- Tema
54k Popularidad
21k Popularidad
34k Popularidad
31k Popularidad
4k Popularidad
99k Popularidad
29k Popularidad
28k Popularidad
7k Popularidad
18k Popularidad
- Anclado
54k Popularidad
21k Popularidad
34k Popularidad
31k Popularidad
4k Popularidad
99k Popularidad
29k Popularidad
28k Popularidad
7k Popularidad
18k Popularidad
Guía completa de auditoría de proyectos DeFi: cómo elegir un auditor y establecer un sistema de auditoría completo
Guía de auditoría de proyectos DeFi: cómo elegir empresas seguras y establecer una visión de auditoría efectiva
En la industria de las criptomonedas, la auditoría es crucial para garantizar la integridad y seguridad de los proyectos. Se ha observado que los proyectos líderes en la industria, como ciertos protocolos de staking líquido y ciertas plataformas de préstamo, suelen invertir cifras de auditoría que alcanzan hasta siete cifras en dólares, y a menudo contratan a múltiples proveedores de servicios de auditoría para revisar el mismo conjunto de código de productos.
Este aspecto refleja, por un lado, que los proyectos líderes en la industria de las Finanzas descentralizadas cuentan con fondos abundantes, lo que les permite seguir invirtiendo en la construcción de barreras competitivas; por otro lado, también muestra a otros proyectos y emprendedores dentro de la industria la complejidad del trabajo de auditoría: la auditoría no es un simple proceso de "pago - contratar - emitir informe - promocionar", sino que requiere un conjunto completo de "perspectiva de auditoría" y metodología. Este artículo abordará, desde la práctica del proyecto y la perspectiva del emprendimiento, cómo debería ser la ideal "perspectiva de auditoría".
Visión general de los proveedores de servicios de seguridad
En los últimos 2-3 años, el número de proveedores de auditoría ha crecido de manera explosiva, y hay alrededor de 15-20 proveedores de servicios de auditoría comunes en el mercado. Según la experiencia y el intercambio en la industria, tomando en cuenta la reputación global, la capacidad técnica y la integridad de la cobertura, hay 2-3 empresas en la primera fila tanto a nivel nacional como internacional.
En general, los proveedores liderados por chinos siguen siendo la principal opción para los proyectos en chino de la industria cripto, con la ventaja de no tener diferencia horaria, comunicación fluida y precios más económicos, generalmente entre 12K y 15K dólares por persona por semana. En comparación, los proveedores extranjeros tienen una presencia mucho menor en la industria del chino, pero sus precios suelen ser de 1.5 a 2 veces más altos, a menudo logrando órdenes de mayor cantidad.
Además, existe una categoría de plataformas de "comunidad de hackers éticos", como ciertas plataformas de recompensas por vulnerabilidades. Este modelo es un complemento útil a la auditoría tradicional, ya que los desarrolladores pueden publicar módulos pendientes de auditoría y recompensas correspondientes en la plataforma, atrayendo a hackers éticos a reportar vulnerabilidades.
Proceso de auditoría y guía para ahorrar dinero
Antes de solicitar la revisión del auditor por primera vez, se recomienda que el equipo del proyecto realice la siguiente preparación:
Realizar al menos 2 rondas de pruebas internas, y lo mejor sería tener una ronda más de pruebas comunitarias.
Empaquetar el código según los hitos del proyecto, entregar la auditoría de una sola vez, evitando costos duplicados.
Asegúrate de que la persona de contacto entienda el principio de funcionamiento del producto, la cantidad de código y la distribución de los módulos principales.
Comparar varias programaciones, los hitos importantes se pueden bloquear con pago.
Se sugiere enviar solicitudes de evaluación a al menos 3 auditores para obtener cronogramas, cotizaciones y evaluaciones de volumen de trabajo. Se recomienda a los proveedores de habla china reservar con 2-4 semanas de anticipación y a los proveedores extranjeros al menos con 1 mes de anticipación.
Durante el proceso de auditoría, el equipo del proyecto debe:
Supervisar el progreso intermedio según lo programado.
Organizar la revisión cruzada del borrador del informe por parte de 2 técnicos.
Establecer un canal de comunicación directo entre los miembros clave del proyecto y los auditores.
Prestar atención a los informes de incidentes de seguridad en la industria y discutir proactivamente los riesgos relacionados con los auditores.
Los "prejuicios" y compensaciones del equipo del proyecto
Las empresas de auditoría se centran principalmente en la calidad del código y la seguridad, y abordan en menor medida la lógica del negocio. Los equipos del proyecto deben equilibrar la seguridad y las necesidades comerciales, como la retención razonable de ciertas "puertas traseras" o "permisos de superusuario" para hacer frente a situaciones imprevistas. Esto puede ser crucial para la supervivencia del proyecto e incluso de la industria en ciertos momentos clave.
Comunicación continua y compartición de experiencias
La auditoría no puede garantizar la seguridad al 100%, aún pueden ocurrir incidentes de seguridad. Los equipos del proyecto deben mantener comunicación con la empresa de auditoría para discutir planes de respuesta. Al mismo tiempo, se debe fomentar la compartición pública de experiencias en el manejo de problemas de seguridad, siempre que no se comprometan intereses comerciales fundamentales, lo que ayudará a mejorar los estándares de seguridad en toda la industria.
Valorar la fuerza de la comunidad y el control de costos
La auditoría es una inversión a largo plazo y una importante manifestación de la competitividad del proyecto. Además de contratar auditorías profesionales, también se debe valorar la fuerza de la comunidad, como recompensar a través de plataformas de hackers éticos para encontrar vulnerabilidades. Además, reutilizar contratos maduros es también un método eficaz para reducir costos y mejorar la seguridad.
Esfuerzo conjunto de la industria
La seguridad integral requiere el esfuerzo conjunto de todas las partes del mercado:
Los auditores deben prevenir posibles actos de engaño en los proyectos, explorar modelos que combinen seguros y compartir ampliamente experiencias de auditoría.
Los usuarios deben desarrollar buenos hábitos de seguridad, como la separación de billeteras frías y calientes, la limpieza regular de autorizaciones, y prestar atención a los informes de seguridad de la industria.
A través de los esfuerzos continuos y la acumulación de experiencias de todas las partes, el nivel de seguridad general de la industria de las criptomonedas seguirá mejorando.