Посібник з аудиту для підприємців DeFi: як вибрати надійного аудитора та сформувати ефективне "бачення аудиту"

У криптоіндустрії аудит є критично важливим для забезпечення цілісності та безпеки проєктів. Спостереження показують, що деякі провідні проєкти, такі як Lido та Compound, інвестують величезні суми в аудит, зазвичай до семи цифр у доларах, і часто наймають кілька аудиторських компаній для перевірки одного й того ж пакету коду продукту.

Це, з одного боку, відображає те, що провідні проекти DeFi з літа отримали щедрі винагороди, мають достатньо коштів для постійних інвестицій у створення глибших конкурентних бар'єрів. З іншого боку, це також демонструє іншим проектам і підприємцям у галузі важливий аспект аудиту: аудиторська робота не є простою схемою "оплатити-найняти-видати звіт-просувати", а повинна мати повний комплект "аудиторської концепції" та методології. Проектам потрібно розглянути, які продукти потребують аудиту, як вибрати постачальника, як забезпечити ефективність аудиторської роботи, а також як завершити аудит найбільш економічно вигідним і безпечним способом.

Ця стаття розгляне, яким має бути ідеальне "бачення аудиту" з точки зору реального підприємництва та управління проектами.

Огляд постачальників послуг безпеки

Протягом останніх 2-3 років кількість доступних постачальників аудиту зросла експоненціально, на ринку є приблизно 15-20 поширених постачальників аудиту. Виходячи з досвіду та спілкування з колегами, беручи до уваги репутацію, технічні можливості та повноту покриття, деякі постачальники, такі як Peckshield, SlowMist, Trail of bits та OpenZeppelin, можуть вважатися першою ланкою.

В цілому, постачальники з китайським бекграундом все ще є пріоритетом для китайських проектів у криптоіндустрії, основними перевагами є безперервна комунікація та зручність мови, ціни також відносно розумні, зазвичай становлять від 12 000 до 15 000 доларів США на людину на тиждень, що може коливатися в залежності від сезонності ринку. На відміну від цього, зарубіжні постачальники мають нижчу впізнаваність у китайських проектах, але через брендовий преміум, ресурси команди засновників або технічні можливості, ціни зазвичай вищі на 1,5-2 рази. Деякі зарубіжні постачальники навіть можуть отримувати великі замовлення, наприклад, одна платформа колись найняла OpenZeppelin для аудиту за ціною понад мільйон доларів США за квартал.

Окрім традиційних постачальників аудиту, існує також клас постачальників послуг "білих капелюхів", таких як деякі платформи для винагороди за вразливості. Ця модель є зрілою справою у традиційній сфері безпеки, яка з'явилася в криптоіндустрії протягом останніх двох років. Проектні команди публікують на платформі модулі, які вони хочуть, щоб були перевірені, такі як фронтенд, бекенд, смарт-контракти тощо (, визначаючи ступінь серйозності помилки та відповідну винагороду, щоб залучити "білих хакерів" до активного звітування про проблеми. Це може бути корисним доповненням до традиційного аудиту, але вимагає від проектних команд точної ідентифікації категорій помилок, рівня та обсягу, а також надання розумної винагороди.

Процес аудиту, методологія та контроль витрат

Для проектної команди перед першим зверненням до аудитора необхідно підготувати наступне:

1. Забезпечте, щоб внутрішньо було проведено принаймні два раунди тестування, якщо можливо, краще провести ще один раунд публічного тестування в спільноті, щоб уникнути paying for obvious issues.

2. Якомога більше упакуйте код відповідно до етапів проєкту, щоб одноразово передати на аудит для контролю витрат.

3. Забезпечте, щоб особа, яка займається інтеграцією, розуміла загальний принцип роботи продукту, приблизну кількість коду та основну розподіл модулів, щоб уникнути неясностей у вимогах на етапі початкового налаштування.

4. Порівняти графіки різних постачальників, для важливих продуктів врахувати платну фіксацію графіка.

Незважаючи на велику кількість постачальників на ринку, розклади у кожного з них суттєво відрізняються. Рекомендується надсилати запити на оцінку принаймні трьом аудиторам для однієї й тієї ж коду, щоб отримати інформацію про графік, ціну та оцінку обсягу роботи. Щодо важливих продуктів, рекомендується сплатити 30%-50% вартості наперед для фіксації термінів, щоб уникнути затримок. Зазвичай китайські постачальники рекомендують бронювати за 2-4 тижні наперед, а закордонні постачальники - щонайменше за місяць.

Після підтвердження графіку та报价, код проекту передається аудитору для початку перевірки. У процесі відповідальний аудитор обговорює питання з командою проекту. Контактна особа проекту зобов'язана підтримувати гарну комунікацію з аудитором та забезпечити:

1. Аудит проводиться в строк.
2. Попередній звіт про аудит має бути переглянутий принаймні двома технічними спеціалістами команди проєкту, а потім узгоджений з аудиторами для визначення, чи є він остаточним.
3. Створити канал групового чату між ключовими технологіями проекту, продуктами, людьми та аудиторами, які фактично проводять код-рев'ю.
4. Слідкуйте за звітами про безпекові інциденти, опублікованими іншими аудиторами, активно спілкуйтеся з аудиторами щодо можливих пов'язаних проблем.

