Auditoria de projetos DeFi: Melhores práticas na perspectiva dos empreendedores
No setor de criptomoedas, a auditoria é crucial para garantir a integridade e a segurança dos projetos. Observações mostram que os principais projetos de Finanças Descentralizadas frequentemente investem milhões de dólares em auditorias e contratam várias prestadoras de serviços para revisar o mesmo código. Isso não apenas reflete a capacidade financeira dos projetos de destaque, mas também revela um ponto importante: a auditoria não deve ser apenas um processo simples, mas deve ter um conjunto completo de conceitos e metodologias.
Este artigo irá abordar, a partir da perspetiva dos empreendedores, como escolher o prestador de serviços de auditoria adequado e quais devem ser as características de uma "visão de auditoria".
Visão Geral dos Prestadores de Serviços de Auditoria
Atualmente, existem cerca de 15 a 20 fornecedores de auditoria comuns no mercado. Entre eles, a Peckshield e a SlowMist no país, assim como a Trail of Bits e a OpenZeppelin no exterior, estão em posição de liderança em termos de força abrangente.
Os fornecedores com base na China continuam a ser a escolha preferida para projetos nacionais, com a principal vantagem de comunicação sem fuso horário e uma boa relação custo-benefício. As suas cotações geralmente rondam os 12.000-15.000 dólares por pessoa por semana. Em comparação, os preços dos fornecedores estrangeiros são geralmente 50%-100% mais altos, mas podem ter vantagens únicas em certos aspectos.
Além das empresas de auditoria tradicionais, existem plataformas da "comunidade dos white hats" como Immunefi e PwnedNoMore. Este modelo pode servir como um complemento benéfico à auditoria corporativa, mas exige que as partes do projeto consigam definir claramente as categorias de problemas e os mecanismos de recompensa.
Processo de Auditoria e Controle de Custos
Para projetos que estão sendo auditados pela primeira vez, recomenda-se seguir os seguintes princípios:
Realizar testes internos adequados para evitar problemas óbvios.
Submeter o código em lotes sempre que possível, reduzindo os custos de auditoria repetida.
Assegure-se de que o ponto de contacto compreenda os princípios do produto e a estrutura do código.
Comparar os cronogramas e cotações de vários fornecedores.
Durante o processo de auditoria, a equipe do projeto deve comunicar-se ativamente com os auditores, garantindo que o progresso avance conforme o previsto. Além disso, é recomendado que vários técnicos revisem cruzadamente o relatório preliminar e mantenham comunicação direta com a equipe de auditoria. Prestar atenção a eventos de segurança no setor também ajuda a identificar riscos potenciais de forma oportuna.
Manter julgamento independente
As empresas de auditoria concentram-se principalmente na qualidade do código e na segurança, com pouca ênfase na lógica de negócios. A equipe do projeto precisa encontrar um equilíbrio entre segurança e flexibilidade. Por exemplo, nas fases iniciais do projeto, os módulos críticos podem precisar manter um certo controle centralizado para lidar com situações de emergência. Um design "backdoor" razoável pode, em certas situações, ser até mesmo crucial para a sobrevivência da indústria.
Melhoria Contínua e Compartilhamento
A auditoria não pode garantir 100% de segurança, acidentes de segurança ainda podem ocorrer. Quando surgem problemas, a equipe do projeto deve se comunicar ativamente com a empresa de auditoria para encontrar soluções. Ao mesmo tempo, compartilhar publicamente questões de segurança e soluções, desde que não envolva interesses comerciais centrais, ajuda a elevar os padrões de segurança em todo o setor.
Valorizar o poder da comunidade
Além de contratar empresas de auditoria profissionais, a equipe do projeto também deve valorizar a força da comunidade. Utilizar plataformas de hackers éticos para recompensar a identificação de vulnerabilidades é um meio eficiente e econômico de complemento. O autor já conseguiu corrigir uma vulnerabilidade em um contrato que gerenciava ativos de um milhão de dólares com uma recompensa de cerca de 30.000 dólares.
Aproveite as soluções maduras
Para projetos iniciais, usar contratos e modelos já verificados sempre que possível pode reduzir significativamente os riscos de segurança e os custos de auditoria. Módulos DeFi comuns como DEX, empréstimos e agregação de rendimentos têm infraestrutura madura e confiável disponível para reutilização. Isso não só reduz os custos, mas também aumenta a segurança do próprio projeto.
Conclusão
A realização de segurança total requer um esforço conjunto de toda a indústria. As empresas de auditoria devem prevenir possíveis comportamentos de engano por parte dos projetos, explorar modelos que combinem com seguros e compartilhar amplamente a experiência de auditoria. Os usuários devem desenvolver bons hábitos de segurança, como a separação de carteiras quentes e frias e a limpeza regular de autorizações. Somente com o esforço conjunto de todas as partes é que se pode continuamente elevar o nível de segurança de toda a indústria.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
13 Curtidas
Recompensa
13
5
Compartilhar
Comentário
0/400
MEVSandwich
· 07-04 06:42
Auditorias desonestas realmente dão dinheiro.
Ver originalResponder0
SybilSlayer
· 07-03 20:07
Nenhuma auditoria cara pode salvar um projeto lixo.
