Audit des projets DeFi : Meilleures pratiques du point de vue des entrepreneurs
Dans l'industrie de la cryptographie, l'audit est crucial pour garantir l'intégrité et la sécurité des projets. Les observations montrent que les meilleurs projets de Finance décentralisée investissent souvent des millions de dollars dans les audits et engagent plusieurs prestataires pour examiner le même code. Cela reflète non seulement la capacité financière des projets leaders, mais révèle également un point important : l'audit ne doit pas être un simple processus, mais doit reposer sur un ensemble complet de concepts et de méthodologies.
Cet article abordera du point de vue des entrepreneurs comment choisir le bon prestataire de services d'audit et quelles devraient être les "perspectives d'audit" appropriées.
Aperçu des fournisseurs de services d'audit
Actuellement, il y a environ 15 à 20 fournisseurs d'audit courants sur le marché. Parmi eux, les entreprises nationales Peckshield et SlowMist, ainsi que les entreprises internationales Trail of Bits et OpenZeppelin, se distinguent par leur force globale.
Les fournisseurs avec un arrière-plan chinois restent le choix principal pour les projets nationaux, leur principal avantage étant la communication sans décalage horaire et un bon rapport qualité-prix. Leurs devis se situent généralement entre 12 000 et 15 000 dollars par personne et par semaine. En revanche, les prix des fournisseurs étrangers sont généralement 50 % à 100 % plus élevés, mais ils peuvent avoir des avantages uniques dans certains aspects.
En plus des entreprises d'audit traditionnelles, il existe des plateformes de "communauté des white hats" comme Immunefi et PwnedNoMore. Ce modèle peut servir de complément utile aux audits de type entreprise, mais il exige que les équipes de projet puissent clairement définir les catégories de problèmes et les mécanismes de récompense.
Processus d'audit et contrôle des coûts
Pour les projets audités pour la première fois, il est recommandé de suivre les principes suivants :
Effectuer des tests approfondis en interne pour éviter les problèmes évidents.
Soumettez le code en masse autant que possible pour réduire les coûts d'audit répétés.
Assurez-vous que l'interlocuteur comprend les principes du produit et la structure du code.
Comparer les plannings et les devis de plusieurs fournisseurs.
Lors du processus d'audit, l'équipe du projet doit communiquer activement avec l'auditeur pour garantir que le progrès avance comme prévu. Il est également recommandé que plusieurs techniciens examinent en croisant le rapport préliminaire et maintiennent une communication directe avec l'équipe d'audit. Une attention particulière portée aux événements de sécurité dans l'industrie peut également aider à identifier rapidement les risques potentiels.
Gardez votre jugement indépendant
Les sociétés d'audit se concentrent principalement sur la qualité et la sécurité du code, avec peu d'implications pour la logique commerciale. Les équipes de projet doivent trouver un équilibre entre la sécurité et la flexibilité. Par exemple, à un stade précoce du projet, certains modules clés peuvent nécessiter de conserver un certain contrôle centralisé pour faire face à des situations imprévues. Une conception "backdoor" raisonnable peut même être cruciale pour la survie de l'industrie dans certains cas.
Amélioration continue et partage
L'audit ne peut garantir une sécurité à 100 %, des incidents de sécurité peuvent toujours se produire. En cas de problème, l'équipe du projet doit communiquer proactivement avec la société d'audit pour trouver une solution. Parallèlement, partager publiquement les problèmes de sécurité et les solutions, sans compromettre les intérêts commerciaux fondamentaux, contribue à améliorer les normes de sécurité de l'ensemble de l'industrie.
Valoriser la puissance de la communauté
En plus d'engager des sociétés d'audit professionnelles, les équipes de projet devraient également accorder de l'importance à la force de la communauté. Utiliser des plateformes de hackers éthiques pour récompenser la découverte de vulnérabilités est un moyen efficace et économique de compléter cette démarche. L'auteur a réussi à corriger une vulnérabilité dans un contrat gérant des actifs de plusieurs millions de dollars avec une récompense d'environ 30 000 dollars.
Utiliser des solutions matures
Pour les projets de démarrage, utiliser autant que possible des contrats et des modèles déjà vérifiés peut réduire considérablement les risques de sécurité et les coûts d'audit. Les modules DeFi courants tels que DEX, le prêt, et l'agrégation de rendement ont tous des infrastructures matures et fiables à réutiliser. Cela réduit non seulement les coûts, mais améliore également la sécurité du projet lui-même.
Conclusion
Pour atteindre une sécurité totale, il faut un effort commun de l'ensemble de l'industrie. Les sociétés d'audit doivent prévenir les comportements frauduleux potentiels des projets, explorer des modèles combinant assurance et audit, et partager largement leurs expériences d'audit. Les utilisateurs doivent adopter de bonnes habitudes de sécurité, comme la séparation des portefeuilles chauds et froids, et le nettoyage régulier des autorisations. Ce n'est qu'avec un effort commun que l'on pourra continuellement améliorer le niveau de sécurité de l'ensemble de l'industrie.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
5
Partager
Commentaire
0/400
MEVSandwich
· 07-04 06:42
Les audits malhonnêtes rapportent vraiment de l'argent.
Voir l'originalRépondre0
SybilSlayer
· 07-03 20:07
Aucun audit, aussi coûteux soit-il, ne peut sauver un projet poubelle.
