Aviso ⚠️: Não é um novo artigo sobre recompensas Todos nós, auditores, gostamos de nos concentrar nas críticas suculentas e manter o trabalho não técnico no mínimo. Quem se importa com papelada e reuniões quando você acabou de encontrar uma nova maneira de drenar um contrato DeFi? Mas todas as coisas devem ser feitas com moderação, e muitas vezes vemos pesquisadores independentes economizando totalmente em obter até mesmo um acordo básico assinado com o cliente. Isso foi algo que também fizemos nos primeiros meses do TrustSec - conectar-se com um cliente no TG / discord, discutir equipe, preço e cronograma e apenas começar. Parecia suave e sem atrito, então qual é o problema? Como acontece com muitas coisas, funciona bem até que não funcione. Quando você gerencia 50+ auditorias por ano, começa a se deparar com casos extremos. E quando você faz isso, ter as coisas limpas com antecedência evita uma tonelada de atrito em pontos potencialmente sensíveis no cronograma de auditoria. Veja, o objetivo de um contrato de serviços não é que ele possa ser litigado em um tribunal a milhares de quilômetros de sua localização atual. Claro, na pior das hipóteses, possivelmente pode ser. Mas, principalmente, é feito para alinhar as expectativas de ambos os lados, uma maneira de forçar os dois lados a falar sobre detalhes que, de outra forma, não fariam. Aqui estão apenas alguns cenários que surgiram e devem ser tratados explicitamente: - O cliente não está pronto com a confirmação final antes da data de início. - Por motivos imprevistos, um ou mais auditores não estão disponíveis para parte ou para toda a janela de auditoria. - O escopo final requer mais tempo de revisão, aumentando os custos. - Debater sobre qual ferramenta e formatação são usadas para contar o SLOC final. - O cliente introduz uma nova funcionalidade para revisão na auditoria de correção. - Solicitar que o pagamento seja enviado somente após a entrega do relatório. - O cliente deseja cancelar a auditoria com apenas 24 horas de antecedência. - O cliente deseja enviar o pagamento em seu blockchain preferido. - Objeções sobre o relatório ser publicado após um período de espera aceitável. Além de deixar claro como lidar com esses cenários, um acordo também fornece aos auditores proteção crítica: - Renuncia a qualquer responsabilidade por bugs e exploits perdidos. - Mantém os direitos de PI sobre ferramentas, conceitos de ataque desenvolvidos durante a auditoria (na medida em que a lei permite). - Providencia adiantamentos, taxas de cancelamento e assim por diante. - Atende aos requisitos de due diligence, KYB e estrutura legal. Isso é relevante para os requisitos de tributação, conformidade e fonte de fundos. Por esses motivos, descobrimos rapidamente que vale a pena gastar um pouco de tempo extra antes de reservar as coisas e incentivamos todos os auditores que administram um negócio legítimo a fazer o mesmo.