Warnung ⚠️: Kein neuer Bounty-Bericht Wir Auditoren konzentrieren uns alle gerne auf die saftigen Kritikpunkte und beschränken die nicht-technische Arbeit auf ein Minimum. Wen interessieren schon Papierkram und Meetings, wenn Sie gerade einen neuen Weg gefunden haben, einen DeFi-Vertrag zu entleeren? Aber alle Dinge sollten in Maßen geschehen, und allzu oft sehen wir, dass unabhängige Forscher völlig daran sparen, auch nur eine grundlegende Vereinbarung mit dem Kunden zu unterzeichnen. Das war etwas, was wir auch in den ersten Monaten von TrustSec getan haben - uns mit einem Kunden auf TG / Discord verbinden, Team, Preis und Zeitplan besprechen und einfach loslegen. Fühlte sich glatt und reibungsfrei an, was ist also das Problem? Wie bei vielen Dingen funktioniert es gut, bis es nicht mehr funktioniert. Wenn Sie 50+ Audits pro Jahr verwalten, stoßen Sie auf Grenzfälle. Und wenn Sie dies tun, vermeiden Sie durch eine frühzeitige Klärung der Dinge eine Menge Reibungsverluste an potenziell sensiblen Punkten im Audit-Zeitplan. Sehen Sie, der Sinn eines Dienstleistungsvertrags besteht nicht darin, dass er vor einem Gericht verhandelt werden kann, das Tausende von Kilometern von Ihrem aktuellen Standort entfernt ist. Klar, im schlimmsten Fall kann es das sein. Aber vor allem geschieht dies, um die Erwartungen beider Seiten zu wecken, um zwei Seiten zu zwingen, über Details zu sprechen, die sie sonst nicht sprechen würden. Hier sind nur einige Szenarien, die aufgetreten sind und explizit behandelt werden sollten: - Der Client ist nicht bereit für den endgültigen Commit vor dem Startdatum. - Aus unvorhergesehenen Gründen stehen ein oder mehrere Auditoren für einen Teil oder das gesamte Auditfenster nicht zur Verfügung. - Der endgültige Umfang erfordert eine längere Überprüfungszeit, was die Kosten erhöht. - Diskutieren Sie, welches Werkzeug und welche Formatierung verwendet wird, um den endgültigen SLOC zu zählen. - Der Client führt neue Funktionen für die Überprüfung im Fix-Audit ein. - Bitte, dass die Zahlung erst nach Zustellung des Berichts gesendet wird. - Der Kunde möchte das Audit mit nur 24 Stunden Vorlaufzeit absagen. - Der Kunde möchte Zahlungen über seine bevorzugte Blockchain senden. - Einwände gegen die Veröffentlichung des Berichts nach einer akzeptablen Wartezeit. Eine Vereinbarung macht nicht nur deutlich, wie mit diesen Szenarien umzugehen ist, sondern bietet den Prüfern auch einen entscheidenden Schutz: - Lehnt jegliche Verantwortung für übersehene Bugs und Exploits ab. - Wahrung von Schutzrechten an Tools, Angriffskonzepten, die im Rahmen der Prüfung entwickelt wurden (soweit gesetzlich zulässig). - Arrangiert Anzahlungen, Stornogebühren und so weiter. - Erfüllt die Anforderungen an die Sorgfaltspflicht, KYB und den rechtlichen Rahmen. Dies ist relevant für die Besteuerung, die Einhaltung von Vorschriften und die Herkunft der Mittel. Aus diesen Gründen haben wir schnell festgestellt, dass es sich lohnt, ein wenig mehr Zeit zu investieren, bevor man Dinge bucht, und wir ermutigen jeden Prüfer, der ein seriöses Unternehmen führt, dasselbe zu tun.