7 лучших аудиторов смарт-контрактов для проверки вашего смарт-контракта

14 апреля 2023 г.

:::подсказка Я соучредитель и исследователь безопасности из Cyfrin, где мы проводим аудит смарт-контрактов. Это мое личное мнение о ведущих аудиторских фирмах, занимающихся смарт-контрактами, наряду с Cyfrin. Единственный способ масштабирования Web3 — это усиление нашей безопасности, поэтому я хочу убедиться, что другие ведущие фирмы получат то внимание, которого они заслуживают. Аудиторы, не включенные в этот список, не обязательно являются плохим выбором, возможно, я их просто пропустил.

:::

Что такое аудит смарт-контрактов

аудит смарт-контрактов – это код, основанный на безопасности, ограниченный по времени. обзор вашего смарт-контракта / системы Web3. Задача аудитора — найти как можно больше уязвимостей и рассказать клиенту о способах повышения безопасности его кодовой базы в будущем.

Аудиторы используют комбинацию ручных и автоматических инструментов для поиска этих уязвимостей. Однако аудит смарт-контрактов не гарантирует отсутствие ошибок в вашем коде. В конце концов, безопасность вашего протокола является вашей ответственностью и ответственностью вашего аудитора, и иногда может потребоваться несколько аудитов или другие инструменты безопасности.

Профессиональная аудиторская группа может и предоставит вам все необходимые рекомендации, необходимые для дальнейшего продвижения по пути обеспечения безопасности, чтобы вы могли чувствовать себя уверенно при развертывании.

Вы можете узнать больше о что такое аудит смарт-контрактов здесь .

Зачем нам нужен аудит смарт-контрактов

На изображении выше представлена ​​общая сумма в долларах, украденная из DeFi за весь 2022 год, 80 % этой суммы приходится исключительно на DeFi. Согласно DeFillama, текущая заблокированная стоимость всех DeFi составляет 50 миллиардов долларов.

Это означает, что более 6% всей стоимости DeFi было взломано!

Если мы хотим, чтобы блокчейн и DeFi пришли в массы, они не должны беспокоиться о том, что существует 6%-ная вероятность того, что они проснутся и обнаружат, что их средства эксплуатируются. Мы должны добиться большего.

Вот почему аудит так важен:

• Защитите свой протокол
• Помогите Web3 завоевать авторитет
• Обучите свою команду передовым методам работы.

Этот последний пункт я называю скрытым преимуществом аудита смарт-контрактов. Проведение аудита и работа с группой экспертов по безопасности и смарт-контрактам могут улучшить навыки вашей команды в разработке протоколов. Они должны сообщать вам об уязвимостях и обучать вашу команду тому, как их улучшить. В конце концов, они эксперты по безопасности и разработчикам!

Как выбрать аудитора смарт-контрактов

1. Понимать набор навыков аудитора
2. Узнайте свою цену
3. Понять их методологию

Понимать набор навыков аудитора

Вы хотите убедиться, что аудитор выполнил работу в домене, в котором вы хотите провести аудит. Если вы хотите провести аудит Соланы и работаете с группой специалистов EVM, у вас будут плохие времена.

Возможно, вам нужен аудит DeFi, и вы работаете с фирмой, которая понимает только NFT; это также путь к катастрофе.

Простой способ узнать, какие проекты может выполнять аудитор, — просмотреть список его предыдущих аудитов. У большинства аудиторов есть несколько общедоступных аудиторских проверок, демонстрирующих их работу, и вы можете решить, основываясь на их прошлом, подходят ли они вам.

Узнайте свою цену

Крупные фирмы часто обходятся дороже, чем мелкие фирмы и независимые аудиторы. Как правило, вы можете найти «более дешевые» аудиты у небольших компаний и независимых аудиторов, но качество может быть разным.

Однако я видел тонну фантастических соло-одиторов, так что не сбрасывайте со счетов соло-одитора, который хочет одитировать ваш протокол.

Цены сильно различаются в зависимости от аудиторов, поэтому уясните следующий момент, чтобы получить наилучшее представление о цене.

Понять их методологию

https://www.youtube.com/watch?v=A-T9F0anN1E&embedable =правда

Прежде чем заблокировать какой-либо платеж, необходимо проверить следующее:

• Кто именно из аудиторов будет проводить аудит
• Какие инструменты они будут использовать (фаззинг, формальная проверка и т. д.)
• Если им нужен канал связи между вашими разработчиками и аудиторами

80 % взломов не поддаются машинному аудиту и часто происходят из-за плохой реализации бизнес-логики. По этой причине аудиторам необходимо как можно больше контекста в виде:

• Документация
• Канал вопросов и ответов с разработчиками
• Код Natspec

Если аудитор не сообщает вам, кто проводит аудит, какие инструменты он использует, или не хочет иметь прямую связь между разработчиками вашего протокола и аудиторами, есть большая вероятность, что он это сделает. некачественная работа.

