Руководство по аудиту для предпринимателей в области Децентрализованных финансов: как выбрать безопасного аудитора и создать эффективное "представление об аудите"

В криптоиндустрии аудит имеет решающее значение для обеспечения целостности и безопасности проектов. Наблюдения показывают, что некоторые ведущие проекты, такие как Lido и Compound, инвестируют значительные суммы в аудит, часто достигающие семизначных долларов, и часто нанимают несколько аудиторских компаний для проверки одного и того же пакета кодов продуктов.

С одной стороны, это отражает то, что с лета DeFi ведущие проекты получили хорошие доходы и имеют достаточно средств для продолжительных вложений в создание более глубоких конкурентных барьеров. С другой стороны, это также демонстрирует другим проектам и предпринимателям в отрасли важный аспект аудита: аудиторская работа не является простым процессом "оплатить-нанять-выдать отчет-рекламировать", а должна иметь полную "аудиторскую концепцию" и методологию. Проектные команды должны учитывать, какие продукты нужно аудитировать, как выбирать поставщиков, как обеспечить эффективность аудиторской работы, а также как завершить аудиторскую работу наиболее экономически эффективным и безопасным способом.

В данной статье будет рассмотрен идеальный "взгляд на аудит" с точки зрения реального предпринимательства и управления проектами.

! [DeFi Entrepreneur Experience Talk: как выбрать аудитора безопасности и что (https «концепция аудита»]://img-cdn.gateio.im/social/moments-b73df5d2c7037be42b3a40ce42ba7b16)

Обзор поставщиков услуг безопасности

За последние 2-3 года количество доступных аудиторских поставщиков резко возросло, на рынке сейчас насчитывается около 15-20 распространенных аудиторских компаний. Опираясь на опыт и общение с коллегами, учитывая репутацию, технические возможности и полноту охвата, некоторые поставщики, такие как Peckshield, SlowMist, Trail of bits и OpenZeppelin, могут считаться первой лигой.

В целом, поставщики из Китая по-прежнему являются предпочтительным выбором для китайских проектов в криптоиндустрии, их основными преимуществами являются отсутствие разницы во времени для общения и языковое удобство, а цены также относительно разумные, обычно составляют от 12,000 до 15,000 долларов США на человека в неделю и могут колебаться в зависимости от сезона. В сравнении с этим, зарубежные поставщики имеют низкую известность в китайских проектах, но из-за ценовой премии бренда, ресурсов основателей или технических возможностей, цены обычно на 1.5-2 раза выше. Некоторые зарубежные поставщики даже могут получать крупные заказы, например, одна платформа когда-то нанимала OpenZeppelin для аудита за сумму более миллиона долларов за квартал.

Помимо традиционных поставщиков аудита, существует категория сервисов "белых шляп", таких как некоторые платформы для вознаграждения за уязвимости. Эта модель является зрелой бизнес-моделью в традиционной области безопасности и за последние два года получила распространение в криптоиндустрии. Проектные команды размещают на платформе модули, которые хотят, чтобы их проверили, такие как фронтенд, бэкенд, смарт-контракты и (, определяют степень серьезности ошибок и соответствующее вознаграждение, чтобы привлечь "белых хакеров" к активному сообщению о проблемах. Это может служить полезным дополнением к традиционному аудиту, но требует от проектных команд точного определения классификации ошибок, уровней и охвата, а также предоставления разумного вознаграждения.

Процесс аудита, методология и контроль затрат

Для проекта, перед тем как впервые обратиться к аудитору для проверки, необходимо подготовить следующее:

1. Убедитесь, что внутренние тесты проведены как минимум дважды, и, если возможно, лучше провести еще один раунд общественного тестирования, чтобы избежать оплаты за очевидные проблемы.

2. По возможности упакуйте код согласно вехам проекта и сдавайте его на аудит единовременно, чтобы контролировать затраты.

3. Убедитесь, что контактное лицо понимает общую работу продукта, примерное количество кода и распределение основных модулей, чтобы избежать неясности в требованиях на этапе начальной настройки.

4. Сравнить графики различных поставщиков и рассмотреть возможность платного резервирования графиков для важных продуктовых узлов.

Несмотря на большое количество поставщиков на рынке, графики у всех сильно различаются. Рекомендуется отправить запрос на оценку как минимум трём аудиторам по одному и тому же коду, чтобы получить график, цену и оценку объема работы. Для важных продуктовых узлов рекомендуется заранее внести 30%-50% платы для закрепления графика, чтобы избежать задержек в процессе. Обычно китайские поставщики советуют записываться за 2-4 недели заранее, а зарубежные поставщики не менее чем за месяц.

После определения графика и报价, код проекта передается аудитору для начала проверки. В процессе ответственный аудитор будет обсуждать вопросы с командой проекта. Ответственный за проект должен поддерживать хорошую связь с аудитором и обеспечивать:

1. Аудит проводится в установленный срок.
2. Первая версия аудиторского отчета должна быть пересмотрена как минимум двумя техническими специалистами из команды проекта, после чего с аудитором необходимо определить, является ли она окончательной.
3. Создать канал группового чата между ключевыми техническими сотрудниками проекта, продуктовой командой и аудиторами, которые фактически проводят ревью кода.
4. Обратите внимание на отчеты о безопасных инцидентах, опубликованные другими аудиторами, и активно общайтесь с аудиторами по возможным связанным вопросам.

