DeFiプロジェクトに投資する前に、あなたは必ず「CertiK監査を通過しました」といった宣伝を見たことがあるでしょう。しかし、audit reportは本当にそれほどの価値があるのでしょうか?今日はsmart contractの監査の裏側を探ってみましょう。
想像してみてください、あなたが1000万ドルをコードにロックしているとします。このコードにバグがあった場合、お金は直接消えてしまいます——ブロックチェーン取引は不可逆で、後悔することはできません。
歴史上最も有名な反面教材は、2016年にThe DAOがハッカーに攻撃され、直接6000万ドル相当のETHが奪われた事件です。この事故はEthereumがハードフォークを強いられる結果となりました。それは単なる再入(re-entrancy)脆弱性によるものでした。
だから、お金が盗まれるのを待つよりも、数千から数万ドルをかけて専門チームに事前にリスクを排除してもらった方が良い。これが監査の価値です。
完全な監査は通常4つのステップに分かれます:
第一歩:プロジェクトチームはスマートコントラクトのコード(通常はSolidityで書かれている)を監査会社に提出し、この契約が何をするのか、どれだけのお金を処理するのかを伝えます。
第二ステップ:監査チームが自動スキャンツールを実行し、手動コードレビューを行い、さまざまな攻撃シナリオをシミュレーションします。ここで、critical(致命的な)からminor(些細な)までのさまざまな問題が発見されます。
第三ステップ:監査会社がプロジェクト側に初稿報告書を出し、すべてのバグを列挙します。この時、プロジェクト側は修正するか、修正しない理由を提示する必要があります(この理由は非常に重要です)。
第4ステップ:プロジェクトチームが修正を終えたら、監査会社が最終報告書を発行します。報告書には、どの問題が解決されたか、どの問題がまだ存在するかを明確に示す必要があります。
一般的なバグのいくつかの種類:
コードがひどく書かれているので、毎回のインタラクションでガス代がかかる。Ethereumのようなガス代が高いネットワークでは、コードを最適化することでユーザーが大きな金額を節約できる。監査チームはその余分な操作や不必要なストレージ呼び出しを見つけ出し、最適化の提案を行う。
スマートコントラクト自体だけでなく、監査は見るでしょう それを実行するネットワーク(例えばBSC、Polygon)にはリスクがありますか?フロントエンドのウェブサイトはハッキングされる可能性がありますか?APIインターフェースは安全ですか?いくつかのプロジェクトはフロントエンドが攻撃され、ユーザーのウォレットが悪意のあるコントラクトに直接接続されることがあります。この責任は誰にあるのでしょうか?
正式な監査報告書は問題を深刻度に応じて分類します:
報告は各問題の具体的な位置、なぜそれが問題なのか、どう修正するのかを列挙します。良い報告はコードの例も添付します。
###サーティキック
Web3監査市場のトップは、数百のプロジェクトを監査してきました。PancakeSwapやBinanceエコシステムの多くのプロジェクトは彼らによって監査されています。CertiKはまた、ランキングを公開しており、任意のプロジェクトの監査スコアを確認できます。
Ethereumの共同創設者Joseph Lubinの背後にある会社で、主にEthereumエコシステムの監査を行っています。彼らはまた、EVM契約の一般的な脆弱性を対象とした自動スキャンツールを提供しています。
小規模なプロジェクトは3000-5000ドルで完了できる場合がありますが、大規模なプロジェクトは1万ドル以上から始まります。監査会社の知名度が高く、プロジェクトが複雑であればあるほど、価格は高くなります。
現在、"正規軍"として見なされたいプロジェクトは基本的に監査を行う。しかし、これにより一つの問題が生じた:監査報告書を取得することはもはや投資の必要条件ではなく、むしろ基本的な構成要素になってしまった。
だから、監査があるかどうかを見るだけではそれほど価値がなくなった。あなたが実際にすべきことは:
監査報告書は投資決定の参考データの一つに過ぎず、聖書ではありません。頭で考えてみることが、常に最良のリスク管理です。
24.91K 人気度
22.05K 人気度
22.37K 人気度
33.02K 人気度
22.5K 人気度
スマートコントラクト監査:あなたの投資保証それとも知能税?
