警告 ⚠️：这不是一个新的赏金报告 我们审计员都喜欢专注于那些吸引人的关键点，并尽量减少非技术工作。谁会在发现一种新方法来耗尽DeFi合约时还关心文书工作和会议呢？但所有事情都应该适度进行，我们经常看到独立研究人员完全忽略与客户签署基本协议。 这也是我们在TrustSec的最初几个月所做的事情——在TG/discord上与客户联系，讨论团队、价格和时间表，然后直接开始。感觉顺畅无阻，那么问题出在哪里呢？ 如同许多事情一样，它在顺利进行时效果很好，直到不再顺利。当你每年管理50多个审计时，你会开始遇到边缘情况。当你遇到这些情况时，提前解决问题可以避免在审计时间线的潜在敏感点上产生大量摩擦。 看，服务协议的意义不在于它可以在距离你当前位置数千英里的法院进行诉讼。当然，在最坏的情况下，可能会这样。但大多数情况下，它是为了对双方的期望进行对齐，是一种迫使双方讨论他们本不会讨论的细节的方式。 以下是一些已经出现并应明确处理的情景： - 客户在开始日期前没有准备好最终提交。 - 由于不可预见的原因，一位或多位审计员在部分或整个审计窗口期间不可用。 - 最终范围需要更长的审查时间，增加了成本。 - 争论使用哪种工具和格式来计算最终SLOC。 - 客户在修复审计中引入了新功能进行审查。 - 要求在报告交付后才付款。 - 客户希望在仅提前24小时通知的情况下取消审计。 - 客户希望在他们首选的区块链上发送付款。 - 对报告在可接受的等待期后发布的异议。 除了明确如何处理这些情景外，协议还为审计员提供了关键保护： - 免除对错过的漏洞和攻击的责任。 - 保留在审计期间开发的工具、攻击概念的知识产权（在法律允许的范围内）。 - 安排定金、取消费用等。 - 满足尽职调查要求、KYB和法律框架。这与税收、合规性和资金来源要求相关。 出于这些原因，我们很快发现，在预订之前花一点额外时间是非常值得的，我们鼓励每位经营合法业务的审计员也这样做。