About Teletype
Join
CryptoKara
@d_kara
April 26, 2022

Лучшие Аудиторы Смарт-Контрактов

Этот рейтинг учитывает историю аудитора несколькими способами:

  • Протоколы, которые они сертифицируют, часто ли подвергаются эксплойтам?
  • Работают ли они с крупными, серьезными проектами, требующими огромных средств?
  • Участвуют ли они в публичном анализе инцидентов или реагировании на инциденты?
  • Вносят ли они вклад в безопасность всего сообщества, создавая инструменты безопасности с открытым исходным кодом, внося свой вклад в общедоступные библиотеки кода или проводя общественное обучение?
  • Являются ли они хорошо зарекомендовавшей себя компанией или они были созданы недавно?

Тир 1 Аудиторы

Trail of Bits

Trail of Bits — ведущая аудиторская фирма, которой доверяют такие гиганты отрасли, как Yearn .
Их команда недавно обнаружила уязвимости в широко используемых библиотеках шифрования , и они поддерживают популярные инструменты анализа безопасности смарт-контрактов с открытым исходным кодом Slither и Echidna .

OpenZeppelin

Библиотеки смарт-контрактов OpenZeppelin с открытым исходным кодом являются отраслевым стандартом для большей части криптомира. Их подразделение безопасности также имеет хороший послужной список и недавно получило крупный контракт на обеспечение постоянной безопасности для Compound, опередив Trail of Bits и ChainSecurity.Примечательно, что они способны проводить очень сложные аудиты, включая сам компилятор Solidity , по указанию Ethereum Foundation.

ConsenSys Diligence

ConsenSys Diligence — это подразделение по аудиту и безопасности ConsenSys, корпорации, в состав которой входят такие гиганты инфраструктуры блокчейна, как MetaMask, Infura и Truffle. В дополнение к своим аудиторским услугам Consensys производит множество продуктов для обеспечения безопасности с открытым и закрытым исходным кодом, включая мощный набор продуктов MythX.

Команда ветеранов с 8-летним стажем провела аудит известных протоколов, таких как Fei, Aave, Balancer, Bancor, ENS, PoolTogether и 1Inch. У них есть один заметный взлом, поставивший крест на их послужном списке, — эксплойт Growth DeFi за 1,3 миллиона долларов США.

Runtime Verification

Runtime Verification — это фирма, занимающаяся безопасностью и уделяющая особое внимание формальной проверке. Формальная верификация — это трудоемкий, но чрезвычайно тщательный способ математического доказательства того, что фрагмент кода соответствует набору точно написанных стандартов. Они также проводят традиционные аудиты.

Их список партнеров длинный и громкий. Известные аудиты включают ETH 2.0 Beacon Chain, Tezos, OlympusDAO, Algorand, Maker, Gnosis и другие. Они также активно публикуют исследовательские статьи.

Certora

Certora Prover — один из самых мощных наборов для формальной проверки. Certora также спонсирует общественные образовательные мероприятия, работая с аудиторским учебным лагерем Secureum .
Они много работали с Sushiswap и Aave, а также с другими крупными протоколами. Certora часто используется после инцидента, чтобы обеспечить дополнительную уверенность в том, что проблемы были устранены должным образом.

Тир-2 Аудиторы

Quantstamp

Quantstamp — это фирма, занимающаяся безопасностью блокчейнов, за плечами которой множество проектов. Команда провела аудит крупных и сложных проектов, включая блокчейны Cardano, Binance и Solana, клиентов ETH2.0, Curve и Axie Infinity, и это лишь некоторые из них.
Три сертифицированных Quantstamp проекта ( Alpha Finance , Saddle и Rari ) в прошлом подвергались громким взломам, в результате чего общие убытки составили порядка 47 миллионов долларов США. Хотя у этих эксплойтов есть особые осложняющие факторы, которые снимают часть вины с аудиторской фирмы, эта история все же отбрасывает их до второго тира.
Взлом Alpha Finance, принесший убытки в размере 37 миллионов долларов, был чрезвычайно сложным эксплойтом против публично неопубликованных контрактов, с существенными доказательствами, указывающими на внутреннюю работу. Эксплойт Rari стоимостью 10 миллионов долларов США также был чрезвычайно сложным эксплойтом для нескольких цепочек, который включал взаимодействие со многими другими протоколами. Эксплойт Saddle Finance был арбитражной атакой на неэффективный протокол, а не ошибкой смарт-контракта.
Quantstamp служит напоминанием о том, что даже высококачественный аудит не может волшебным образом защитить протокол от атак. Надлежащая практика управления, надежные команды и осторожность при взаимодействии с другими наборами денежных лего — все это необходимо для минимизации риска.

