Предупреждение ⚠️: Это не новый отчет о баунти Мы, аудиторы, все любим сосредотачиваться на сочных критических уязвимостях и сводить к минимуму нетехническую работу. Кому нужны бумажная волокита и встречи, когда вы только что нашли новый способ опустошить DeFi-контракт? Но все должно быть в меру, и слишком часто мы видим, как независимые исследователи полностью пренебрегают даже базовым соглашением с клиентом. Это было то, что мы тоже делали в первые месяцы работы TrustSec — связывались с клиентом в TG/Discord, обсуждали команду, цену и сроки, и просто начинали. Казалось, что все идет гладко и без трений, так в чем же проблема? Как и во многих вещах, это работает хорошо, пока не перестает. Когда вы проводите более 50 аудитов в год, вы начинаете сталкиваться с крайними случаями. И когда это происходит, наличие заранее оговоренных условий позволяет избежать множества трений в потенциально чувствительные моменты аудита. Смотрите, цель соглашения об услугах не в том, чтобы его можно было оспорить в суде за тысячи миль от вашего текущего местоположения. Конечно, в худшем случае это возможно. Но в основном оно нужно для согласования ожиданий обеих сторон, способа заставить обе стороны обсудить детали, которые они иначе не затронули бы. Вот лишь несколько сценариев, которые возникали и которые следует явно предусмотреть: - Клиент не готов с финальной версией к началу аудита. - По непредвиденным причинам один или несколько аудиторов недоступны на часть или весь период аудита. - Финальный объем работы требует большего времени на проверку, что увеличивает затраты. - Споры о том, какой инструмент и формат использовать для подсчета итогового SLOC. - Клиент добавляет новую функциональность для проверки в процессе исправления. - Запрос на оплату только после доставки отчета. - Клиент хочет отменить аудит за 24 часа до начала. - Клиент хочет отправить оплату в своей предпочитаемой блокчейн-сети. - Возражения против публикации отчета после приемлемого периода ожидания. Помимо того, что соглашение проясняет, как справляться с этими сценариями, оно также предоставляет аудиторам критически важную защиту: - Освобождает от ответственности за пропущенные баги и эксплойты. - Сохраняет права интеллектуальной собственности на инструменты и концепции атак, разработанные во время аудита (в пределах, разрешенных законом). - Устанавливает предоплаты, штрафы за отмену и так далее. - Соответствует требованиям должной осмотрительности, KYB и правовой базы. Это важно для налогообложения, соблюдения норм и требований к источнику средств. По этим причинам мы быстро поняли, что потратить немного дополнительного времени перед началом работы стоит того, и мы призываем каждого аудитора, ведущего легитимный бизнес, делать то же самое.