Attenzione ⚠️: non è una nuova recensione di taglie A tutti noi auditor piace concentrarci sulle critiche succose e ridurre al minimo il lavoro non tecnico. A chi importa delle scartoffie e delle riunioni quando hai appena trovato un nuovo modo per prosciugare un contratto DeFi? Ma tutte le cose dovrebbero essere fatte con moderazione, e troppo spesso vediamo ricercatori indipendenti lesinare totalmente sull'ottenere anche un accordo di base firmato con il cliente. Questo è stato qualcosa che abbiamo fatto anche nei primi mesi di TrustSec: collegarci con un cliente su TG / discord, discutere del team, del prezzo e della tempistica e iniziare. Sembrava liscio e senza attrito, quindi qual è il problema? Come per molte cose, funziona bene fino a quando non lo fa. Quando si gestiscono 50+ audit all'anno, si inizia a imbattersi in casi limite. E quando lo fai, avere le cose ripulite in anticipo evita un sacco di attriti in punti potenzialmente sensibili della sequenza temporale dell'audit. Vedi, il punto di un accordo di servizi non è che può essere discusso in un tribunale a migliaia di chilometri dalla tua posizione attuale. Certo, nel peggiore dei casi, può essere. Ma per lo più è fatto per allineare le aspettative di entrambe le parti, un modo per costringere due parti a parlare di dettagli che altrimenti non farebbero. Ecco solo alcuni scenari che sono emersi e che dovrebbero essere gestiti in modo esplicito: - Il client non è pronto con il commit finale prima della data di inizio. - Per motivi imprevisti, uno o più revisori non sono disponibili per una parte o per l'intera finestra di audit. - L'ambito finale richiede tempi di revisione più lunghi, aumentando i costi. - Dibattito su quale strumento e formattazione viene utilizzato per contare lo SLOC finale. - Il client introduce nuove funzionalità per la revisione nell'audit delle correzioni. - Richiesta di invio del pagamento solo dopo la consegna del referto. - Il cliente desidera annullare l'audit con un preavviso di sole 24 ore. - Il cliente desidera inviare il pagamento sulla sua blockchain preferita. - Obiezioni sulla pubblicazione del rapporto dopo un periodo di attesa accettabile. Oltre a chiarire come gestire questi scenari, un accordo fornisce anche ai revisori una protezione fondamentale: - Declina ogni responsabilità per bug ed exploit mancati. - Mantiene i diritti di proprietà intellettuale sugli strumenti e sui concetti di attacco sviluppati durante l'audit (nella misura consentita dalla legge). - Organizza acconti, spese di cancellazione e così via. - Soddisfa i requisiti di due diligence, KYB e quadro giuridico. Ciò è rilevante per i requisiti fiscali, di conformità e di fonte dei fondi. Per questi motivi, abbiamo rapidamente scoperto che vale la pena dedicare un po' di tempo in più prima di prenotare le cose e incoraggiamo ogni revisore che gestisce un'attività legittima a fare lo stesso.