Эта статья — не критика CertiK. Это честный технический разбор того, что аудит делает, чего не делает, и как извлечь из него максимум пользы. Написано на основе опыта сопровождения Security Token Offering через полный цикл аудита CertiK, где я прошёл через 29 замечаний разной критичности и исправление уязвимостей в ERC-1400 контракте на 1,100 строк.
Анатомия процесса аудита
Прежде чем разбирать findings, важно понять, как устроен процесс изнутри. Многие думают, что аудит — это «прогнали код через сканер и получили отчёт». В реальности это многоэтапный процесс, занимающий 2-4 недели.
Scoping (1-2 дня).Читать полностью »