com o auditor e garantir que:

1. O progresso da auditoria está a decorrer conforme o previsto.
2. O relatório de auditoria inicial deve ser revisado em cruzamento por pelo menos dois técnicos da equipe do projeto e, em seguida, confirmado com o auditor se está finalizado.
3. Estabelecer um canal de chat entre as pessoas-chave do projeto, os profissionais de produto e os auditores que realizam a revisão de código.
4. Preste atenção aos relatórios de eventos de segurança publicados por outras empresas de auditoria e comunique-se proativamente com os auditores sobre possíveis problemas relacionados.

A equipe do projeto deve ter uma posição clara e reter o controle de forma moderada.

As empresas de auditoria concentram-se principalmente na qualidade do código, na lógica e na segurança, raramente abordando a relação entre o código e os negócios. Às vezes, ajustar a lógica ou a segurança do código pode impactar a lógica dos negócios.

Por exemplo, para a atualização de permissões de contrato, ajustes de taxas, emissão adicional de tokens e outros módulos críticos, do ponto de vista do desenvolvimento inicial dos negócios, na verdade, é necessário que os membros centrais do projeto possam controlar individualmente, a fim de ajustar rapidamente em caso de mudanças de mercado ou eventos de segurança inesperados, em vez de apenas buscar o controle de múltiplas assinaturas, o que afetaria a capacidade de resposta do projeto em momentos de crise.

A manutenção razoável de "backdoors" ou "super permissões" não diz respeito apenas ao projeto em si, mas também pode afetar a sobrevivência de toda a indústria. Imagine se algumas exchanges não tivessem tomado medidas de emergência, se alguns stablecoins não tivessem suspendido os resgates, se algumas blockchains não tivessem feito "manutenção de rede", a situação da indústria poderia ser muito diferente.

A comunicação e o compartilhamento contínuos promovem a segurança a longo prazo

Os serviços de auditoria podem identificar problemas, mas não garantem 100% de segurança, e acidentes de segurança podem ocorrer a qualquer momento. Por um lado, as equipes do projeto precisam se comunicar ativamente com as empresas de auditoria para discutir como lidar com (, o que pode incluir compensação, auditoria secundária gratuita, reembolso, entre outras opções ). Por outro lado, a descoberta e correção de cada vulnerabilidade de segurança estão relacionadas ao progresso de toda a indústria. Sem envolver interesses comerciais críticos, é encorajado que todas as equipes de projeto revisem publicamente problemas semelhantes junto com as empresas de auditoria, o que ajuda a compartilhar padrões de segurança mais elevados na indústria e, a longo prazo, pode reduzir o custo de auditoria de cada projeto.

A camada de decisão do projeto deve ter uma mentalidade de hacker e valorizar a força da comunidade

A auditoria é uma batalha de financiamento duradoura e uma barreira importante na competição de projetos. Por um lado, deve-se continuar a investir fundos entre cada marco do produto, contratando auditores externos conhecidos e confiáveis para cobrir possíveis vulnerabilidades de segurança. Por outro lado, também se deve valorizar a força da comunidade, incentivando a comunidade de hackers éticos a participar da construção de segurança do projeto.

O autor conseguiu convidar um membro da comunidade de hackers éticos com uma recompensa de cerca de 30 mil dólares, para ajudar a depurar e corrigir um contrato que gerenciava milhões de dólares em fundos.

Além disso, reutilizar contratos maduros, em vez de seguir caminhos alternativos, também é uma forma eficaz de reduzir custos e aumentar a eficiência.

Conclusão

A barreira de entrada para o setor de criptomoedas aumentou significativamente, com financiamentos de milhões de dólares a não serem raros no mercado atual. A partir da discussão anterior, é evidente que é muito difícil sustentar um conjunto de aplicações descentralizadas que seja realmente confiável, seguro e estável; mesmo as aplicações de topo do setor não conseguem garantir segurança absoluta.

Portanto, do ponto de vista do controle de custos, cada projeto inicial deve tentar incorporar instalações existentes e maduras ao escolher contratos e modelos, evitando reinventar a roda. Exchanges descentralizadas comuns, plataformas de empréstimos, agregadores de rendimento, staking líquido e re-staking, até mesmo categorias como negociação de derivados e ativos sintéticos, têm um conjunto de infraestruturas maduras disponíveis para reutilização e integração em novos projetos. Isso não só pode reduzir os custos de segurança do projeto, mas também aumentar efetivamente a segurança do próprio projeto, garantindo que a segurança do sistema evolua à medida que os objetos de reutilização são atualizados.

Do ponto de vista da indústria como um todo, a realização de uma segurança abrangente requer o esforço e a contribuição conjunta de todos os participantes do mercado.

Para os auditores: 1) devem prevenir-se contra possíveis intenções ocultas por parte dos projetos, como o uso de versões de código diferentes da versão realmente implementada para a auditoria. Recomenda-se verificar novamente a versão real do código após a implementação oficial do projeto. 2) pode considerar explorar um modelo que combine com seguros, proporcionando um mecanismo de compensação por acidentes de segurança para clientes que adquiram serviços de grande valor, protegendo os direitos dos projetos. 3) divulgar mais amplamente casos de auditoria e experiências de depuração. A indústria de auditoria é semelhante à indústria médica, onde o progresso geral depende tanto de investimentos em pesquisa e desenvolvimento a longo prazo quanto da acumulação de casos. Sob essa perspectiva, a "auditoria de relações públicas", frequentemente brincadeira entre os usuários, também é uma força motriz para o avanço da indústria, pelo menos permitindo que mais casos de auditoria sejam compartilhados no setor.

Para os usuários: 1) deve-se adotar a separação entre carteiras frias e quentes, utilizando endereços de carteira específicos para diferentes aplicações descentralizadas, limpar regularmente autorizações desconhecidas e evitar operar com tokens de airdrop de origem duvidosa, entre outras medidas de segurança. 2) Usuários de alto patrimônio líquido devem desenvolver o hábito de consultar regularmente os relatórios de eventos de segurança publicados por auditores, mantendo-se alerta em relação a riscos de segurança comuns.