Aviso ⚠️: Não é uma nova recompensa escrita Todos nós, auditores, gostamos de nos concentrar nos suculentos crits e manter o trabalho não tecnológico ao mínimo. Quem se importa com papelada e reuniões quando você acabou de encontrar uma nova maneira de drenar um contrato DeFi? Mas todas as coisas devem ser feitas com moderação e, muitas vezes, vemos pesquisadores independentes economizando totalmente na obtenção de até mesmo um acordo básico assinado com o cliente. Isso foi algo que também fizemos nos primeiros meses da TrustSec - conecte-se com um cliente no TG / discord, discuta equipe, preço e cronograma, e apenas comece. Sentiu-se suave e sem atrito, então qual é o problema? Como acontece com muitas coisas, funciona bem até que não funciona. Quando você gerencia 50+ auditorias por ano, começa a se deparar com casos de borda. E quando isso acontece, ter as coisas limpas com antecedência evita uma tonelada de atrito em pontos potencialmente sensíveis na linha do tempo da auditoria. Veja, o ponto de um contrato de serviços não é que ele possa ser litigado em um tribunal a milhares de quilômetros de sua localização atual. Claro, na pior das hipóteses, pode ser. Mas principalmente é feito para alinhar as expectativas de ambos os lados, uma maneira de forçar dois lados a falar sobre detalhes que de outra forma não fariam. Aqui estão apenas alguns cenários que surgiram e devem ser explicitamente tratados: - O cliente não está pronto com o compromisso final antes da data de início. - Por razões imprevistas, um ou mais auditores não estão disponíveis para parte ou para toda a janela de auditoria. - O âmbito final exige um tempo de revisão mais longo, aumentando os custos. - Debater sobre qual ferramenta e formatação é usada para contar o SLOC final. - Cliente introduz nova funcionalidade para revisão na auditoria de correção. - Pedir que o pagamento seja enviado somente após a entrega do relatório. - O cliente deseja cancelar a auditoria com apenas 24 horas de antecedência. - O cliente deseja enviar o pagamento em seu blockchain preferido. - Objeções à publicação do relatório após um período de espera aceitável. Além de deixar claro como lidar com esses cenários, um contrato também fornece aos auditores proteção crítica: - Renuncia a qualquer responsabilidade por bugs perdidos e exploits. - Mantém direitos de PI sobre ferramentas, conceitos de ataque desenvolvidos durante a auditoria (na medida em que a lei permita). - Organiza adiantamentos, taxas de cancelamento e assim por diante. - Atende aos requisitos de due diligence, KYB e marco legal. Isso é relevante para os requisitos de tributação, conformidade e fonte de recursos. Por esses motivos, descobrimos rapidamente que vale a pena gastar um pouco de tempo extra antes de reservar as coisas, e incentivamos todos os auditores que administram uma empresa legítima a fazer o mesmo.