Потратил $10,500 на аудит CertiK: что получил, и почему это не гарантия безопасности

В первой половине 2025 года из криптопроектов украли $2.5 млрд. Самое интересное: более 60% взломанных проектов имели аудит от топовых компаний. Gala Games потеряла $216 млн, WooFi — $85 млн, ZKasino — $33 млн. У всех был аудит CertiK.

Я занимаюсь разработкой смарт-контрактов более 5 лет и недавно провёл свой проект через полный цикл аудита CertiK. Расскажу, сколько это стоило, что я получил за эти деньги, и почему аудит — это необходимый минимум, а не гарантия безопасности.

Смарт-контракт — это код, который управляет деньгами. В отличие от обычного софта, где баг можно исправить патчем, ошибка в смарт-контракте может стоить всех денег проекта. Мгновенно и безвозвратно.

Аудит нужен для трёх вещей:

Найти уязвимости до хакеров. Профессиональные аудиторы ищут ошибки в коде, которые могут привести к потере средств. В моём контракте нашли 29 проблем разной степени критичности, включая одну критическую — если бы её нашёл хакер, он мог бы вывести все токены в обход системы верификации инвесторов.

Получить доступ к инфраструктуре. Без аудита вас не пустят на серьёзные платформы. Биржи, launchpad-площадки, институциональные инвесторы — все требуют отчёт от признанного аудитора.

Повысить доверие инвесторов. Публичный security score на платформе вроде CertiK Skynet — это как кредитный рейтинг для криптопроекта. Инвесторы проверяют его перед вложением денег.

Когда я начал общаться с CertiK, мне назвали базовую цену $16,000 за полный пакет услуг. После переговоров договорились на $10,500.

Вот что входит в эту сумму:

Security Audit — детальная проверка кода с отчётом по всем найденным проблемам. Проблемы ранжируются по критичности: от Critical (немедленная потеря средств) до Informational (рекомендации по улучшению). Повторная проверка после исправлений — бесплатно.

Skynet Boost — публичный профиль проекта на skynet.certik.com с security score. Это как TripAdvisor для криптопроектов — инвесторы реально смотрят эти рейтинги.

Penetration Testing — проверка не только смарт-контракта, но и серверной инфраструктуры, API, всего что может быть точкой атаки.

KYC верификация команды — CertiK проверяет основателей и выдаёт бейдж. Для инвесторов это сигнал, что за проектом стоят реальные люди с репутацией.

Мониторинг 24/7 — после запуска CertiK следит за подозрительной активностью вокруг вашего контракта и предупреждает о потенциальных атаках.

Bug Bounty программа — доступ к сообществу белых хакеров, которые ищут уязвимости за вознаграждение.

Мой контракт — Security Token на 1,100 строк кода, средняя сложность. Вот примерные цены для других типов проектов:

Простой токен (ERC-20) — базовая цена $8-10K, после переговоров можно сбить до $6-8K.

NFT коллекция — базовая $12-15K, реально получить за ~$10K.

Security Token (мой случай) — базовая $16-20K, договорился на $10,500.

DeFi протокол — здесь уже $25-50K, после переговоров $20-40K.

Сложный DeFi или мост между сетями — от $50K и выше, потолок зависит от сложности.

Важный момент: цены всегда negotiable. Если вы не первый клиент, планируете долгосрочное сотрудничество или готовы подождать в очереди — можно сэкономить 20-30%.

29 проблем за три недели работы. Вот самые показательные:

Мой контракт — Security Token, то есть токенизированные ценные бумаги. По закону такие токены могут покупать только верифицированные инвесторы (KYC/AML). В контракте была функция принудительного перевода токенов для регуляторных нужд.

Проблема: эта функция не проверяла, прошёл ли получатель верификацию. Теоретически можно было перевести токены на любой адрес, включая анонимные кошельки. Для обычного токена это просто баг. Для Security Token — потенциальное уголовное дело для эмитента.

В контракте была система выплаты дивидендов держателям токенов. При большом количестве держателей выплата происходит пачками (batch processing), чтобы не упереться в лимит газа.