DeFiプロジェクトに投資する前に、あなたは必ず「CertiK監査を通過しました」といった宣伝を見たことがあるでしょう。しかし、audit reportは本当にそれほどの価値があるのでしょうか?今日はsmart contractの監査の裏側を探ってみましょう。
なんで監査が必要なのか?
想像してみてください、あなたが1000万ドルをコードにロックしているとします。このコードにバグがあった場合、お金は直接消えてしまいます——ブロックチェーン取引は不可逆で、後悔することはできません。
歴史上最も有名な反面教材は、2016年にThe DAOがハッカーに攻撃され、直接6000万ドル相当のETHが奪われた事件です。この事故はEthereumがハードフォークを強いられる結果となりました。それは単なる再入(re-entrancy)脆弱性によるものでした。
だから、お金が盗まれるのを待つよりも、数千から数万ドルをかけて専門チームに事前にリスクを排除してもらった方が良い。これが監査の価値です。
監査プロセスはどのように進むのですか?
完全な監査は通常4つのステップに分かれます:
第一歩:プロジェクトチームはスマートコントラクトのコード(通常はSolidityで書かれている)を監査会社に提出し、この契約が何をするのか、どれだけのお金を処理するのかを伝えます。
第二ステップ:監査チームが自動スキャンツールを実行し、手動コードレビューを行い、さまざまな攻撃シナリオをシミュレーションします。ここで、critical(致命的な)からminor(些細な)までのさまざまな問題が発見されます。
第三ステップ:監査会社がプロジェクト側に初稿報告書を出し、すべてのバグを列挙します。この時、プロジェクト側は修正するか、修正しない理由を提示する必要があります(この理由は非常に重要です)。
第4ステップ:プロジェクトチームが修正を終えたら、監査会社が最終報告書を発行します。報告書には、どの問題が解決されたか、どの問題がまだ存在するかを明確に示す必要があります。
監査は何を調査するのか?
1. セキュリティホール(これはメインディッシュです)
一般的なバグのいくつかの種類:
2. ガス効率
コードがひどく書かれているので、毎回のインタラクションでガス代がかかる。Ethereumのようなガス代が高いネットワークでは、コードを最適化することでユーザーが大きな金額を節約できる。監査チームはその余分な操作や不必要なストレージ呼び出しを見つけ出し、最適化の提案を行う。
3. プラットフォームのセキュリティ脆弱性
スマートコントラクト自体だけでなく、監査は見るでしょう それを実行するネットワーク(例えばBSC、Polygon)にはリスクがありますか?フロントエンドのウェブサイトはハッキングされる可能性がありますか?APIインターフェースは安全ですか?いくつかのプロジェクトはフロントエンドが攻撃され、ユーザーのウォレットが悪意のあるコントラクトに直接接続されることがあります。この責任は誰にあるのでしょうか?
監査報告はどのようなものですか?
正式な監査報告書は問題を深刻度に応じて分類します:
報告は各問題の具体的な位置、なぜそれが問題なのか、どう修正するのかを列挙します。良い報告はコードの例も添付します。
誰がこのビジネスをしているのですか?
###サーティキック
Web3監査市場のトップは、数百のプロジェクトを監査してきました。PancakeSwapやBinanceエコシステムの多くのプロジェクトは彼らによって監査されています。CertiKはまた、ランキングを公開しており、任意のプロジェクトの監査スコアを確認できます。
ConsenSysのディリジェンス
Ethereumの共同創設者Joseph Lubinの背後にある会社で、主にEthereumエコシステムの監査を行っています。彼らはまた、EVM契約の一般的な脆弱性を対象とした自動スキャンツールを提供しています。
監査にはいくらかかりますか?
小規模なプロジェクトは3000-5000ドルで完了できる場合がありますが、大規模なプロジェクトは1万ドル以上から始まります。監査会社の知名度が高く、プロジェクトが複雑であればあるほど、価格は高くなります。
最後の言葉
現在、"正規軍"として見なされたいプロジェクトは基本的に監査を行う。しかし、これにより一つの問題が生じた:監査報告書を取得することはもはや投資の必要条件ではなく、むしろ基本的な構成要素になってしまった。
だから、監査があるかどうかを見るだけではそれほど価値がなくなった。あなたが実際にすべきことは:
監査報告書は投資決定の参考データの一つに過ぎず、聖書ではありません。頭で考えてみることが、常に最良のリスク管理です。