ну вот приведу пример с Сертик, многие протоколы которые они аудировали ломали, они теряли репутацию, однако это не мешало им дальше продолжать делать свою работу.
взглянем на другие компании: они все теряют репутацию и восстанавливают ее, нет идеальной репутации ни у кого, везде есть ошибки и это нормально.
поэтому я считаю что репутация ничего не стоит, есть конкретные критерии безопасности, есть знания как сделать контракты достаточно защищенными и все это в открытом доступе любому человеку.
я ратовал за то чтобы аудировал свой код сам разраб и нес за это ответственность. у разраба тоже если репутация, если вам так важен этот аспект его я оставил и в своем варианте
Кажется что web3 безопасность это большой пласт информации, который помимо того что нужно выучить - нужно держать актуальным
А такого специалиста попросту может не оказаться в команде
Поэтому легче делегировать на внешних подрядчиков
Anton
Mykola
ну вот приведу пример с Сертик, многие протоколы которые они аудировали ломали, они теряли репутацию, однако это не мешало им дальше продолжать делать свою работу.
взглянем на другие компании: они все теряют репутацию и восстанавливают ее, нет идеальной репутации ни у кого, везде есть ошибки и это нормально.
поэтому я считаю что репутация ничего не стоит, есть конкретные критерии безопасности, есть знания как сделать контракты достаточно защищенными и все это в открытом доступе любому человеку.
я ратовал за то чтобы аудировал свой код сам разраб и нес за это ответственность. у разраба тоже если репутация, если вам так важен этот аспект его я оставил и в своем варианте
Солидарен.
А также с комментатором выше, и мнением "Аудит переоценен"
Мне недавно написал один "Активный дев-мембер сообщества", мол у вас баг в смарте! "Можно хакнуть и любой может дюпнуть миллионы сотен токенов" (дословно)
Я на всякий случай уточнил, конечно, у своих. Оказалось это "не баг, а фича", особенность смарт-контракта, которая позволяет обойти какие-то там ограничения и является уникальным решением проблемы.
Вывод: аудит переоценен, имхо.
P.S. Репутация - штука не стабильная. Сегодня есть, а завтра нет. Особенно в Веб3 пространстве.
𓄋𓂭𓃇
Кажется что web3 безопасность это большой пласт информации, который помимо того что нужно выучить - нужно держать актуальным
А такого специалиста попросту может не оказаться в команде
Поэтому легче делегировать на внешних подрядчиков
как писать контракты изначально не опираясь на безопасность?
Viktor🔮
как писать контракты изначально не опираясь на безопасность?
Часто видишь девов с хорошим знанием security?
Viktor🔮
Или когда делают продукт, в доке одно, а на деле другое
Viktor🔮
А потом страдают юзеры
Viktor🔮
аудиторская сделала аудит —> но проект взломали —> страдает юзер
Аудит не дает 100% гарантии, но уменьшает риски
Viktor🔮
Внешняя entity енивей нужна: баунти это или аудит
D
Я как пользователь, не посморю на проекты без аудита
𓄋𓂭𓃇
Или когда делают продукт, в доке одно, а на деле другое
в доке может быть то же что и в контракте, однако все равно можно соскамить потому что юзер не понимает ничего и не может проверить ни код контракта ни качество аудита )
tinsoldi3r
Viktor🔮
в доке может быть то же что и в контракте, однако все равно можно соскамить потому что юзер не понимает ничего и не может проверить ни код контракта ни качество аудита )
А может и не быть. У аудиторов есть репутация) + Для больших проектов делают аудиты несколько контор
tinsoldi3r
Хм, кстати в интересах фонда иметь своих аудиторов
А так да, с репутацией у аудиторов забавная история сложилась
𓄋𓂭𓃇
поэтому ответственность может быть только на команде, верифицированная команда с юридическим представительством —> это легитимизация крипты
если говорить о крипте как сером рынке, то bug bounty это те же 50/50 как и в случае с аудитом
D
Человек ищет аудиторов, а все налетели "нинужно", "нинадо", "своих надо" имет. Боюсь теперь для своих проектов искать тут аудиторов)
𓄋𓂭𓃇
Человек ищет аудиторов, а все налетели "нинужно", "нинадо", "своих надо" имет. Боюсь теперь для своих проектов искать тут аудиторов)
я думаю что можно подыскать аудитора, просто удостовериться что у него есть реальный опыт разработчика 🙂
𓄋𓂭𓃇
Хм, кстати в интересах фонда иметь своих аудиторов
да, они и имеют, ими являются штатные разрабы, если мы говорим о коде
tinsoldi3r
Человек ищет аудиторов, а все налетели "нинужно", "нинадо", "своих надо" имет. Боюсь теперь для своих проектов искать тут аудиторов)
Местные знают: на любой чих тут начинается замес 😂
𓄋𓂭𓃇
А может и не быть. У аудиторов есть репутация) + Для больших проектов делают аудиты несколько контор
пойнт про репутацию я попытался контраргументировать выше, но каждый при своем )
𓄋𓂭𓃇
Аудит не дает 100% гарантии, но уменьшает риски
а может и не уменьшает, если стало 2 уязвимости вместо 5, это не снижает шансы для пользователя
𓄋𓂭𓃇
Местные знают: на любой чих тут начинается замес 😂
меня малость обескураживает что люди чураются хорошей беседы если есть о чем
Anton
как писать контракты изначально не опираясь на безопасность?
