Выбрать подходящего аудитора непросто. В этом посте я дам вам несколько советов из собственного опыта о том, как отличить хорошую компанию по аудиту смарт-контрактов от не очень хорошей.
Как сделать первоначальный отбор?
Самый быстрый способ отфильтровать аудиторские компании, которые вам не стоит тратить время, - это посмотреть на имеющиеся у них портфели. Вам или вашей команде нужно будет провести некоторое исследование. Основная задача будет заключаться в том, чтобы проверить, был ли эксплуатирован какой-либо из проверенных компанией проектов. Популярность проверенных проектов также будет важным фактором, поскольку успех проектов означает, что аудиторская компания хорошо поработала со своей стороны. Это потому, что протоколы с огромным объемом ликвидности обязательно привлекут внимание хакеров.
Итак, если вы видите поразительное портфолио, это хороший показатель того, что этот аудитор стоит вашего времени. И когда вы выберете те, которые вам нравятся, следующий совет будет заключаться в оценке качества отчетов.
Признаком хорошего отчета является подробное описание всех обнаруженных проблем и предложения по их устранению. Хорошая команда аудиторов также уделяет пристальное внимание качеству кода. В результате их отчеты подробны и ясны. Если вы обнаружите, что аудиторские отчеты являются поверхностными, это признак непрофессионализма.
Кроме того, то, насколько занят аудитор, может косвенно указывать на качество его работы. Лучшие аудиторы имеют высокий спрос и длинный список заказов, и в большинстве случаев могут предложить вам крайний срок до трех месяцев. Однако готовность компании быстро провести аудит не всегда свидетельствует о ее непопулярности и хорошей репутации на рынке.
Что есть у хороших аудиторов смарт-контрактов?
Хорошие аудиторы смарт-контрактов имеют собственные базы знаний об эксплойтах смарт-контрактов. У них есть собственные системы обучения аудиту смарт-контрактов, и они повышают свою квалификацию за счет ошибок своих коллег и своих собственных.
Когда мы проводим аудит в HashEx, у нас есть как минимум две разные аудиторские группы, работающие над одним и тем же проектом независимо. Это максимизирует эффективность. Кроме того, ведущий аудитор проекта также проверяет результаты на завершающей стадии. Когда дело касается самых сложных случаев, я сам включаюсь в работу над аудитом. И обязательно держать клиента в курсе прогресса. Это стандарт, который хотят видеть клиенты, и которым следуют авторитетные компании, занимающиеся аудитом смарт-контрактов.
Стоит ли приглашать в проект белых хакеров?
Белые хакеры - ценные игроки на рынке DeFi, потому что они снова и снова находят уязвимости в смарт-контрактах, о которых сообщают проектам. Это экономит миллионы долларов США людям и самим проектам. У многих проектов есть программы вознаграждения за ошибки, и мы поощряем наших клиентов также размещать их.
Кроме того, белые хакеры могут указать на некоторые ошибки, которые уже были обнаружены аудиторами, но не исправлены командой проекта. Они могут повысить осведомленность сообщества о существующих уязвимостях в коде проекта и оказать большее давление на владельца проекта с целью их устранения.
Самые большие красные флаги, на которые стоит обратить внимание
Все аудиторы смарт-контрактов допускают ошибки и иногда пропускают эксплойты в коде. Однако, если это происходит снова и снова, это серьезное предупреждение. Если вы узнали, что клиенты компании потеряли средства из-за злонамеренных атак хакеров, вам стоит дважды подумать, прежде чем пользоваться ее сервисом. Если вы чувствуете, что компания что-то скрывает от вас, это также может указывать на обратную сторону свой сервис.
Еще один тревожный сигнал - это сообщения, в которых указывается очень мало проблем или не обнаруживается вообще никаких проблем. Проект, в котором почти или совсем нет проблем, - очень редкая вещь. Несмотря на то, что может показаться надуманным, что будут проблемы с некоторым испытанным и протестированным фрагментом кода смарт-контракта, который был заимствован из другого протокола DeFi, он все же может содержать некоторые неточности, которые не обязательно могут представлять угрозу для людей. средств, но тем или иным образом создают неудобства.
И последняя характеристика, которая будет иметь красноватый цвет, - это анонимные члены команды. Репутация - это главное, что аудит активов использует для привлечения клиентов. Анонимные члены команды - это тревожный знак, который не следует игнорировать потенциальному клиенту, потому что это может означать, что есть некоторые скрытые опасности, от которых они хотят защитить себя. И если это так, то клиенту тоже могут угрожать.
Нижняя линия
Репутация компании - это главное. Если вы собираетесь воспользоваться услугами компании по аудиту смарт-контрактов с плохой репутацией, вы должны сделать это на свой страх и риск. Аудиторские компании с солидной репутацией на рынке обычно берут за свои услуги больше, но это того стоит, если вы готовы платить. За свои деньги вы получите подробный отчет о найденных ошибках или потенциальных эксплойтах и предложения по их устранению. Вы также получите более твердые гарантии качества аудита, потому что лидеры рынка придерживаются самых высоких стандартов в отношении качества своей работы.
А проведение собственного исследования - важная часть выбора аудитора смарт-контрактов. И я надеюсь, что предоставленные мной советы помогут вам и другим людям лучше понять, как сделать этот процесс более плавным.
Источник