Команда проекту повинна мати чітку позицію, помірно зберігаючи контроль.

Аудиторські компанії в основному зосереджуються на якості коду, логіці та безпеці, рідко займаючись зв'язком коду з бізнесом. Іноді коригування логіки коду або безпеки може вплинути на бізнес-логіку.

Наприклад, для ключових модулів, таких як оновлення прав контракту, коригування ставок, випуск токенів тощо, з точки зору раннього розвитку бізнесу, насправді потрібно, щоб ключові учасники проекту могли контролювати їх окремо, щоб своєчасно вносити корективи в умовах зміни ринку або раптових безпекових інцидентів, а не лише переслідувати контроль за допомогою мультипідпису, що вплине на здатність проекту адаптуватися в кризовий час.

Раціональне збереження "задніх дверей" або "суперправ" стосується не лише самого проєкту, але й може вплинути на виживання всієї галузі. Уявіть собі, якщо деякі біржі не вжили термінових заходів, деякі стейблкоїни не призупинили викуп, а деякі публічні блокчейни не провели "обслуговування мережі", ситуація в галузі могла б бути зовсім іншою.

Постійне спілкування та обмін сприяють довгостроковій безпеці

Послуги аудиторів можуть виявити проблеми, але не можуть гарантувати 100% безпеку, інциденти безпеки можуть статися в будь-який час. З одного боку, проектна сторона повинна активно спілкуватися з аудиторською компанією, обговорюючи, як обробити ), що може включати компенсацію, безкоштовний повторний аудит, повернення коштів тощо (. З іншого боку, виявлення та виправлення кожної вразливості безпеки стосується прогресу всього сектору. За відсутності ключових комерційних інтересів рекомендується всім проектним сторонам спільно з аудиторськими компаніями публічно переглядати подібні проблеми, що допоможе галузі поділитися вищими стандартами безпеки, а в довгостроковій перспективі також знизить вартість аудиту для кожного проекту.

Проектна рада повинна мати хакерське мислення, приділяти увагу силі спільноти

Аудит є тривалою фінансовою війною та важливим бар'єром у конкуренції проектів. З одного боку, слід постійно інвестувати кошти між кожним етапом продукту, наймаючи відомих, надійних зовнішніх аудиторів для покриття можливих безпекових вразливостей. З іншого боку, також слід звертати увагу на сили спільноти, заохочуючи спільноту білих капелюхів брати участь у забезпеченні безпеки проекту.

Автор успішно запросив члена спільноти-білого капелюха за винагороду в близько 30 тисяч доларів, щоб допомогти налагодити та виправити контракт, що управляє мільйонами доларів.

Крім того, намагайтеся використовувати вже зрілі контракти, а не шукати нові шляхи, що також є ефективним способом зниження витрат і підвищення ефективності.

Висновок

Поріг входу в криптоіндустрію значно зріс, фінансування в кілька мільйонів доларів наразі не є рідкістю на сучасному ринку. Як видно з попередньої дискусії, насправді підтримати надійний, безпечний та стабільний децентралізований додаток надзвичайно складно, навіть провідні додатки в індустрії не можуть гарантувати абсолютну безпеку.

Тому, з точки зору контролю витрат, кожен стартап повинен намагатися інтегрувати наявні зрілі інфраструктури при виборі контрактів і моделей, уникаючи повторного винаходу колеса. Існуючі децентралізовані біржі, платформи кредитування, агрегатори доходу, ліквідне заставлення та повторне заставлення, навіть категорії похідних інструментів, синтетичних активів тощо мають групу зрілих доступних базових інфраструктур, які нові проекти можуть повторно використовувати та вбудовувати. Це не лише знижує витрати на безпеку проекту, а й ефективно підвищує безпеку самого проекту, забезпечуючи еволюцію системи безпеки в міру оновлення об'єктів повторного використання.

З точки зору всієї галузі, забезпечення повної безпеки вимагає спільних зусиль і внесків усіх учасників ринку.

Для аудитора: 1) слід остерігатися можливих хитрощів з боку проекту, наприклад, використання версій коду, що відрізняються від фактично запущених, для аудиту. Рекомендується повторно перевірити фактичну версію коду після офіційного розгортання проекту. 2) можна розглянути можливість дослідження моделі, що поєднує страхування, щоб забезпечити механізм виплати компенсацій за страховими випадками для клієнтів, які замовляють великі послуги, захищаючи права проекту. 3) ширше публікувати приклади аудиту та досвід налагодження. Аудиторська галузь подібна до медичної, загальний прогрес залежить як від довгострокових інвестицій у наукові дослідження, так і від накопичення прикладів. З цього боку, "PR-аудит", який часто жартома згадується користувачами, також є одним із двигунів прогресу в галузі, принаймні, він дозволяє більше прикладів аудиту ділитися в індустрії.

Для користувачів: 1) слід вживати заходів безпеки, таких як розділення гарячих і холодних гаманців, використання спеціальних адрес гаманців для різних децентралізованих додатків, регулярне очищення невідомих дозволів, уникання операцій з незнайомими аірдропами токенів тощо. 2) високовартісні користувачі повинні виробити звичку регулярно перевіряти звіти про безпеку, опубліковані різними аудиторськими компаніями, та бути насторожі щодо поширених ризиків безпеки.