Не знаю, ошибки везде и всегда бывают
Точно dev знает за безопасность, точно лишним не будет, но не обязательное условие
Sulpiride
ну вот приведу пример с Сертик, многие протоколы которые они аудировали ломали, они теряли репутацию, однако это не мешало им дальше продолжать делать свою работу.
взглянем на другие компании: они все теряют репутацию и восстанавливают ее, нет идеальной репутации ни у кого, везде есть ошибки и это нормально.
поэтому я считаю что репутация ничего не стоит, есть конкретные критерии безопасности, есть знания как сделать контракты достаточно защищенными и все это в открытом доступе любому человеку.
я ратовал за то чтобы аудировал свой код сам разраб и нес за это ответственность. у разраба тоже если репутация, если вам так важен этот аспект его я оставил и в своем варианте
по-моему ты немножко на спектре. В этом и смысл репутации, что она непостоянна и у кого-то ее нет, а у кого-то она есть и нужно очень много приложить усилий, чтобы ее добиться и сохранить
𓄋𓂭𓃇
Не знаю, ошибки везде и всегда бывают
Точно dev знает за безопасность, точно лишним не будет, но не обязательное условие
вы придумываете эти «условия»? Кажется что нет
𓄋𓂭𓃇
по-моему ты немножко на спектре. В этом и смысл репутации, что она непостоянна и у кого-то ее нет, а у кого-то она есть и нужно очень много приложить усилий, чтобы ее добиться и сохранить
это касается ownmarket дел, подобная компонента ведь есть у всех специалистов, и она в целом является больше областью маркетинга, потому что качество вашей работы зависит от Вас, а не вашей репутации
Sulpiride
посмотри в википедии значение слова "репутация"
Anton
вы придумываете эти «условия»? Кажется что нет
Эти условия выдвигает рынок, не всегда проект может себе позволить человека со всем спектром знаний + что бы он вместо разработки занимался аудитом
𓄋𓂭𓃇
посмотри в википедии значение слова "репутация"
ну вы же сами закапываете себя
эх давайте
<<<
Репутация — мнение (более научно — социальная оценка) группы субъектов о человеке, группе людей или организации на основе определённого критерия.
Это из вики.
в центре репутации стоит критерий, на основании которого можно судить о репутации.
сейчас бомба вопрос:
какой критерий оценки репутации у аудитора?
𓄋𓂭𓃇
вот у разработчика я знаю: качество его кода, причем ее можно оценить потому что есть база в виде литературы которая задает критерии оценки
а аудит в крипте? Никаких правил, никаких стандартов аудита, никаких критериев
Sulpiride
𓄋𓂭𓃇
❤️
Sulpiride
Написано "мнение группы о тебе". Чтобы узнать мнение группы нужно просто спросить у людей что они думают про твоего аудитора
Sulpiride
не нужен никакой четкий список критериев
Sulpiride
так работает человеческая коммуникация
𓄋𓂭𓃇
Написано "мнение группы о тебе". Чтобы узнать мнение группы нужно просто спросить у людей что они думают про твоего аудитора
кек, если человек ничего в этом не понимает что он сможет оценить?