Paladin

Paladin — это фирма, занимающаяся безопасностью блокчейнов, специализирующаяся на аудите небольших протоколов. Эта целевая демографическая группа «малого бизнеса» означает, что они выполнили большой объем работы. Во многих протоколах RugDoc выполнен аудит Paladin.
Рейтинг успеха Paladin немного сложно оценить количественно, на него влияет их целевая демография. Микропроекты подвержены широкому спектру рисков. Команды могут быть просто недобросовестными, или им может не хватать технических знаний для правильного внедрения результатов аудита. Небольшим командам или разработчикам-одиночкам может не хватать времени для адекватного управления своими проектами. Молодые проекты также могут столкнуться с внешними эксплойтами, атаками управления или скомпрометированными учетными записями администратора - ни один из этих рисков не покрывается аудиторами смарт-контрактов.
Известно, что два протокола, проверенных Paladin, подвергались атакам. VultureSwap получил штраф в размере 500 тысяч долларов США после того, как разработчики не смогли правильно реализовать исправления, выявленные в ходе аудита. В другой протокол после аудита Paladin были внесены изменения, которые привели к ошибке, приведшей к эксплойту, что не может быть поставлено в вину аудиторам.
Paladin представляет собой аудиторскую фирму хорошего качества, особенно для своей ниши. Пользователи, участвующие в проектах с микрокапами, должны знать о дополнительных рисках, которым они подвергаются. Даже хороший аудит - это не волшебная палочка, а проекты микрокап особенно склонны использовать аудит в качестве маркетингового инструмента, а не для снижения рисков.

ChainSecurity

ChainSecurity - швейцарская фирма по безопасности блокчейна, которая много работала с Maker, Curve и другими. Заметных эксплойтов их проверенных протоколов нет.
В твиттере ChainSecurity мало активности. Трудно найти информацию о деятельности этой фирмы, поэтому данный рейтинг основан на их прошлой истории работы со зрелыми протоколами, обрабатывающими миллиарды долларов США.

Omniscia

Omniscia - это растущая фирма по безопасности блокчейна, аудиторами которой являются около 80 протоколов. Их клиентами, как правило, являются более молодые протоколы, среди них OlympusDAO, Rari, KlimaDAO и Tokemak. Отчеты по аудиту фирмы находятся в открытом доступе. Твиттер-аккаунт - это в основном PR, с небольшим образовательным контентом.
В апреле 2022 года протокол Beanstalk DAO, аудируемый Omniscia, пострадал от эксплойта управления флэш-кредитами, в результате чего были полностью потеряны средства протокола - 183 миллиона долларов США. Вокруг этой атаки возникли некоторые разногласия. В посмертном отчете Omniscia говорится, что код, о котором идет речь, не входил в сферу их аудита. Другие пользователи предположили, что, хотя часть кода, способствовавшего взлому, действительно была внедрена после аудита, ключевой элемент атаки (функция emergencyCommit) находился в области действия и был пропущен аудиторской группой. Эта ситуация развивается.

Тир-3 Аудиторы


PeckShield

PeckShield - это китайская аудиторская фирма безопасности. Они провели аудит широкого спектра протоколов, включая оригинальный аудит OlympusDAO и некоторые контракты PancakeSwap. К сожалению, они частые гости в таблице лидеров Rekt. Некоторые авторы описывают значок аудита PeckShield как привлекающий хакеров, а не сдерживающий.
В целом, они ценны как хороший источник общественного образования и обычно находятся в курсе последних новостей безопасности. Их аккаунт в Twitter обеспечивает постоянный поток оповещений, включая эксплойты для флэш-кредитов, массовые промахи и "ковры". Они также часто проводят публичные вскрытия инцидентов в Twitter.

Certik

Certik - компания, занимающаяся безопасностью блокчейна 4 года, и часто появляющаяся в списке лидеров Rekt. Они также предоставляют инструменты для расследования и мониторинга безопасности на цепочке в виде продуктов SkyTrace и SkyNet.
В Твиттере компании публикуются предупреждения о безопасности и анализ взломов. Анализ с использованием их инструмента SkyNet также доступен для партнерских протоколов через их веб-сайт. Например, отчеты об аудите Aave и анализ безопасности доступны здесь.

Arcadia Group

Arcadia Group - компания по разработке блокчейна и обеспечению безопасности смарт-контрактов из Техаса. Они предоставляют услуги по аудиту и разработке программного обеспечения, а также предоставляют специалистов по безопасности командам на контрактной основе.
У них есть большая "черная метка" за аудит децентрализованного страхового протокола Cover. Cover столкнулся с эксплойтом infinite mint, в результате которого пользовательские средства потеряли 9,4 миллиона долларов. На их счету не так много аудитов протоколов и ни одного известного.

