Attention ⚠️ : Il ne s’agit pas d’un nouvel article sur les primes Nous, les auditeurs, aimons tous nous concentrer sur les critiques juteuses et réduire au minimum le travail non technique. Qui se soucie de la paperasse et des réunions alors que vous venez de trouver une nouvelle façon de vider un contrat DeFi ? Mais tout doit être fait avec modération, et trop souvent, nous voyons des chercheurs indépendants lésiner totalement sur la signature d’un accord même de base avec le client. C’est quelque chose que nous avons également fait dans les premiers mois de TrustSec - connectez-vous avec un client sur TG / discord, discutez de l’équipe, du prix et du calendrier, et commencez. Se sentait lisse et sans friction, alors quel est le problème ? Comme pour beaucoup de choses, cela fonctionne bien jusqu’à ce que ce ne soit plus le cas. Lorsque vous gérez + de 50 audits par an, vous commencez à rencontrer des cas limites. Et lorsque vous le faites, le fait d’avoir réglé les choses à l’avance permet d’éviter une tonne de frictions à des moments potentiellement sensibles de la chronologie de l’audit. Vous voyez, l’intérêt d’un contrat de services n’est pas qu’il puisse être plaidé devant un tribunal à des milliers de kilomètres de votre emplacement actuel. Bien sûr, dans le pire des cas, c’est possible. Mais la plupart du temps, c’est fait pour aligner les attentes des deux côtés, un moyen de forcer les deux parties à parler de détails qu’elles n’auraient pas autrement fait. Voici quelques scénarios qui se sont présentés et qui doivent être explicitement gérés : - Le client n’est pas prêt pour la validation finale avant la date de début. - Pour des raisons imprévues, un ou plusieurs auditeurs ne sont pas disponibles pour une partie ou la totalité de la fenêtre d’audit. - La portée finale nécessite un temps d’examen plus long, ce qui augmente les coûts. - Débat sur l’outil et le formatage utilisés pour compter le SLOC final. - Le client introduit une nouvelle fonctionnalité pour l’examen dans l’audit de correction. - Demander que le paiement ne soit envoyé qu’après la remise du rapport. - Le client souhaite annuler l’audit avec un préavis de 24 heures. - Le client souhaite envoyer le paiement sur la blockchain de son choix. - Objections à ce que le rapport soit publié après une période d’attente acceptable. En plus d’indiquer clairement comment gérer ces scénarios, un accord offre également aux auditeurs une protection essentielle : - Décline toute responsabilité pour les bugs et exploits manqués. - Maintient les droits de propriété intellectuelle sur les outils, les concepts d’attaque développés lors de l’audit (dans la mesure où la loi le permet). - S’occupe des acomptes, des frais d’annulation, etc. - Répond aux exigences de diligence raisonnable, au KYB et au cadre juridique. Ceci est pertinent pour les exigences en matière de fiscalité, de conformité et de source de fonds. Pour ces raisons, nous avons rapidement constaté qu’il valait la peine de passer un peu plus de temps avant de réserver des choses, et nous encourageons tous les auditeurs qui dirigent une entreprise légitime à faire de même.