Sulpiride
кек, если человек ничего в этом не понимает что он сможет оценить?
он не может, в чем проблема?
𓄋𓂭𓃇
после этого аргумента я сдаюсь
Sulpiride
𓄋𓂭𓃇
так работает человеческая коммуникация
да? Странно я думал что человеческая коммуникация более разнообразна а не так топорна
Sulpiride
да? Странно я думал что человеческая коммуникация более разнообразна а не так топорна
в этом ничего страшного нет и по-моему это лечится
𓄋𓂭𓃇
он не может, в чем проблема?
тогда нет смысла спрашивать о репутации ведь она ни о чем не говорит 😅
𓄋𓂭𓃇
Эти условия выдвигает рынок, не всегда проект может себе позволить человека со всем спектром знаний + что бы он вместо разработки занимался аудитом
человека без этих знаний подпускать не нужно к контрактам.
эта область заведомо знаема обществом как «достаточно рискованная», известно большое количество взломов и скама —> это накладывает определенные обязательства перед разработчиком контролировать безопасность своих контрактов в первую очередь,
лично я так понимаю «что хочет рынок»
Blue
Я думаю критерием репутации может быть количество инцидентов со взломами теми же. Например вспомнить ситуацию с MerlinDEX относительно недавно - там вроде их аудировал CertiK, но очевидный бекдор они никак не отметили, так что на их совести то, что был рагпул в том числе
𓄋𓂭𓃇
Я думаю критерием репутации может быть количество инцидентов со взломами теми же. Например вспомнить ситуацию с MerlinDEX относительно недавно - там вроде их аудировал CertiK, но очевидный бекдор они никак не отметили, так что на их совести то, что был рагпул в том числе
но репутация не может быть критерием качества аудита верно ведь?
Blue
но репутация не может быть критерием качества аудита верно ведь?
Конечный человек, кто будет нести в проект свои деньги не читает детали, он смотрит только популярен ли аудитор увы
𓄋𓂭𓃇
вот люди похоже не читают что я пишу, ведь указываю на то что аудитор должен быть разрабом, и что разраб в итоге должен отвечать за безопасность, ибо он несет ответственность на кону его шкура
𓄋𓂭𓃇
Выше кто-то писал что ну вот клиент рискует и поэтому нужны аудиторы чтобы проверять разработчиков, потому что клиент рискует собой —>
получается что в этой схеме разраб ничем не рискует? хм
Blue
вот люди похоже не читают что я пишу, ведь указываю на то что аудитор должен быть разрабом, и что разраб в итоге должен отвечать за безопасность, ибо он несет ответственность на кону его шкура
Обычно аудиторы и есть разработчики, просто колупают чужой код. Просто разработчик может быть неизвестный, и ничего не потеряет если соскамит проект через бекдор ручку или накосячит. С аудиторами же ситуация такая, что люди просто доверяют их имени, обычный нормис не вдается в детали про код.
В идеале конечно должна быть in-house разработка, где все разработчики доксед, но далеко не любой человек пойдет на такое
𓄋𓂭𓃇
ни репутацией?) 🤣🤣
а юридически? Кажется тоже несет ответственность
𓄋𓂭𓃇
Обычно аудиторы и есть разработчики, просто колупают чужой код. Просто разработчик может быть неизвестный, и ничего не потеряет если соскамит проект через бекдор ручку или накосячит. С аудиторами же ситуация такая, что люди просто доверяют их имени, обычный нормис не вдается в детали про код.
В идеале конечно должна быть in-house разработка, где все разработчики доксед, но далеко не любой человек пойдет на такое
В вашей схеме очевидно есть проблема
Ваш аудитор не несет ответственности, а мой да
Blue
В вашей схеме очевидно есть проблема
Ваш аудитор не несет ответственности, а мой да
Ответственность в моем примере будет в том, что его вердикт будет иметь меньше вес. Чем больше инцидентов - тем меньше веса оно будет нести, ибо платят им не за аудит на самом дел столько, сколько за штампик что вот они проверили и там имя их.