Slowmist

Slowmist - это трехлетняя китайская компания по обеспечению безопасности блокчейна, предлагающая широкий спектр услуг по обеспечению безопасности. Они ведут удобный учет взломов, эксплойтов и мошенничества. Примечательно, что они предоставляют услуги как экосистеме EOS, так и более распространенным цепочкам, связанным с Ethereum.
Проверенный Slowmist протокол, Vee Finance в сети Avalanche, был взломан на 34 миллиона долларов США. Контракты не смогли правильно проверить десятичные дроби при совершении сделок, что позволило успешно пройти транзакции, которые обычно не прошли бы проверку на проскальзывание на бирже.

Инструменты безопасности

Honeypot.is

Honeypot.is - автоматическая программа проверки контрактов для Ethereum и Binance Smart Chain.
Этот простой инструмент имитирует перевод, чтобы проверить, является ли токен honeypot - то есть содержит ли он код, позволяющий купить его, но не вывести. Это не означает, что токен не может стать таковым позже - просто сейчас он таковым не является.

RugDoc

RugDoc предоставляет оповещения о коврах, средства проверки медовых точек, обзоры безопасности, аварийные инструменты и многое другое.
RugDoc является наиболее полным ресурсом по безопасности для криптодегенов. Они не являются аудиторской фирмой и не сертифицируют свои выводы, но проводят обзоры безопасности для присвоения рейтинга риска.
Они также предлагают услугу Know-Your-Customer, в рамках которой владельцы проектов могут опубликовать на RugDoc свою анонимность, оставаясь при этом публично анонимными. Это сигнализирует о том, что основатель проекта является законным, поскольку он известен и столкнется с юридическими последствиями в случае мошенничества.
RugDoc также имеет некоторые инструменты, такие как Emergency Withdraw, которые помогают пользователям вернуть свои средства, если фронтенд был отключен в результате попытки мошенничества, и инструмент проверки honeypot checker. Они отслеживают вредоносную активность и уведомляют через Twitter, если обнаруживают, что протоколы готовятся к мошенничеству или активно выводят средства.

Заключительные мысли

Все пользователи должны понимать, что аудит - это не панацея. Качество имеет значение. Даже качественный аудит не является всевидящим или всезнающим. Пользователи не должны полагать, что только потому, что был проведен аудит, все было выявлено. Если протокол публикует свой отчет об аудите, его стоит просмотреть.

Даже нетехнические пользователи могут извлечь пользу из чтения отчета об аудите! Вам не обязательно знать Solidity, чтобы получить представление о проекте (хотя это явно поможет). Аудиторы часто включают в отчет ясные, понятные объяснения проблемы, особенно серьезной.

Ключевые моменты, на которые следует обратить внимание при просмотре отчета об аудите:

- Объем аудита - аудиторы могут не проверять каждый контракт в экосистеме проекта! Аудит редко охватывает проблемы, связанные с фронтендом или инфраструктурой, а ресурсы вне цепочки - это возможность для эксплойтов (см. взлом фронтенда Badger).
- Интенсивность аудита - проводился ли он одним аудитором в течение нескольких дней или несколькими аудиторами в течение нескольких недель?
- Серьезность находок - выявили ли аудиторы серьезные риски?
- Количество выводов - аудиторские проверки, в ходе которых выявляется большое количество выводов, не обязательно являются чем-то плохим. В конце концов, они проводятся для того, чтобы выявлять ошибки. Однако слишком большое количество выводов может указывать на то, что разработчики проекта были небрежны, неквалифицированны или невнимательны.
- Были ли рекомендации аудита выполнены командой проекта? - Иногда это бывает сложнее выяснить в зависимости от того, когда был выпущен отчет об аудите, но этот вопрос очень важен.
- Качество кода/зрелость кода - в этом разделе отчета у аудиторов больше свободы для субъективных оценок состояния кодовой базы. Интуиция эксперта может быть очень ценной.

Потратьте немного времени и прочитайте аудит вашего любимого протокола. Возможно, вы будете удивлены или успокоены. Оставайтесь в безопасности.

Наша команда делает огромное количество работы абсолютно бесплатно, для того, чтобы ты, дорогой читатель, лучше разбирался и обезопасил себя в мире крипты. Мы будем очень благодарны если ты подпишешься на наш Telegram, а также Discord, и расскажешь о нас своим друзьям.

Всем профита!

CryptoKara
April 26, 2022, 14:46
0 views
0 reactions
0 replies
0 reposts