В прошлых статьях и видео на YouTube мы уже говорили об аудитах и аудиторах смарт-контрактов. Напоминаю, что аудиторы - это компании, проверяющие код смарт-контрактов на ошибки и уязвимости. Уязвимости - главная проблема доверия к смарт-контрактам н сегодняшний день.
Хоть код и находится в общем доступе, и любой пользователь может его посмотреть, но, чтобы найти те самые уязвимости, нужно обладать обширными знаниями именно в этом отделе программирования.
Если программисты аудитора не нашли проблем, компания ставит свою "печать" о безопасности. Аудит пройден. Решена проблема доверия и безопасности. Кажется, что так.
Но на деле, не всем аудиторам можно доверять, ведь это зачастую "централизованные" компании, которым не чужда коррупция.
Зачем еще нужны аудиты?
Хотя нет никаких гарантий, что протокол будет безопасным после аудита, хороший аудитор может провести всестороннюю проверку, чтобы выявить потенциальные проблемы. Разработчики исправляют их, тем самым, предотвращая катастрофические последствия для пользователей после запуска.
Также, аудит от хорошего аудитора устанавливает базовый уровень безопасности, обеспечивая доверие крипто сообщества и привлекая инвесторов.
Как выбрать аудитора?
Для начала стоит посмотреть, какие платформы уже проверены исследуемым аудитором. Чем больше и популярнее эти платформы, тем больше доверия должно появляться, потому что крупные сервисы всегда привлекают больше хакеров и несут больше репутационных рисков.
Также, нужно смотреть, на каких блокчейнах проводила аудиты компания. Если вы хотите проверить проект на Solana или другом альтчейне, а аудитор работал только с Ethereum, и проверяемый вами проект для него первый на Solana, это минус.
Еще один важный момент - отчет по аудиту. Хороший отчет должен включать подробное описание всех проблем, обнаруженных в ходе проверки. Хороший признак, если отчет написан на лаконичном, понятном обычному пользователю языке.
Перейдем к нашему топ-списку.
Hacken.
Количество проверенных проектов: 700+
Общая MCAP портфеля: 100 млрд $+
Основные клиенты: Avalanche, VeChain, Huobi, Kyber, The Sandbox, Kucoin, WhiteBit
Поддерживаемые цепочки: Ethereum, цепочки EVM, Solana, Polygon, Avalanche, NEAR, Fantom, BNB
Hacken - ведущая консалтинговая компания в области кибербезопасности. Ребята вложили 1,5 миллиона долларов в Cer.live, и запустила такие продукты, как платформа Hackenproof BugBounty, где трудятся больше 10000 белых хакеров, Hacken.ai, hVPN, hPass и т.д. В настоящее время в их портфеле более 700 проектов, а рыночная капитализация превышает 100 миллиардов долларов.
Компания работала с более чем 80 проектами, включая такие известные, как, например, Avalanche, VeChain, Huobi, Kyber и другие.
CertiK.
Количество проектов: 3700+
Общая MCAP портфеля: 364 млрд $+
Основные клиенты: Aave, BNB Smart Chain, Terra, Yearn, Polygon Chiliz
Поддерживаемые цепочки: все
CertiK является пионером в области безопасности блокчейна, используя передовые технологии искусственного интеллекта для защиты и мониторинга протоколов блокчейна и смарт-контрактов.
CertiK уже работали с более чем 3700 клиентами, защитив цифровые активы на сумму более 364 миллиардов долларов. Среди клиентов CertiK такие проекты как Aave, Polygon, BNB Smart Chain, Terra, Yearn и Chiliz.
Slowmist.
Количество проектов: 1000+
Общая MCAP портфеля: 150 млрд $+
Основные клиенты: Binance, OKX, Huobi, Pancakeswap, Crypto.com
Поддерживаемые цепочки: Ethereum (все цепочки EVM), EOS, Fabric, Solana, VeChain, ONT.
SlowMist — фирма, занимающаяся безопасностью блокчейнов, специализирующаяся на обеспечении защиты экосистемы блокчейнов. Команда SlowMist имеет более чем 10-летний опыт работы в области сетевой безопасности и работала с проектами Binance, OKX, Huobi, Pancakeswap и Crypto.com. Одним из примечательных сервисов SlowMist является MistTrack - система, которая отслеживает движение украденных средств.
Quantstamp.
Количество проектов: 200+
Общая MCAP портфеля: $200 млрд+
Основные клиенты: Maker, Curve, OpenSea
Поддерживаемые цепочки: все
Quantstamp является одной из самых известных компаний по аудиту смарт-контрактов. Их команда состоит из докторов наук и специалистов по безопасности с опытом работы в крупнейших технологических компаниях, таких как Google, Facebook, Apple и Ethereum Foundation. Компания провела аудит многочисленных систем блокчейна, включая Ethereum 2.0, Solana, BNB Chain, Cardano и такие протоколы, как Maker, Curve и OpenSea.
Halborn.
Количество проектов: 150+
Общая MCAP портфеля: 75 млрд $+
Основные клиенты: BlockFi, ApeCoin, Avalanche, THORChain, Polygon
Поддерживаемые сети: Ethereum, Terra, Cosmos Tendermint, Algorand.
Halborn. Фирма специализируется на таких протоколах, как Ethereum, Substrate, Solana, CosmWasm, Terra, Cosmos Tendermint и Algorand. Их клиентами являются BlockFi, ApeCoin, Avalanche, THORChain и Polygon. Помимо аудита смарт-контрактов, фирма также предоставляет консультации по кибербезопасности, DevOps и автоматизацию.
OpenZeppelin.