Ver originalResponder0
AirdropHunter
· 07-03 03:12
O cão fino ainda não se atreve a tocar na minha Carteira.
Ver originalResponder0
MeaninglessGwei
· 07-03 03:04
Ainda é melhor comprar Bots para correr antes.
Ver originalResponder0
DefiOldTrickster
· 07-03 02:58
Hehe, a nona foi enganada em dois milhões. Você não está fazendo auditoria antes de doar dinheiro?
Melhores práticas de auditoria de projetos DeFi: como os empreendedores escolhem prestadores de serviços e controlam custos
Auditoria de projetos DeFi: Melhores práticas na perspectiva dos empreendedores
No setor de criptomoedas, a auditoria é crucial para garantir a integridade e a segurança dos projetos. Observações mostram que os principais projetos de Finanças Descentralizadas frequentemente investem milhões de dólares em auditorias e contratam várias prestadoras de serviços para revisar o mesmo código. Isso não apenas reflete a capacidade financeira dos projetos de destaque, mas também revela um ponto importante: a auditoria não deve ser apenas um processo simples, mas deve ter um conjunto completo de conceitos e metodologias.
Este artigo irá abordar, a partir da perspetiva dos empreendedores, como escolher o prestador de serviços de auditoria adequado e quais devem ser as características de uma "visão de auditoria".
Visão Geral dos Prestadores de Serviços de Auditoria
Atualmente, existem cerca de 15 a 20 fornecedores de auditoria comuns no mercado. Entre eles, a Peckshield e a SlowMist no país, assim como a Trail of Bits e a OpenZeppelin no exterior, estão em posição de liderança em termos de força abrangente.
Os fornecedores com base na China continuam a ser a escolha preferida para projetos nacionais, com a principal vantagem de comunicação sem fuso horário e uma boa relação custo-benefício. As suas cotações geralmente rondam os 12.000-15.000 dólares por pessoa por semana. Em comparação, os preços dos fornecedores estrangeiros são geralmente 50%-100% mais altos, mas podem ter vantagens únicas em certos aspectos.
Além das empresas de auditoria tradicionais, existem plataformas da "comunidade dos white hats" como Immunefi e PwnedNoMore. Este modelo pode servir como um complemento benéfico à auditoria corporativa, mas exige que as partes do projeto consigam definir claramente as categorias de problemas e os mecanismos de recompensa.
Processo de Auditoria e Controle de Custos
Para projetos que estão sendo auditados pela primeira vez, recomenda-se seguir os seguintes princípios:
Durante o processo de auditoria, a equipe do projeto deve comunicar-se ativamente com os auditores, garantindo que o progresso avance conforme o previsto. Além disso, é recomendado que vários técnicos revisem cruzadamente o relatório preliminar e mantenham comunicação direta com a equipe de auditoria. Prestar atenção a eventos de segurança no setor também ajuda a identificar riscos potenciais de forma oportuna.
Manter julgamento independente
As empresas de auditoria concentram-se principalmente na qualidade do código e na segurança, com pouca ênfase na lógica de negócios. A equipe do projeto precisa encontrar um equilíbrio entre segurança e flexibilidade. Por exemplo, nas fases iniciais do projeto, os módulos críticos podem precisar manter um certo controle centralizado para lidar com situações de emergência. Um design "backdoor" razoável pode, em certas situações, ser até mesmo crucial para a sobrevivência da indústria.
Melhoria Contínua e Compartilhamento
A auditoria não pode garantir 100% de segurança, acidentes de segurança ainda podem ocorrer. Quando surgem problemas, a equipe do projeto deve se comunicar ativamente com a empresa de auditoria para encontrar soluções. Ao mesmo tempo, compartilhar publicamente questões de segurança e soluções, desde que não envolva interesses comerciais centrais, ajuda a elevar os padrões de segurança em todo o setor.
Valorizar o poder da comunidade
Além de contratar empresas de auditoria profissionais, a equipe do projeto também deve valorizar a força da comunidade. Utilizar plataformas de hackers éticos para recompensar a identificação de vulnerabilidades é um meio eficiente e econômico de complemento. O autor já conseguiu corrigir uma vulnerabilidade em um contrato que gerenciava ativos de um milhão de dólares com uma recompensa de cerca de 30.000 dólares.
Aproveite as soluções maduras
Para projetos iniciais, usar contratos e modelos já verificados sempre que possível pode reduzir significativamente os riscos de segurança e os custos de auditoria. Módulos DeFi comuns como DEX, empréstimos e agregação de rendimentos têm infraestrutura madura e confiável disponível para reutilização. Isso não só reduz os custos, mas também aumenta a segurança do próprio projeto.
Conclusão
A realização de segurança total requer um esforço conjunto de toda a indústria. As empresas de auditoria devem prevenir possíveis comportamentos de engano por parte dos projetos, explorar modelos que combinem com seguros e compartilhar amplamente a experiência de auditoria. Os usuários devem desenvolver bons hábitos de segurança, como a separação de carteiras quentes e frias e a limpeza regular de autorizações. Somente com o esforço conjunto de todas as partes é que se pode continuamente elevar o nível de segurança de toda a indústria.