Кроме того, я считаю, что аудиторы должны попытаться улучшить ваш набор тестов с помощью нечеткие/свойственные/инвариантные тесты, но это не обязательно.

Как подготовиться к аудиту смарт-контрактов

Представьте, что два случайных разработчика кладут на ваш стол 5 000 строк кода, которого вы никогда не видели, и говорят вам, что через две недели код нужно очистить и привести в порядок.

<цитата>

Разработчик А говорит вам, что должен делать код, у него есть набор тестов, и он говорит: "Не стесняйтесь задавать мне любые вопросы, которые могут у вас возникнуть!"

Разработчик Б говорит: "Не разговаривайте со мной, пока не закончите".

Ваша проверка кода разработчика А будет в 100 раз лучше, чем у разработчика Б. Будьте как разработчик А.

Чтобы получить максимальную отдачу от аудита, необходимо:

1. Имейте четкую документацию
2. Надежный набор тестов (в идеале, включающий нечеткие тесты)
3. Код должен быть прокомментирован & читаемый
4. Соблюдение современных передовых практик.
5. Канал связи между разработчиками и аудиторами
6. Вы готовы сделать начальный видеообзор кода.

Вы хотите думать о себе и своем аудиторе как о команде, чтобы получить наилучшие результаты от вашего аудита. Один из лучших способов сделать это — создать специальный канал, где аудиторы могут задавать вопросы разработчикам.

Кроме того, чем больше контекста, документации и информации они могут прочитать, тем лучше. Убедитесь, что любой может легко просмотреть ваш код и понять, что он должен делать. 80 % всех ошибок связаны с проблемами бизнес-логики, поэтому аудиторам нужно больше понимать, что должен делать протокол, чем сам код!

Подробнее о процессе аудита смарт-контрактов можно узнать здесь.

Лучшие аудиторы смарт-контрактов

Я хотел убедиться, что у вас есть весь этот контекст, прежде чем предоставить вам этот список, потому что я видел протоколы, которые требуют аудита по одной из двух причин:

1. Маркетинг
2. Безопасность и безопасность Маркетинг

Будь как номер 2. Получение «одного» аудита и одинаковое отношение ко всем аудитам может показаться заманчивым, но не следует этого делать. Вы хотите относиться к аудиту так, как если бы вы и ваш аудитор объединились для защиты вашего кода.

Вот он, мой список 7 лучших аудиторов в произвольном порядке, и почему я считаю их лучшими аудиторами.

Цифрин

Как человек, который хочет увидеть успех Web3, я был в ярости от состояния безопасности в Web3. 3,8 миллиарда долларов, потерянных в 2022 году, — это ужасающая статистика, поэтому я почувствовал себя обязанным вмешаться и помочь защитить DeFi и блокчейн.

:::информация Имейте в виду, что я являюсь соучредителем Cyfrin.

:::

В команде Cyfrin работают лучшие инженеры и аудиторы, например:

• Ханс | Аудитор № 1 по версии Code4rena
• Алекс | Бывший инженер Chainlink Labs, отвечающий за интеграцию DeFi на сумму более 5 млрд долларов
• 0Kage | Лучший финишер Code4rena и опытный финтех-инженер
• Карлос | Code4rena Top Finisher & Инженер-эксперт по Solidity
• Гио | Инженер-эксперт по Solidity
• Патрик | Самое популярное обучающее видео по Solidity за все время

Мы стремимся найти как можно больше ошибок и найти способы улучшить вашу кодовую базу и набор тестов.

Безопасность Web3 нуждается в новом повествовании, и мы рады продвинуть пространство безопасности вперед. На момент написания этой статьи нас было немного, так как мы запустились всего 2 месяца назад!

Вы можете найти список важных аудитов (и наборов навыков) для Cyfrin здесь, включая интеграцию Beanstalk Wells и LinkPool.

След битов

Я всегда советую людям проверить Trail of Bits. Это одна из фирм, занимающихся безопасностью Web3, постоянно повышающая планку в практическом смысле. Они не просто проводят аудит, они также предоставляют вам все инструменты, необходимые для успешной защиты смарт-контрактов.

Команда Trail of Bits создает некоторые из самых популярных и широко используемых инструментов, таких как:

• Скольжение
• Мантикора
• Ехидна
• Свойства

И многое другое. Они посвящены обучению в сфере Web3, а также предлагают массу бесплатного образовательного контента и блогов.

https://www.youtube.com/watch?v=3pWYvtx_sjA&embedable=true

Trail of Bits – это большая группа, которая не без оснований постоянно оценивает одну из лучших фирм в Web3, и я определенно отношу себя к фанатам.

