Отдел безопасности Callisto Network!
Перевод статьи на русский язык от Dexaran
Callisto Network как платформа безопасности.
Здесь вы можете найти статью, в которой описаны основы Callisto. Одной из основных целей Callisto было предоставление услуг в качестве стороннего эксперта по безопасности для тех, кто хочет обеспечить безопасность своих инвестиций.
По сути, существует ряд различий между Callisto и обычными аудиторскими компаниями. Основными клиентами аудиторских компаний являются сами разработчики контрактов, которые хотят убедиться, что разработанные ими контракты являются безопасными. Предполагалось, что основными клиентами Callisto будут инвесторы, желающие обеспечить безопасность смарт-контрактов, в которые они хотят вложить свои средства, дабы не стать жертвами хакеров.
Основные вопросы развития Отдела безопасности Callisto.
1. Структура Отдела безопасности.
С самого начала мы полагались на штатную команду аудиторов безопасности. Мы нанимали сотрудников на основании результатов тестовых заданий, которые мы им давали. Однако при таком подходе существует проблема масштабируемости – тестовые задания должны компилироваться и обновляться. Если мы собираемся поддерживать больше сетей (например, ETH, ETC, TRX, EOS и др.) тогда нам нужно будет поддерживать тестовые задачи и по ним, а это, в свою очередь, будет занимать много времени в стремительно развивающейся криптоиндустрии.
У нас также есть цель сформировать открытый рынок для аудитов и аудиторских услуг. Это означает, что мы должны создать структуру, которая позволит аудиторам вносить свой вклад в «стиле фрилансера».
Однако такое решение может повлиять на качество аудитов. В настоящее время каждый аудит проводится не менее тремя штатными аудиторами. Предоставляя третьим лицам возможность участвовать в аудитах, мы рискуем получить отчеты более низкого качества. Поэтому было принято решение, что каждый аудит должен проводиться не менее двумя штатными аудиторами + еще одним штатным либо внештатным аудитором. Таким образом, в каждом аудите будет принимать участие как минимум два доверенных аудитора.
Текущий этап: у нас есть предложение по внедрению экспериментальной системы найма / содействия, которая должна позволить достичь данную цель.
2. Расчет вознаграждения.
Вознаграждения аудиторов рассчитываются пропорционально объему и эффективности выполняемой ими работы. Перед системой вознаграждения стоит задача обеспечить, чтобы аудиторы работали с максимальной эффективностью, жертвуя объемом проделанной работы. С другой стороны, неприемлемо, если «начинающие аудиторы» или аудиторы, которые не имеют достаточного опыта в выполнении этих задач, будут получать слишком маленькую зарплату, которая не будет стоить их времени.
С одной стороны, нам нужно добиться аудитов высокого качества, а с другой – необходимо позволить аудиторам с небольшим опытом принимать участие и получать зарплату.
Эффективность работы может быть повышена за счет увеличения выплат аудиторам за нахождение ошибок и увеличения штрафов за не нахождение ошибок. Однако не все контракты содержат ошибки, и аудиторы не имеют представления о том, могут ли они теоретически найти ошибки в проверяемом ими контракте или нет. Таким образом, необходимо поддерживать оплату за выполненную на высоком уровне работу даже без премий за сообщения об ошибках.
С другой стороны, при таком подходе у аудиторов может возникнуть соблазн максимизировать объем выполненной работы в ущерб качеству. В этом случае аудиторы теоретически могут принимать запросы на аудит и не сообщать об ошибках, даже не тратя значительного количества времени на проверку кода контракта. «Надеясь, что все в порядке и предоставляя отчет, как будто это на самом деле так», аудиторы могут набрать значительные очки.
Необходимо найти правильный баланс между вознаграждением за нахождение ошибок и штрафами за их пропуск, а также выполненным объемом работ при отсутствии заявленных ошибок.
Текущая стадия: предложение #59 предназначено для решения этой проблемы, однако трудно найти правильный баланс при отсутствии конкурентоспособности между аудиторами.
3. Конкурентоспособность и масштабируемость.
Одной из основных проблем Отдела безопасности Callisto является небольшое количество участников и, как следствие, отсутствие конкуренции. Тем не менее, мы не можем нанять больше аудиторов или предложить более высокую зарплату чем сейчас, потому что работа аудиторов не влияет напрямую на темпы роста цен.
То же самое можно сказать и о масштабируемости. Мы могли бы сформировать Отдел аудита EOS, но на это потребуются дополнительные расходы.
Кто-то может сказать, что мы можем начать взимать плату за аудит. Я абсолютно уверен, что это не принесет никакой пользы проекту.
• Во-первых, нашими основными клиентами должны быть инвесторы, а не разработчики контрактов. Инвесторы, скорее всего, не будут платить за аудит проекта, в который они еще не инвестировали свои средства.
• Во-вторых, мы будем конкурировать с обычными аудиторскими компаниями. Разница в том, что обычные аудиторские компании не имеют целой сети со своими эмиссиями и стоимостью. Весь доход от аудита компании тратится на содержание сотрудников, в то время как в Callisto, помимо аудиторов, есть еще много аспектов проекта.
• Callisto не сможет выполнить свою основную миссию, если мы начнем взимать плату за аудиты, так как в таком случае будут проекты, по которым никто не будет проводить аудит или запрашивать проведение аудита, и эти проекты в вероятности могут нанести ущерб всей криптоиндустрии, как это было с TheDAO или Parity Multisig.
Текущий этап: в Callisto работают 4 штатных аудитора. Вы можете наблюдать за рабочим процессом и статистикой в открытой таблице Google или на GitHub.
4. Вопрос мотивации.
Существует еще одна фундаментальная проблема в Callisto. Аудиторы не заинтересованы в соблюдении правил Отдела безопасности Callisto, если обнаружат серьезную ошибку. Система Отдела аудита Callisto разработана так, что аудиторы не должны знать друг друга. Единственный стимул для аудиторов следовать правилам Callisto – не знать, какие ошибки обнаружены остальными аудиторами. Штрафы за неспособность найти ошибки могут превысить шансы на успех, если аудитор решит не сообщать об ошибке, и использовать ее после завершения аудита.
В реальном выражении, аудиторов не так много, и они знают друг друга, что является следствием проблемы (3) «Конкурентоспособность и масштабируемость».
Статью перевел sharing4u. Большое спасибо!
Официальный сайт: https://callisto.network/
- Twitter: https://twitter.com/CallistoSupport
- Telegram Channel_RU: https://t.me/callisto_ru
- Telegram Channel_ENG: https://t.me/CallistoNetNews
#callisto #callisto.network #clo #coldstaking #bitfinex #smartcontracts #audits #staking #callistohub #ideology #miner #dexaran