Audit de contrat intelligent : votre protection d'investissement ou une taxe sur l'intelligence ?

Avant d'investir dans un projet DeFi, vous avez sûrement vu des publicités comme “Audité par CertiK”. Mais un rapport d'audit vaut-il vraiment autant d'argent ? Aujourd'hui, nous allons examiner de plus près les subtilités des audits de smart contracts.

Pourquoi l'audit est-il indispensable ?

Imaginez que vous verrouillez 10 millions de dollars dans un code, et si ce code a un bug, l'argent disparaît directement - les transactions sur la blockchain sont irréversibles, il n'y a pas de retour en arrière.

Le cas le plus célèbre de contre-exemple dans l'histoire est l'attaque par des hackers de The DAO en 2016, qui a directement emporté pour 60 millions de dollars d'ETH. Cet incident a également forcé Ethereum à effectuer un hard fork pour récupérer la situation. Tout cela à cause d'une vulnérabilité de réentrance.

Donc plutôt que d'attendre que l'argent soit volé pour pleurer, il vaut mieux dépenser quelques milliers à des dizaines de milliers de dollars pour engager une équipe professionnelle afin de désamorcer les pièges à l'avance. C'est la valeur de l'audit.

Comment se déroule le processus d'audit ?

Un audit complet se divise généralement en quatre étapes :

Première étape : L'équipe du projet soumet le code du smart contract (généralement écrit en Solidity) à la société d'audit, leur expliquant à quoi sert ce contrat et combien d'argent il doit traiter.

Deuxième étape : l'équipe d'audit exécute des outils de scan automatisés + une révision manuelle du code, tout en simulant divers scénarios d'attaque. Ici, divers problèmes seront découverts - allant de critiques (mortels) à mineurs (insignifiants).

Troisième étape : La société d'audit remet un projet de rapport au porteur de projet, listant tous les bugs. À ce stade, le porteur de projet doit soit corriger, soit fournir une raison expliquant pourquoi il ne corrige pas (cette raison est très importante).

Quatrième étape : Une fois que l'équipe du projet a terminé, la société d'audit envoie le rapport final. Le rapport doit clairement indiquer quels problèmes ont été résolus et lesquels existent encore.

Que vérifie vraiment un audit ?

1. Vulnérabilité de sécurité (c'est le plat principal)

Les types de bugs les plus courants :

• Attaque par réentrance : Un contrat externe appelle votre contrat et en profite pour effectuer un nouvel appel avant que vous n'ayez mis à jour le solde du compte, vidant directement les fonds.
• Dépassement/Underflow d'entier : Lors de l'exécution d'opérations arithmétiques, le dépassement de la plage de valeurs (généralement 18 décimales) entraîne un calcul incorrect des soldes.
• Front-running : Quelqu'un voit que votre transaction d'achat de jetons est encore dans le mempool, il effectue d'abord la transaction pour être le premier à l'enchaîner, profitant de l'arbitrage basé sur l'écart d'information.

2. Efficacité du gaz

Le code est mal écrit, chaque interaction consomme beaucoup de gas. Sur un réseau comme Ethereum où les frais de gas peuvent être exorbitants, optimiser le code peut faire économiser beaucoup d'argent aux utilisateurs. L'équipe d'audit identifiera les opérations superflues et les appels de stockage inutiles, et proposera des recommandations d'optimisation.

3. Vulnérabilités de sécurité de la plateforme

Pas seulement le smart contract lui-même, l'audit va aussi examiner Y a-t-il des risques liés au réseau sur lequel il fonctionne (comme BSC, Polygon) ? Existe-t-il un risque que le site web frontend soit piraté ? L'interface API est-elle sécurisée ? Certains projets ont vu leur frontend attaqué, et les portefeuilles des utilisateurs se sont directement connectés à des contrats malveillants. À qui cela incombe-t-il ?

À quoi ressemble un rapport d'audit ?

Un rapport d'audit formel classera les problèmes par gravité :

• Critique（致命）：un bug pouvant voler directement de l'argent
• Élevé（高危）：peut entraîner une perte de fonds
• Moyen : fonctionnalité anormale mais pas de perte d'argent
• Low/Info (faible risque / information) : problèmes de style de code

Le rapport indiquera également l'emplacement spécifique de chaque problème, pourquoi c'est un problème et comment le résoudre. Un bon rapport inclura également des exemples de code.

Qui fait ce business ?

CertiK

Le leader du marché des audits Web3 a déjà audité des centaines de projets. PancakeSwap et de nombreux projets de l'écosystème Binance sont parmi ceux qu'ils ont audités. CertiK a également publié un classement où vous pouvez consulter le score d'audit de n'importe quel projet.

ConsenSys Diligence

La société derrière Joseph Lubin, co-fondateur d'Ethereum, se concentre principalement sur l'audit de l'écosystème Ethereum. Ils proposent également des outils de scan automatisés, spécialement conçus pour détecter les vulnérabilités courantes dans les contrats EVM.

Combien coûte un audit ?

Les petits projets peuvent être réalisés pour 3000 à 5000 dollars, tandis que les grands projets commencent à plusieurs milliers. Plus la renommée de la société d'audit est grande et plus le projet est complexe, plus le prix est élevé.

Derniers mots

Maintenant, tous les projets qui souhaitent être considérés comme des “forces régulières” font généralement l'audit. Mais cela a également entraîné un problème : obtenir un rapport d'audit n'est plus une condition nécessaire pour investir, mais est plutôt devenu une configuration de base.

Donc, il n'est plus si précieux de simplement regarder s'il y a eu un audit. Ce que vous devriez vraiment faire, c'est :

1. Vérifiez quelle entreprise a effectué l'audit (est-elle bien connue ?)
2. Ouvrez le rapport et voyez combien de bugs critiques ont été découverts (s'il y en a beaucoup, cela signifie que le code est très mauvais).
3. L'équipe du projet a-t-elle sérieusement corrigé ces problèmes (attention à ceux qui évitent de les corriger)
4. Le plus important : ne regardez pas seulement l'audit, mais évaluez également l'arrière-plan de l'équipe du projet, la situation de financement et la taille de la communauté pour un jugement global

Le rapport d'audit n'est qu'une des données de référence pour la décision d'investissement, ce n'est pas une bible. Réfléchissez un peu, c'est toujours le meilleur contrôle des risques.