Waarschuwing ⚠️: Geen nieuwe bounty-beschrijving Wij auditors houden er allemaal van om ons te concentreren op de sappige kritieken en niet-technisch werk tot een minimum te beperken. Wie geeft er om papierwerk en vergaderingen als je net een nieuwe manier hebt gevonden om een DeFi-contract leeg te maken? Maar alles moet met mate worden gedaan, en te vaak zien we dat onafhankelijke onderzoekers volledig beknibbelen op het ondertekenen van zelfs maar een basisovereenkomst met de klant. Dit was iets wat we ook deden in de eerste maanden van TrustSec - contact opnemen met een klant op TG / discord, team, prijs en tijdlijn bespreken en gewoon aan de slag gaan. Voelde soepel en wrijvingsloos aan, dus wat is het probleem? Zoals met veel dingen, werkt het goed totdat het niet meer werkt. Wanneer u 50+ audits per jaar beheert, begint u tegen randgevallen aan te lopen. En als u dat doet, voorkomt het van tevoren opruimen van zaken een hoop wrijving op mogelijk gevoelige punten in de audittijdlijn. Kijk, het punt van een dienstenovereenkomst is niet dat deze kan worden geprocedeerd bij een rechtbank die duizenden kilometers van uw huidige locatie verwijderd is. Natuurlijk, in het ergste geval kan het dat zijn. Maar meestal wordt het gedaan om de verwachtingen van beide kanten op één lijn te brengen, een manier om twee partijen te dwingen over details te praten die ze anders niet zouden doen. Hier zijn slechts een paar scenario's die naar voren zijn gekomen en die expliciet moeten worden behandeld: - Cliënt is niet klaar met de definitieve toezegging voor de startdatum. - Om onvoorziene redenen zijn een of meer auditors niet beschikbaar voor een deel van of het gehele auditvenster. - De uiteindelijke scope vereist een langere beoordelingstijd, waardoor de kosten stijgen. - Debatteren over welke tool en opmaak wordt gebruikt om de uiteindelijke SLOC te tellen. - Client introduceert nieuwe functionaliteit voor beoordeling in de fix-audit. - Vragen om betaling pas te verzenden na levering van het rapport. - De klant wenst de audit te annuleren met een opzegtermijn van slechts 24 uur. - De klant wil betalen op de blockchain van zijn voorkeur. - Bezwaren tegen het publiceren van het rapport na een acceptabele wachttijd. Een overeenkomst maakt niet alleen duidelijk hoe met deze scenario's moet worden omgegaan, maar biedt auditors ook kritieke bescherming: - Doet afstand van elke verantwoordelijkheid voor gemiste bugs en exploits. - Behoudt IP-rechten op tools, aanvalsconcepten die tijdens de audit zijn ontwikkeld (voor zover de wet dit toestaat). - Regelt aanbetalingen, annuleringskosten enzovoort. - Voldoet aan due diligence-eisen, KYB en wettelijk kader. Dit is relevant voor de vereisten op het gebied van belastingen, naleving en financieringsbronnen. Om die redenen ontdekten we al snel dat het de moeite waard is om wat extra tijd te besteden aan het boeken van dingen, en we moedigen elke auditor die een legitiem bedrijf runt aan om hetzelfde te doen.