Вы можете найти список известных аудитов (и наборов навыков) для Trail Of Bits здесь, таких как Uniswap, Yearn и Соединение.

ОпенЦеппелин

OpenZeppelin — еще одна группа, которая постоянно расширяет границы, повышая уровень Web3, поэтому я большой поклонник их работа. Контракты OpenZeppelin — это стандартная библиотека надежности, которую используют 95 % остальных участников Web3 и которым доверяют для создания своих смарт-контрактов.

Вы должны держаться за каждый отчет, который вы читаете, от команды OpenZeppelin как за золото, поскольку информация, которую они предоставляют, является одной из лучших в бизнесе, а их команда постоянно поднимает планку безопасности.

OpenZeppelin — это большая группа, используемая некоторыми ведущими протоколами в этой области, такими как Aave, Optimism и Compound.

Я действительно не могу достаточно высоко оценить навыки этой команды.

Здесь вы можете найти список важных аудитов (и наборов навыков) для OpenZeppelin.

Консенсус усердие

Входит в состав команды Consensys, одной из самых известных групп в Web3, стоящей за такими проектами, как Metamask, Infura и Truffle, их безопасностью. команда тоже первоклассная. Это большая группа с отличным послужным списком.

Команда Diligence — еще одна команда, которая ценит мощный фаззинг и недавно выпустила продукт фаззер как услуга. Для меня это свидетельствует о том, что они не только понимают безопасность, но и понимают, как масштабировать безопасность во всем Web3. Вы можете сказать, когда группа заботится, когда они делают инструменты и инструменты; образовательный материал, который сделает вашу жизнь лучше, а не копит все это для себя.

Кроме того, у них есть инструмент формальной проверки (аналогичный Trail of Bits), если вы хотите пройти лишнюю милю.

Здесь вы можете увидеть список аудитов Consensys Diligence, включая Aragon, RocketPool и Fei.

SpearbitDAO

Spearbit – это децентрализованная сеть экспертов по безопасности, которая встряхивает игру.

В отличие от традиционных аудиторских фирм, в которых работают команды специалистов по безопасности, работающих на полную ставку, Spearbit привлекает лучшие кадры со всей экосистемы Web3, чтобы собрать наилучшую команду.

Теперь вы можете подумать: "Подождите, а не изменится ли качество, если у них разные аудиторы в разных проектах?", однако это не помешало им постоянно оставаться одними из лучших в бизнесе.

SpearbitDAO доказывает, что идея децентрализации работает, поскольку многие ведущие аудиторы и исследователи работают в одиночку, поэтому периодическое объединение их в одну группу делает их еще лучше!

Вы можете увидеть список проверок SpearbitDAO здесь, включая SudoSwap, LooksRare и ArtGobblers.

Демазинг

Менее известная группа, я видел потрясающие отчеты только от команды Dedaub, и меня немного смущало, почему так о них мало кто знает.

Это еще одна команда, которая предоставляет больше, чем просто аудит безопасности, с библиотеками кодирования и полезной альфа-версией для социальных сетей.

Как бывший инженер Chainlink (технически бывший DevRel), я был свидетелем того, что эта команда может сделать во время аудита.

Вы можете увидеть список проектов, с которыми они работали, включая Chainlink, Liquity и Blur.

Доверие

Trust — аудитор-одиночка, неизменно занимающий верхние строчки в списках лидеров по аудиту, и он проделал фантастическую работу по обучению всего Web3. Я особенно хотел выделить его, чтобы сказать, что вам не всегда нужно идти с фирмой! Индивидуальные аудиторы часто обходятся дешевле, обладая такими же или большими навыками, как и крупная фирма.

Он прошел курсы аудиторов, постоянно дает красивые отзывов и внес огромный вклад в обеспечение безопасности Web3 самостоятельно!

Я имел удовольствие взять у него интервью, и он дал мне все советы и рекомендации, необходимые для того, чтобы двигаться вперед и стать успешным инженером по безопасности в Web3.

https://www.youtube.com/watch?v=VRK2rLFPU0o&embedable=true

Вы можете просмотреть список здесь, включая The Graph и Vagabond.

Еще

Я хотел, чтобы список был коротким, потому что алгоритму это нравится, но вот еще несколько фирм и индивидуальных аудиторов, которые отлично справляются со своей работой. Дайте мне знать, если вы считаете, что я что-то упустил, и я проведу оценку.

Фирмы

• Сигма Прайм
• MixBytes
• WatchPug
• Халборн
• Code4rena
• Шерлок
• Проверка во время выполнения
• Сертора
• Паладин
• Дедауб

Соло

• Пашов
• 0x52
• obront.eth
• Романбур
• cccz
• Акшай Шривастав
• Kaden.eth

:::информация Также опубликовано здесь.

:::

---

Оригинал