Advarsel ⚠️: Ikke en ny bounty-oppskrivning Vi revisorer liker alle å fokusere på de saftige kritikkene og holde ikke-teknologisk arbeid på et minimum. Hvem bryr seg om papirarbeid og møter når du nettopp har funnet en ny måte å tømme en DeFi-kontrakt på? Men alt bør gjøres med måte, og altfor ofte ser vi uavhengige forskere som sparer totalt på å få en grunnleggende avtale signert med klienten. Dette var noe vi også gjorde i de første månedene av TrustSec - koble opp med en klient på TG / discord, diskutere team, pris og tidslinje, og bare komme i gang. Føltes glatt og friksjonsfri, så hva er problemet? Som med mange ting, fungerer det bra til det ikke gjør det. Når du administrerer 50+ revisjoner i året, begynner du å støte på kantsaker. Og når du gjør det, unngår du massevis av friksjon på potensielt sensitive punkter i revisjonstidslinjen. Se, poenget med en tjenesteavtale er ikke at den kan behandles ved en domstol tusenvis av kilometer fra din nåværende plassering. Jada, i verste fall kan det muligens være det. Men for det meste gjøres det for å stille opp forventningene fra begge sider, en måte å tvinge to sider til å snakke om detaljer de ellers ikke ville gjort. Her er bare noen få scenarier som har dukket opp, og som bør håndteres eksplisitt: - Klienten er ikke klar med endelig forpliktelse før startdato. - Av uforutsette årsaker er en eller flere revisorer ikke tilgjengelige for deler av eller hele revisjonsvinduet. - Endelig omfang krever lengre gjennomgangstid, noe som øker kostnadene. - Debatt om hvilket verktøy og formatering som brukes for å telle endelig SLOC. - Klient introduserer ny funksjonalitet for gjennomgang i reparasjonsrevisjonen. - Ber om at betaling sendes først etter at rapporten er levert. - Kunden ønsker å kansellere revisjonen med bare 24 timers varsel. - Kunden ønsker å sende betaling på sin foretrukne blokkjede. - Innvendinger mot at rapporten publiseres etter en akseptabel ventetid. Bortsett fra å gjøre det klart hvordan disse scenariene skal håndteres, gir en avtale også revisorer kritisk beskyttelse: - Fraskriver seg ethvert ansvar for tapte feil og utnyttelser. - Opprettholder IP-rettigheter på verktøy, angrepskonsepter utviklet under revisjonen (i den grad loven tillater det). - Ordner med forskuddsbetalinger, avbestillingsgebyrer og så videre. - Oppfyller krav til aktsomhet, KYB og juridisk rammeverk. Dette er relevant for beskatning, etterlevelse og krav til finansieringskilder. Av disse grunnene fant vi raskt ut at det er vel verdt det å bruke litt ekstra tid før vi får bestilt ting, og vi oppfordrer alle revisorer som driver en legitim virksomhet til å gjøre det samme.