Недавно DEX Merlin на zkSync был взломан на сумму более $1,1 миллиона. Проект проверялся компанией CertiK, которая курирует 70% всех аудитов.
Является ли аудит 100% вероятностью безопасности проекта?
Разбираемся с помощью базы данных "REKT" сервиса De.Fi, в которой собранно более 3.000 записей о взломах и экзит скамах в web3 начиная с 2011 года.
//CertiK
На долю этой компании приходится самое большое количество аудитов в web3. Из 3700 проверенных проектов, 33 находятся в базе данных "REKT", а значит были проверены, но всё равно подверглись взлому.
Недавний взлом DEX Merlin ещё не был добавлен в базу данных и делает этот проект 34 в списке "аудит не помог".
//PeckShield Inc
Занимает второе место в антирейтинге с 18-ю случаями взломов и рагпулов.
//DeFi Safety
Следующий претендент с 12-ю хаками. Позитива добавляет тот факт, что с 2021 года у этого аудитора не было случаев проверенных и после взломанных проектов.
Таблица с соотношением аудитов к хакам
Находящаяся в шапке поста, не должна рассматриваться как последняя истина об успешности аудиторских компаний, поскольку она слишком обобщена. Каждый случай взлома должен оцениваться индивидуально.
Главная мысль, которую мы хотим донести:
аудиты не гарантируют безопасность.
Обычно, аудит проводится по обобщенному сценарию потенциальных уязвимостей. Однако, каждая компания обладает уникальным кодом и архитектурой, которые требуют индивидуального подхода.
Реально ли провести углубленный аудит в течение месяца? Большие сомнения на этот счёт.
Подведем итоги
Аудит может помочь повысить вероятность того, что средства, выделенные на конкретный смарт-контракт, находятся в безопасности. А проекты без аудита больше подвержены взломам и кражам, нежели чем с ним.
Помните: 100% гарантий нет нигде и случай с аудитами не исключение. Будьте осторожны, проводите DYOR и диверсифицируйтесь.
