Аудит смарт-контрактов: ваша защита инвестиций или налог на интеллект?

Перед тем как инвестировать в проекты DeFi, вы, безусловно, видели такие рекламные материалы, как “Аудит прошел CertiK”. Но действительно ли audit report стоит таких денег? Сегодня мы разберем тонкости аудита смарт-контрактов.

Почему обязательно проводить аудит?

Представьте себе, что вы заблокировали 10 миллионов долларов в коде, который, если в нем есть ошибка, просто пропадет — транзакции в блокчейне необратимы, нет возможности вернуть назад.

Одним из самых известных отрицательных примеров в истории является хакерская атака на The DAO в 2016 году, в результате которой было украдено ETH на сумму 60 миллионов долларов. Этот инцидент заставил Ethereum провести хард-форк для восстановления. Всё это произошло из-за уязвимости повторного входа (re-entrancy).

Поэтому вместо того чтобы плакать, когда деньги украдены, лучше потратить несколько тысяч до десятков тысяч долларов на профессиональную команду для предотвращения проблем заранее. Вот в чем ценность аудита.

Как проходит процесс аудита?

Полная проверка обычно делится на четыре этапа:

Первый шаг: Разработчики проекта отправляют код смарт-контракта (обычно написанный на Solidity) в аудиторскую компанию, сообщая им, для чего нужен этот контракт и какую сумму он будет обрабатывать.

Шаг 2: Команда аудита запускает автоматизированные инструменты сканирования + ручной обзор кода, одновременно моделируя различные сценарии атак. Здесь будут выявлены различные проблемы — от критических (угрожающих жизни) до незначительных (мелочных).

Шаг третий: Аудиторская компания предоставляет проекту предварительный отчет, в котором перечислены все ошибки. На этом этапе проект должен либо исправить их, либо предоставить обоснование, почему они не будут исправлены (это обоснование очень важно).

Шаг 4: После того как команда проекта внесет изменения, аудиторская компания отправит окончательный отчет. В отчете должно быть четко указано, какие проблемы были решены, а какие еще существуют.

Что именно проверяется в аудите?

1. Уязвимость безопасности (это главное блюдо)

Распространенные виды ошибок:

• Реентрантная атака: Внешний контракт вызывает ваш контракт, воспользовавшись моментом, пока вы еще не обновили баланс счета, и вызывает его снова, в результате чего средства выводятся.
• Переполнение/недостаток целого числа: при выполнении арифметических операций превышен диапазон значений (обычно 18 знаков после запятой), что приводит к полной путанице в расчете баланса.
• Фронт-раннинг (Front-running): Кто-то видит, что ваша сделка на покупку монет еще в мемпуле, он делает сделку первым и добавляет ее в блокчейн, используя информационное преимущество для арбитража.

2. Эффективность газа

Код написан плохо, каждое взаимодействие требует газа. В сети Ethereum, где стоимость газа зашкаливает, оптимизация кода может сэкономить пользователям большие суммы. Аудиторская команда выявит избыточные операции и ненужные вызовы хранилища, предложит рекомендации по оптимизации.

3. Уязвимость безопасности платформы

Не только сам смарт-контракт, аудит также будет смотреть на Есть ли риски для сети, на которой он работает (например, BSC, Polygon), есть ли вероятность взлома фронтенд-сайта, безопасны ли API-интерфейсы? Некоторые проекты подвергались атакам на фронтенд, и кошельки пользователей напрямую подключались к злонамеренным контрактам. На кого это будет записано?

Как выглядит аудиторский отчет?

Официальный отчет аудита классифицирует проблемы по степени серьезности:

• Критический（致命）：ошибка, способная напрямую украсть деньги
• Высокий（高危）：может привести к потере средств
• Средний：функциональные сбои, но не приведут к потере денег
• Низкий/Информация（低危/信息）：проблемы стиля кода

Отчет также укажет конкретное местоположение каждой проблемы, почему это проблема и как ее исправить. Хороший отчет также будет содержать примеры кода.

Кто занимается этим бизнесом?

CertiK

Ведущая компания на рынке аудита Web3 уже провела аудит нескольких сотен проектов. Многие проекты из экосистемы PancakeSwap и Binance прошли их аудит. CertiK также опубликовала рейтинг, в котором вы можете проверить баллы аудита любого проекта.

Добросовестность ConsenSys

Компания, стоящая за соучредителем Ethereum Джозефом Лубином, в основном занимается аудитом экосистемы Ethereum. Они также предоставляют инструменты автоматизированного сканирования, специально нацеленные на поиск распространенных уязвимостей в EVM-контрактах.

Сколько стоит аудит?

Малые проекты могут обойтись в 3000-5000 долларов, большие проекты начинаются от десятков тысяч. Чем известнее аудиторская компания и чем сложнее проект, тем выше цена.

Последние слова

Сейчас, если проект хочет считаться “регулярной армией”, он в основном будет проходить аудит. Но это также привело к одной проблеме: получение аудиторского отчета больше не является необходимым условием для инвестиций, наоборот, оно стало базовой конфигурацией.

Поэтому просто смотреть, были ли аудиты, уже не так ценно. То, что вам действительно следует делать, это:

1. Проверьте, какая компания проводила аудит (насколько она известна)
2. Откройте отчет и посмотрите, сколько критических ошибок (если много, это означает, что код очень плохой)
3. Команда проекта действительно серьезно исправляет эти проблемы (осторожно, если они избегают изменений)
4. Самое важное: не только смотрите на аудит, но и учитывайте фон проекта, финансовое состояние и масштаб сообщества для комплексной оценки

Аудиторский отчет является лишь одним из справочных данных для инвестиционного решения, а не библией. Подумайте, это всегда лучший риск-менеджмент.