Количество запущенных проектов: не указано
Общая MCAP портфеля:10 млрд $+
Основные клиенты: Ethereum Foundation, Coinbase, Compound, Aave, The Graph
Поддерживаемые цепочки: Ethereum
OpenZeppelin. С 2015 года компания помогла защитить активы на сумму более 10 миллиардов долларов в некоторых из самых известных организаций в крипто-секторе, включая, помимо прочего, Ethereum Foundation, Coinbase, Compound, Aave и The Graph. Кроме того, OpenZeppelin стала первой компанией, занимающейся кибербезопасностью, внедрившей геймификацию для выявления уязвимостей безопасности в смарт-контрактах. «Ethernaut» от OpenZeppelin — это игра, в которой геймерам предлагается найти и использовать уязвимости безопасности в смарт-контрактах, чтобы перейти на следующий уровень.
Trail of Bits.
Количество подключенных проектов: 500+
Общая MCAP портфеля: 25 млрд $+
Основные клиенты: yearn.finance, LooksRare, Acala, Balancer, Nervos
Поддерживаемые сети: Ethereum, Tezos, Polkadot, Arbitrum, Polygon и т. д. (полный список можно посмотреть здесь).
Trail of Bits — гигант индустрии кибербезопасности с обширным списком известных клиентов, таких как Adobe, Microsoft, Stripe, Reddit, Zoom, Airbnb и т.д. У фирмы есть три основных услуги: Software Assurance, Security Engineering и Research and Development. Под эгидой Software Assurance компания проводит аудиты безопасности для блокчейна, защиты программного обеспечения, безопасности инфраструктуры, моделирования угроз и криптографической проверки. Компания провела аудит смарт-контрактов для yearn.finance, LooksRare, Acala, Balancer, Nervos и др. Команда занимается не только безопасностью блокчейна; они также разрабатывают инструменты, которые помогают разработчикам находить и устранять уязвимости. Одним из них является Manticore, эмулятор мультиконтрактов и мультитранзакций. Другие его инструменты включают Ethersplay, Слайтер и Ехидна.
Consensys Diligence.
Количество проектов: 100+
Общая MCAP портфеля: 11 млрд $+
Основные клиенты: биржа 0x, Aave, Balancer, Uniswap
Поддерживаемые цепочки: Ethereum
Consensys фокусируется на разработке передовых блокчейн-приложений и программного обеспечения для экосистемы Ethereum, в отличие от других фирм в этом списке. Однако ее флагманский продукт для кибербезопасности ConsenSys Diligence представляет собой инструмент , предназначенный для глубокого анализа смарт-контрактов. Помимо аудита безопасности, компания предоставляет две другие услуги, известные как фаззинг.
Kudelski Security.
Количество проектов: 200+
Общая MCAP портфеля: 230 млрд $+
Основные клиенты: Binance, Solana, Crypto.com, Input Output, Monero, Zcash
Поддерживаемые сети: Ethereum, BNB Chain, Solana, Cardano, Cosmos Tendermint.
Kudelski Security — швейцарская компания, занимающаяся кибербезопасностью, предоставляющая инновационные решения и консультационные услуги. Хотя компании всего 2 года, Кудельски уже работал с Binance, Solana, Crypto.com, Input Output, Monero и Zcash. На сегодняшний день компания провела более 200 аудитов безопасности, обеспечила рыночную капитализацию на сумму более 230 миллиардов долларов и проверила более 500 000 строк кода.
ChainSecurity.
Количество проектов: 85+
Общая MCAP портфеля: 17 млрд $+
Основные клиенты: yearn.finance, Maker, Compound, Rarible, Curve, Kyber network
Поддерживаемые цепочки: Ethereum
ChainSecurity возглавляют эксперты по безопасности из известного университета ETH Zurich. Компания работала с более чем 85 крипто-организациями и признанными корпорациями, включая yearn.finance, Maker, Compound, Rarible, Curve, Kyber network. На сегодняшний день компания застраховала активы на сумму более 17 миллиардов долларов. ChainSecurity также разработала автоматизированную платформу аудита.
PeckShield.
Количество проектов: 50+
Общая MCAP портфеля: 26 млрд $+
Основные клиенты: EOS, Aave, Tron, Nervos, Harmony, Neo, Maker, OlympusDAO, Pancakeswap
Поддерживаемые цепочки: Ethereum, BNB Chain, EOS, Tron, Harmony, NEO.
PeckShield - китайская аудиторская компания, основанная в 2018 году. Члены ее команды разбросаны по всему миру и имеют обширный опыт работы в области безопасности и в различных областях экосистемы блокчейна. Компания начала набирать обороты после того, как обнаружила лазейку BatchOverflow в смарт-контракте Ethereum. В настоящее время PeckShield входит в тройку лучших в мире по программе Ethereum Bounty.
Заключение.
"Штампы" проверки от топовых аудиторов - несомненно важный показатель, дающий жирный + к доверию платформе. Однако, далеко не панацейный. Аудиты стоит рассматривать как лишь часть процесса постоянного совершенствования смарт-контракта.
Так, например, наличие программы Bug Bounty на сайте платформы после аудита безопасности не менее важно. Я говорил об этом в своем видео о том, как проверять DEFI сервисы. Программы Bug Bounty привлекают экспертов по безопасности со всего мира с разным опытом и разным уровнем знаний для поиска багов и улучшения безопасности.
В любом случае, рекомендуем смотреть на аудиты от проверенных компаний и анализировать проект, куда вы собираетесь инвестировать со всех сторон.
Кстати, как вам видео про мою стратегию анализа DeFi проектов?
Материал подготовлен командой Коненкова Святослава.
Заходите к нам в Telegram. У нас много всего интересного!