Guia completo de auditoria de projetos DeFi: como escolher um auditor e estabelecer um sistema de auditoria completo

Guia de Auditoria de Projetos de Finanças Descentralizadas: Como Escolher Empresas Seguras e Estabelecer uma Visão de Auditoria Eficaz

Na indústria de criptomoedas, a auditoria é crucial para garantir a integridade e a segurança dos projetos. Observou-se que projetos líderes no setor, como um determinado protocolo de staking líquido e uma determinada plataforma de empréstimos, costumam investir valores que chegam a sete dígitos em dólares em auditorias, e frequentemente contratam várias empresas de auditoria para revisar o mesmo conjunto de códigos de produtos.

Este aspecto reflete, por um lado, a abundância de recursos dos principais projetos da indústria DeFi, que podem continuar a investir na construção de barreiras competitivas; por outro lado, também demonstra a complexidade do trabalho de auditoria para outros projetos e empreendedores dentro da indústria: a auditoria não é um simples processo de "pagar-contratar-parecer-divulgar", mas sim um conjunto completo de "visão de auditoria" e metodologia. Este artigo irá explorar, a partir da prática de projetos e da perspetiva empreendedora, como deveria ser a ideal "visão de auditoria".

Finanças Descentralizadas创业者经验谈:如何选择安全审计商,该有怎样的"审计观"

Visão Geral dos Prestadores de Serviços de Segurança

Nos últimos 2-3 anos, o número de fornecedores de auditoria cresceu de forma explosiva, com cerca de 15-20 prestadores de serviços de auditoria comuns no mercado. Com base na experiência e na troca de informações do setor, considerando a reputação geral, a capacidade técnica e a abrangência, existem 2-3 empresas tanto no país como no exterior que estão no primeiro escalão.

De uma forma geral, os fornecedores liderados por chineses continuam a ser a principal escolha para projetos em chinês na indústria de criptomoedas, com a vantagem de não haver diferença de horário, fluência na língua e preços mais acessíveis, geralmente entre 12K-15K dólares/pessoa/semana. Em comparação, fornecedores estrangeiros têm uma presença relativamente baixa na indústria em chinês, mas os preços costumam ser 1,5-2 vezes mais altos, muitas vezes conseguindo obter pedidos de maior valor.

Além disso, existe uma classe de plataformas chamadas "comunidades de chapéu branco", como uma plataforma de recompensas por vulnerabilidades, entre outras. Este modelo é um complemento útil à auditoria tradicional, permitindo que as equipes de projeto publiquem módulos a serem auditados e recompensas correspondentes na plataforma, atraindo hackers de chapéu branco a relatar vulnerabilidades.

Processo de Auditoria e Guia de Economia

Antes de solicitar que o auditor realize a primeira revisão, recomenda-se que a equipe do projeto prepare o seguinte:

  1. Realizar pelo menos 2 rodadas de testes internos, de preferência mais uma rodada de testes públicos na comunidade.

  2. Agrupar o código de acordo com os marcos do projeto, entregar a auditoria de uma só vez, evitando custos duplicados.

  3. Assegure-se de que a pessoa de contato compreende os princípios de funcionamento do produto, a quantidade de código e a distribuição dos principais módulos.

  4. Comparar várias programações, pontos importantes podem ser bloqueados mediante pagamento.

Sugere-se enviar pedidos de avaliação a pelo menos 3 empresas de auditoria, para obter prazos, cotações e avaliações de carga de trabalho. Os fornecedores chineses recomendam agendar com 2 a 4 semanas de antecedência, enquanto os fornecedores estrangeiros devem ser agendados com pelo menos 1 mês de antecedência.

Durante o processo de auditoria, a equipe do projeto deve:

  1. Supervisar o andamento intermediário conforme programado.

  2. Arranjar 2 técnicos para rever o relatório inicial de forma cruzada.

  3. Estabelecer um canal de comunicação direto entre os membros principais do projeto e os auditores.

  4. Monitorizar os relatórios de incidentes de segurança na indústria e discutir proactivamente os riscos relevantes com os auditores.

O "preconceito" e as compensações da equipe do projeto

As empresas de auditoria concentram-se principalmente na qualidade e segurança do código, com pouca atenção à lógica de negócios. As equipes de projeto precisam fazer um equilíbrio entre segurança e requisitos de negócios, como manter razoavelmente certas "portas dos fundos" ou "super permissões" para lidar com situações inesperadas. Isso pode ser crucial para a sobrevivência do projeto e até mesmo da indústria em certos momentos críticos.

Comunicação contínua e partilha de experiências

A auditoria não pode garantir 100% de segurança, ainda há a possibilidade de ocorrências de segurança. As equipes de projeto devem manter comunicação com as empresas de auditoria para discutir planos de resposta. Ao mesmo tempo, encoraja-se a partilha pública das experiências de resolução de problemas de segurança, desde que não envolva interesses comerciais fundamentais, ajudando a elevar os padrões de segurança da indústria como um todo.

Valorizar a força da comunidade e o controle de custos

A auditoria é um investimento a longo prazo e uma importante demonstração da competitividade do projeto. Além de contratar auditores profissionais, deve-se também valorizar a força da comunidade, como recompensar a descoberta de vulnerabilidades através de plataformas de hackers éticos. Além disso, a reutilização de contratos maduros é uma forma eficaz de reduzir custos e aumentar a segurança.

Esforços conjuntos da indústria

A realização da segurança total requer o esforço conjunto de todas as partes do mercado:

  • Os auditores devem prevenir possíveis fraudes nos projetos, explorar modelos que combinem com seguros e partilhar amplamente a experiência de auditoria.

  • Os usuários devem desenvolver bons hábitos de segurança, como a separação de carteiras quentes e frias, limpeza regular de autorizações, entre outros, e acompanhar os relatórios de segurança do setor.

Através dos esforços contínuos e da acumulação de experiências de várias partes, o nível geral de segurança da indústria de criptomoedas será constantemente elevado.

Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
  • Recompensa
  • 5
  • Compartilhar
Comentário
0/400
GasWranglervip
· 07-15 02:13
tecnicamente falando, múltiplas auditorias são apenas queimar dinheiro. sub-óptimo af
Ver originalResponder0
SchroedingerAirdropvip
· 07-14 08:14
Sete dígitos, e o que fazer com segurança?
Ver originalResponder0
GateUser-9ad11037vip
· 07-14 08:14
Quer auditar algo confiável com apenas algumas centenas de milhares de dólares?
Ver originalResponder0
GateUser-1a2ed0b9vip
· 07-14 08:12
A taxa de revisão é muito cara, não é?
Ver originalResponder0
HalfBuddhaMoneyvip
· 07-14 08:06
反正都是 fazer as pessoas de parvas quem se importa com a auditoria
Ver originalResponder0
  • Marcar
Faça trade de criptomoedas em qualquer lugar e a qualquer hora
qrCode
Escaneie o código para baixar o app da Gate
Comunidade
Português (Brasil)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)