Advertencia ⚠️: No es un nuevo artículo de recompensa A todos los auditores nos gusta centrarnos en los críticos jugosos y mantener el trabajo no tecnológico al mínimo. ¿A quién le importa el papeleo y las reuniones cuando acabas de encontrar una forma novedosa de vaciar un contrato DeFi? Pero todas las cosas deben hacerse con moderación, y con demasiada frecuencia vemos que los investigadores independientes escatiman por completo en conseguir que se firme incluso un acuerdo básico con el cliente. Esto fue algo que también hicimos en los primeros meses de TrustSec: conectarnos con un cliente en TG / discord, discutir el equipo, el precio y el cronograma, y simplemente comenzar. Se sintió suave y sin fricciones, entonces, ¿cuál es el problema? Como con muchas cosas, funciona bien hasta que deja de funcionar. Cuando gestionas 50+ auditorías al año, empiezas a encontrarte con casos extremos. Y cuando lo haces, tener las cosas claras con anticipación evita una tonelada de fricción en puntos potencialmente sensibles en el cronograma de la auditoría. Verás, el punto de un acuerdo de servicios no es que se pueda litigar en un tribunal a miles de millas de tu ubicación actual. Claro, en el peor de los casos, puede ser. Pero sobre todo se hace para alinear las expectativas de ambas partes, una forma de obligar a las dos partes a hablar sobre detalles que de otro modo no lo harían. Estos son solo algunos escenarios que han surgido y que deben controlarse explícitamente: - El cliente no está listo con la confirmación final antes de la fecha de inicio. - Por razones imprevistas, uno o más auditores no están disponibles para parte o la totalidad del período de auditoría. - El alcance final requiere un tiempo de revisión más largo, lo que aumenta los costos. - Debate sobre qué herramienta y formato se utiliza para contar el SLOC final. - El cliente presenta una nueva funcionalidad para su revisión en la auditoría de corrección. - Solicitar que el pago se envíe solo después de la entrega del informe. - El cliente desea cancelar la auditoría con solo 24 horas de anticipación. - El cliente desea enviar el pago en su cadena de bloques preferida. - Objeciones sobre la publicación del informe después de un período de espera aceptable. Además de dejar claro cómo manejar estos escenarios, un acuerdo también proporciona a los auditores una protección crítica: - Renuncia a cualquier responsabilidad por errores y exploits perdidos. - Mantiene los derechos de propiedad intelectual sobre las herramientas, ataca los conceptos desarrollados durante la auditoría (en la medida en que la ley lo permita). - Organiza los pagos iniciales, las tarifas de cancelación, etc. - Cumple con los requisitos de diligencia debida, KYB y marco legal. Esto es relevante para los requisitos fiscales, de cumplimiento y de origen de fondos. Por esas razones, rápidamente nos dimos cuenta de que vale la pena dedicar un poco de tiempo extra antes de reservar las cosas, y animamos a todos los auditores que dirigen un negocio legítimo a hacer lo mismo.