Проектная сторона должна иметь четкую позицию и умеренно сохранять контроль.

Аудиторские компании в основном сосредотачиваются на качестве кода, логике и безопасности, редко затрагивая связь кода с бизнесом. Иногда изменение логики кода или безопасности может повлиять на бизнес-логику.

Например, для ключевых модулей, таких как обновление прав контрактов, изменение тарифов и увеличение эмиссии токенов, с точки зрения раннего развития бизнеса, на самом деле необходимо, чтобы核心成员 проекта могли контролировать их отдельно, чтобы в случае изменения рынка или внезапных инцидентов безопасности своевременно вносить изменения, а не стремиться к многостороннему контролю, что может повлиять на способность проекта адаптироваться в кризисные моменты.

Рациональное сохранение "задних дверей" или "суперпривилегий" касается не только самого проекта, но и может повлиять на выживание всей отрасли. Представьте себе, если бы некоторые биржи не приняли экстренные меры, некоторые стабильные монеты не приостановили бы выкуп, а некоторые публичные цепочки не проводили бы "техническое обслуживание сети", текущее состояние отрасли могло бы быть совершенно иным.

Постоянное общение и обмен способствуют долгосрочной безопасности

Услуги аудиторов могут выявить проблемы, но не могут гарантировать 100% безопасность, инциденты безопасности могут произойти в любое время. С одной стороны, проектные команды должны активно общаться с аудиторскими компаниями, обсуждая, как решать вопросы, касающиеся ), которые могут включать компенсацию, бесплатный повторный аудит, возврат средств и другие варианты (. С другой стороны, каждое обнаружение и исправление уязвимости безопасности связано с прогрессом всей отрасли. При отсутствии затрагивания ключевых коммерческих интересов рекомендуется, чтобы все проектные команды совместно с аудиторскими компаниями открыто пересматривали аналогичные проблемы, что способствует обмену более высокими стандартами безопасности в отрасли и в долгосрочной перспективе может снизить затраты на аудит для каждого проекта.

Руководство проекта должно обладать хакерским мышлением и ценить силу сообщества

Аудит — это длительная война за капитал, важный барьер в конкуренции проектов. С одной стороны, необходимо постоянно вкладывать средства между каждым этапом продукта, нанимая известных и надежных внешних аудиторов для покрытия возможных уязвимостей безопасности. С другой стороны, также следует ценить силу сообщества, поощряя сообщество «белых шляп» участвовать в обеспечении безопасности проекта.

Автор успешно пригласил одного из членов сообщества белых хакеров за вознаграждение около 30 000 долларов, который помог отладить и исправить контракт, управляющий миллионами долларов.

Кроме того, использование уже готовых контрактов, а не поиск новых путей, также является эффективным способом снижения затрат и повышения эффективности.

Заключение

Порог входа в криптоиндустрию значительно повысился, и финансирование в миллионы долларов в текущем рынке не является редкостью. Из предыдущего обсуждения видно, что действительно поддерживать надежное, безопасное и стабильное децентрализованное приложение очень сложно, даже лучшие приложения в отрасли не могут гарантировать абсолютную безопасность.

Таким образом, с точки зрения контроля затрат, каждый стартап должен по возможности интегрировать существующие成熟ные инфраструктуры при выборе контрактов и моделей, чтобы избежать повторного изобретения колеса. Общие категории, такие как децентрализованные биржи, платформы кредитования, агрегаторы доходности, ликвидное стекирование и повторное стекирование, а также производственная торговля и синтетические активы, имеют зрелую инфраструктуру, которую новые проекты могут повторно использовать и внедрять. Это не только снижает затраты на безопасность проекта, но и эффективно повышает безопасность самого проекта, обеспечивая эволюцию системной безопасности по мере обновления объектов повторного использования.

С точки зрения всей отрасли, для достижения полной безопасности требуется совместные усилия и вклад всех участников рынка.

Для аудиторов: 1) необходимо предотвращать возможные хитрости со стороны проектной команды, такие как использование версии кода, отличной от фактической, для аудита. Рекомендуется повторно проверять фактическую версию кода после официального развертывания проекта. 2) стоит рассмотреть возможность исследования модели, связанной со страхованием, чтобы предоставить механизмы компенсации за несчастные случаи для клиентов, закупающих крупные услуги, и защитить права проектной команды. 3) более широко публиковать примеры аудита и опыт отладки. Аудиторская отрасль похожа на медицинскую, общий прогресс зависит как от долгосрочных инвестиций в научные исследования и разработки, так и от накопления случаев. С этой точки зрения, "PR-аудит", который часто подшучивают пользователи, также является движущей силой прогресса в отрасли, по крайней мере, он позволяет большему количеству случаев аудита быть доступными для отрасли.

Для пользователей: 1) следует использовать разделение горячих и холодных кошельков, для различных децентрализованных приложений использовать специальные адреса кошельков, регулярно очищать неизвестные авторизации, не взаимодействовать с токенами аирдропа с неизвестным происхождением и другие меры безопасности. 2) высокообеспеченные пользователи должны привыкнуть регулярно проверять отчеты о безопасности, публикуемые различными аудиторами, и оставаться настороже к распространённым рискам безопасности.