Посібник з аудиту DeFi проектів: як вибрати безпечну компанію та встановити ефективний погляд на аудит

У криптоіндустрії аудит є надзвичайно важливим для забезпечення цілісності та безпеки проєктів. Спостереження показують, що провідні проєкти в галузі, такі як певний ліквідний стейкінг-протокол та певна платформа для кредитування, зазвичай витрачають на аудит до семи цифр у доларах і часто наймають кілька аудиторських компаній для перевірки одного й того ж коду продукту.

Це, з одного боку, відображає те, що провідні проекти в індустрії Децентралізовані фінанси мають достатньо коштів, щоб продовжувати інвестувати в створення конкурентних бар'єрів; з іншого боку, це демонструє іншим проектам і підприємцям в індустрії складність аудиторської роботи: аудит - це не простий процес "оплата - найм - звіт - реклама", а потребує цілого комплексу "аудиторських поглядів" і методології. У цій статті ми розглянемо, якими мають бути ідеальні "аудиторські погляди" з точки зору практики проектів та підприємництва.

Огляд постачальників послуг безпеки

Протягом останніх 2-3 років кількість постачальників аудиту зростає експоненціально, на ринку є близько 15-20 відомих аудиторських компаній. Згідно з досвідом та галузевими обговореннями, враховуючи репутацію, технічні можливості та повноту охоплення, в Україні та за кордоном є по 2-3 компанії, що входять до першої ліги.

В цілому, постачальники, що належать до китайської діаспори, залишаються основним вибором для китайських проектів у криптоіндустрії, їхня перевага полягає в безперебійній комунікації без часових різниць та економічності пропозицій, які зазвичай становлять 12K-15K доларів США/людина/тиждень. У порівнянні з цим, закордонні постачальники мають меншу присутність у китайській індустрії, але їхні ціни зазвичай вищі на 1,5-2 рази, що часто дозволяє їм отримувати більші замовлення.

Крім того, існує клас платформ "білих шапок", таких як платформи для винагороди за вразливості. Ця модель є корисним доповненням до традиційного аудиту, адже проекти можуть публікувати модулі, що потребують аудиту, та відповідні винагороди на платформі, щоб залучити білих хакерів до активного повідомлення про вразливості.

Процес аудиту та поради щодо економії

Команда проекту перед першим зверненням до аудитора рекомендує підготуватися наступним чином:

1. Провести принаймні 2 раунди тестування всередині, а ще краще - ще один раунд публічного тестування в спільноті.

2. Упаковка коду за етапами проекту, одноразова доставка на аудит, щоб уникнути повторних витрат.

3. Забезпечте, щоб контактна особа розуміла принцип роботи продукту, обсяг коду та основні модулі.

4. Порівняння кількох графіків, важливі етапи можна забронювати за плату.

Рекомендується надіслати запити на оцінку принаймні трьом аудиторам, щоб отримати графік, ціну та оцінку обсягу робіт. Китайським постачальникам рекомендується бронювати за 2-4 тижні наперед, закордонним постачальникам - щонайменше за місяць.

Під час аудиту сторона проекту повинна:

1. Контролювати проміжний прогрес у заплановані терміни.

2. Запросити 2 технічних спеціалістів для перехресної перевірки першої версії звіту.

3. Встановлення прямого каналу зв'язку між основними учасниками проекту та аудиторами.

4. Слідкуйте за звітами про інциденти безпеки в галузі, активно обговорюйте відповідні ризики з аудиторами.

Упередження та компроміси з боку проекту

Аудиторські компанії в основному зосереджуються на якості коду та безпеці, рідше торкаючись бізнес-логіки. Проектна команда повинна знайти баланс між безпекою та бізнес-потребами, наприклад, розумно зберігати певні "задні двері" або "суперповноваження" для реагування на надзвичайні ситуації. Це в деякі критичні моменти може стати питанням виживання проекту або навіть галузі.

Постійна комунікація та обмін досвідом

Аудит не може на 100% гарантувати безпеку, проте випадки безпеки все ще можуть статися. Проектні команди повинні підтримувати зв'язок з аудиторами та обговорювати плани дій. Одночасно, за умови, що це не стосується основних комерційних інтересів, слід заохочувати публічний обмін досвідом вирішення проблем безпеки, що допоможе підвищити загальні стандарти безпеки в галузі.

Увага до сил громади та контролю витрат

Аудит є довготривалою інвестицією та важливим показником конкурентоспроможності проекту. Окрім найму професійних аудиторів, також слід звертати увагу на сили спільноти, наприклад, шляхом винагороди за виявлення вразливостей на платформах для білих капелюхів. Крім того, повторне використання зрілих контрактів є ефективним способом зниження витрат та підвищення безпеки.

Спільні зусилля галузі

Досягнення всебічної безпеки вимагає спільних зусиль усіх учасників ринку:

• Аудитори повинні запобігати можливим шахрайствам проекту, досліджувати моделі поєднання з страхуванням та широко ділитися досвідом аудитів.

• Користувачі повинні формувати хороші звички безпеки, такі як розділення холодних і гарячих гаманців, регулярне очищення авторизацій тощо, і звертати увагу на звіти про безпеку в галузі.

Завдяки постійним зусиллям і накопиченню досвіду з боку всіх учасників, загальний рівень безпеки криптоіндустрії буде постійно підвищуватися.