Аудиторы нашли: если запустить новое распределение дивидендов, пока предыдущее ещё не завершилось — счётчик сбрасывается, и часть держателей не получит выплату.

Остальные 27 проблем — это разная мелочь: где-то не проверяется нулевой адрес, где-то используются разные стили обработки ошибок, где-то можно оптимизировать расход газа. По отдельности некритично, но в сумме создаёт технический долг и потенциальные точки отказа.

Теперь самое важное. У всех этих проектов был аудит CertiK:

Gala Games — $216 млн (2024). Украли не через уязвимость в коде. Хакер получил доступ к административному кошельку и выпустил 5 миллиардов токенов из воздуха. Код был идеальный. Проблема — в хранении ключей.

WooFi — $85 млн (2024). Сложная атака с использованием мгновенных займов (flash loans). Хакер манипулировал ценой внутри одной транзакции и вывел средства. Это не баг в коде — это эксплуатация экономической модели протокола.

Merlin DEX — $1.82 млн (2023). Классический rug pull. В контракте была функция экстренного вывода средств для администратора. CertiK отметил это как «риск централизации» с низким приоритетом. Команда проекта ответила «исправим после запуска». Не исправили — забрали деньги и исчезли.

Проверяется: код смарт-контракта, логика работы, известные уязвимости, соответствие стандартам.

Не проверяется: хранение приватных ключей, безопасность серверов, честность команды, экономическая модель (глубоко).

Вывод: аудит кода — это один слой защиты из многих. Необходимый, но недостаточный.

CertiK — мой выбор. Быстро (2-3 недели), признаётся всеми крупными платформами, адекватные цены. 7,000+ проведённых аудитов.

OpenZeppelin — считается золотым стандартом, особенно для DeFi. Цены значительно выше (слышал про $100-250K для крупных проектов), очередь на несколько месяцев. Их используют Ethereum Foundation, Coinbase.

Trail of Bits — топовые эксперты, создали лучшие инструменты для анализа кода. Работают только с крупными проектами, минимальный бюджет около $100K.

Перед тем как платить за аудит:

Документация готова? Аудиторам нужно понимать, что ваш код должен делать. Без спецификации они проверят только очевидные баги, но пропустят ошибки в бизнес-логике.

Код заморожен? Любые изменения после начала аудита — это дополнительное время и деньги. Заморозьте код минимум за неделю.

Тесты написаны? Если у вас нет тестов — сначала напишите их. Аудит найдёт то, что тесты пропустили, но базовые баги должны ловиться автоматически.

Бюджет на исправления заложен? Аудит найдёт проблемы. Их нужно будет исправлять. Закладывайте 2-4 недели работы разработчика после получения отчёта.

После аудита:

Запустите bug bounty. Аудит — это 2-3 недели работы нескольких человек. Bug bounty — это тысячи хакеров, которые ищут уязвимости постоянно. Стандартная награда за критическую уязвимость — 10% от суммы, которую можно было бы украсть.

Настройте мониторинг. Если CertiK Skynet не входит в ваш пакет — используйте альтернативы вроде Forta или OpenZeppelin Defender.

Подготовьте план реагирования. Когда (не если) что-то пойдёт не так — у вас должен быть план: кто принимает решения, как останавливаем контракт, как коммуницируем с пользователями.

Да, однозначно.

Аудит нашёл критическую уязвимость, которая могла привести к регуляторным проблемам и потере лицензии. Стоимость этих проблем — несопоставимо больше $10K.

Аудит открыл доступ к платформам для Security Token, которые без отчёта CertiK даже разговаривать не стали бы.

Аудит дал публичный security score, который повышает доверие инвесторов.

Но аудит — это не волшебная таблетка. Это один элемент в системе безопасности, которая включает:

Уберите любой элемент — и вы кандидат в статистику потерь следующего года.

Занимаюсь разработкой смарт-контрактов и сопровождением проектов через аудит. Если есть вопросы по подготовке к аудиту или выбору аудитора — пишите в комментариях или в личные сообщения.