От одного инцидента может и не поменяется ничего, но в том же примере с MerlinDEX очень сильная шумиха в твиттере поднялась тогда на CertiK)
Anton
человека без этих знаний подпускать не нужно к контрактам.
эта область заведомо знаема обществом как «достаточно рискованная», известно большое количество взломов и скама —> это накладывает определенные обязательства перед разработчиком контролировать безопасность своих контрактов в первую очередь,
лично я так понимаю «что хочет рынок»
Бизнес сам разберётся, что и кто им нужен
Видимо сейсас выгоднее на релизе заказать аудит, нежели долго и дорого искать человека нужных компетенций
𓄋𓂭𓃇
Anton
соскамить тоже выгодно
Ну минус репутация, потом никто сотрудничать ну захочет
Вот случай с абракадабра был
𓄋𓂭𓃇
Ответственность в моем примере будет в том, что его вердикт будет иметь меньше вес. Чем больше инцидентов - тем меньше веса оно будет нести, ибо платят им не за аудит на самом дел столько, сколько за штампик что вот они проверили и там имя их.
От одного инцидента может и не поменяется ничего, но в том же примере с MerlinDEX очень сильная шумиха в твиттере поднялась тогда на CertiK)
то что вы описали про уменьшение веса репутации не является ответственностью
𓄋𓂭𓃇
это следствие вашей работы
D
Бизнес сам разберётся, что и кто им нужен
Видимо сейсас выгоднее на релизе заказать аудит, нежели долго и дорого искать человека нужных компетенций
за пару месяцев, просто это не за день делается, предварительные созвоны и по процессу, если mixbytes какие-нибудь, то и очередь еще на полгода-год
𓄋𓂭𓃇
А не ваша ответственность потому что это не влияет на качество Вашей работы
Blue
соскамить тоже выгодно
Если для скама есть ручка - то аудитор либо ставит красный флаг, либо к нему вопросы. Юридически тут очень все фигово на самом деле, тут почти никто не несёт ответственность в этом плане.
Всегда списывается все на хакеров и ошибку, даже если это очевидный скам
𓄋𓂭𓃇
опять же мне приходится повторяться потому что вы не читаете что пишу
𓄋𓂭𓃇
то есть вопросы это и есть то снижение репутации?
Blue
то что вы описали про уменьшение веса репутации не является ответственностью
Ответственность это как раз и есть следствия решений человека и принятие последствий из этого, это не обязательно что к нему с вилами придут или в суд позовут
𓄋𓂭𓃇
Если для скама есть ручка - то аудитор либо ставит красный флаг, либо к нему вопросы. Юридически тут очень все фигово на самом деле, тут почти никто не несёт ответственность в этом плане.
Всегда списывается все на хакеров и ошибку, даже если это очевидный скам
второй пойнт про «списывается» не по теме диалога если что
𓄋𓂭𓃇
есть конкретная ответственность у владельцев/разработчиков проектов
Blue
Какие к нему вопросы?
Вопросы в духе «почему не предупредили что они могут так сделать», которые ломают легитимность репортов этих аудиторов в будущем
𓄋𓂭𓃇
Вопросы в духе «почему не предупредили что они могут так сделать», которые ломают легитимность репортов этих аудиторов в будущем
и что дают эти вопросы? Да ничего
𓄋𓂭𓃇
иначе бы Сертик уже умерли
Blue
Или просто меньше доверия, не суть
Blue
Больше они ничего не ставят на это
𓄋𓂭𓃇
Их последующих репорты не будут вызывать доверия
тогда почему проекты вышеназванной аудиторской все же заказываются если не несут под собой «доверия»
Viktor🔮
тогда почему проекты вышеназванной аудиторской все же заказываются если не несут под собой «доверия»
Какое у них % фейлов из всех аудитов?
Blue
тогда почему проекты вышеназванной аудиторской все же заказываются если не несут под собой «доверия»
Лично я знаю только один инцидент с ними, может там были еще какие то. Но всегда есть запас прочности по репутации так или иначе, тут да - оно не имеет моментального эффекта
Anton
то есть вопросы это и есть то снижение репутации?
Да, в следующий раз когда увидите на сайте упоминания аудита от сертика вспомните про их репутацию
Нормальные проекты которым важно быть безопасным, скорее всего перестанут сотрудничать с сертиком