Voir l'originalRépondre0
AirdropHunter
· 07-03 03:12
Le petit chien n'ose toujours pas toucher mon Portefeuille.
Voir l'originalRépondre0
MeaninglessGwei
· 07-03 03:04
Il vaut mieux acheter des Bots pour prendre de l'avance.
Voir l'originalRépondre0
DefiOldTrickster
· 07-03 02:58
Hehe, la grande tante a été arnaquée de 20 millions. Tu ne fais pas d'audit avant d'envoyer l'argent, n'est-ce pas ?
Meilleures pratiques d'audit des projets de Finance décentralisée : comment les entrepreneurs choisissent des prestataires et contrôlent les coûts
Audit des projets DeFi : Meilleures pratiques du point de vue des entrepreneurs
Dans l'industrie de la cryptographie, l'audit est crucial pour garantir l'intégrité et la sécurité des projets. Les observations montrent que les meilleurs projets de Finance décentralisée investissent souvent des millions de dollars dans les audits et engagent plusieurs prestataires pour examiner le même code. Cela reflète non seulement la capacité financière des projets leaders, mais révèle également un point important : l'audit ne doit pas être un simple processus, mais doit reposer sur un ensemble complet de concepts et de méthodologies.
Cet article abordera du point de vue des entrepreneurs comment choisir le bon prestataire de services d'audit et quelles devraient être les "perspectives d'audit" appropriées.
Aperçu des fournisseurs de services d'audit
Actuellement, il y a environ 15 à 20 fournisseurs d'audit courants sur le marché. Parmi eux, les entreprises nationales Peckshield et SlowMist, ainsi que les entreprises internationales Trail of Bits et OpenZeppelin, se distinguent par leur force globale.
Les fournisseurs avec un arrière-plan chinois restent le choix principal pour les projets nationaux, leur principal avantage étant la communication sans décalage horaire et un bon rapport qualité-prix. Leurs devis se situent généralement entre 12 000 et 15 000 dollars par personne et par semaine. En revanche, les prix des fournisseurs étrangers sont généralement 50 % à 100 % plus élevés, mais ils peuvent avoir des avantages uniques dans certains aspects.
En plus des entreprises d'audit traditionnelles, il existe des plateformes de "communauté des white hats" comme Immunefi et PwnedNoMore. Ce modèle peut servir de complément utile aux audits de type entreprise, mais il exige que les équipes de projet puissent clairement définir les catégories de problèmes et les mécanismes de récompense.
Processus d'audit et contrôle des coûts
Pour les projets audités pour la première fois, il est recommandé de suivre les principes suivants :
Lors du processus d'audit, l'équipe du projet doit communiquer activement avec l'auditeur pour garantir que le progrès avance comme prévu. Il est également recommandé que plusieurs techniciens examinent en croisant le rapport préliminaire et maintiennent une communication directe avec l'équipe d'audit. Une attention particulière portée aux événements de sécurité dans l'industrie peut également aider à identifier rapidement les risques potentiels.
Gardez votre jugement indépendant
Les sociétés d'audit se concentrent principalement sur la qualité et la sécurité du code, avec peu d'implications pour la logique commerciale. Les équipes de projet doivent trouver un équilibre entre la sécurité et la flexibilité. Par exemple, à un stade précoce du projet, certains modules clés peuvent nécessiter de conserver un certain contrôle centralisé pour faire face à des situations imprévues. Une conception "backdoor" raisonnable peut même être cruciale pour la survie de l'industrie dans certains cas.
Amélioration continue et partage
L'audit ne peut garantir une sécurité à 100 %, des incidents de sécurité peuvent toujours se produire. En cas de problème, l'équipe du projet doit communiquer proactivement avec la société d'audit pour trouver une solution. Parallèlement, partager publiquement les problèmes de sécurité et les solutions, sans compromettre les intérêts commerciaux fondamentaux, contribue à améliorer les normes de sécurité de l'ensemble de l'industrie.
Valoriser la puissance de la communauté
En plus d'engager des sociétés d'audit professionnelles, les équipes de projet devraient également accorder de l'importance à la force de la communauté. Utiliser des plateformes de hackers éthiques pour récompenser la découverte de vulnérabilités est un moyen efficace et économique de compléter cette démarche. L'auteur a réussi à corriger une vulnérabilité dans un contrat gérant des actifs de plusieurs millions de dollars avec une récompense d'environ 30 000 dollars.
Utiliser des solutions matures
Pour les projets de démarrage, utiliser autant que possible des contrats et des modèles déjà vérifiés peut réduire considérablement les risques de sécurité et les coûts d'audit. Les modules DeFi courants tels que DEX, le prêt, et l'agrégation de rendement ont tous des infrastructures matures et fiables à réutiliser. Cela réduit non seulement les coûts, mais améliore également la sécurité du projet lui-même.
Conclusion
Pour atteindre une sécurité totale, il faut un effort commun de l'ensemble de l'industrie. Les sociétés d'audit doivent prévenir les comportements frauduleux potentiels des projets, explorer des modèles combinant assurance et audit, et partager largement leurs expériences d'audit. Les utilisateurs doivent adopter de bonnes habitudes de sécurité, comme la séparation des portefeuilles chauds et froids, et le nettoyage régulier des autorisations. Ce n'est qu'avec un effort commun que l'on pourra continuellement améliorer le niveau de sécurité de l'ensemble de l'industrie.