Varning ⚠️: Inte en ny bounty-skrivning Vi revisorer gillar alla att fokusera på de saftiga critsen och hålla icke-tekniskt arbete till ett minimum. Vem bryr sig om pappersarbete och möten när du precis har hittat ett nytt sätt att tömma ett DeFi-kontrakt? Men allt bör göras med måtta, och alltför ofta ser vi oberoende forskare som helt snålar med att få ens ett grundläggande avtal undertecknat med kunden. Detta var något vi också gjorde under de första månaderna av TrustSec - koppla upp oss med en kund på TG / discord, diskutera team, pris och tidslinje och bara komma igång. Kändes smidig och friktionsfri, så vad är problemet? Som med många saker fungerar det bra tills det inte gör det. När du hanterar 50+ revisioner per år börjar du stöta på gränsfall. Och när du gör det kan du undvika massor av friktion vid potentiellt känsliga punkter i revisionens tidslinje om du har saker och ting utrensade i förväg. Poängen med ett tjänsteavtal är inte att det kan prövas i en domstol tusentals mil från din nuvarande plats. Visst, i värsta fall kan det vara det. Men för det mesta görs det för att rada upp förväntningar från båda sidor, ett sätt att tvinga två sidor att prata om detaljer som de annars inte skulle prata om. Här är bara några scenarier som har dykt upp och som uttryckligen bör hanteras: - Kunden är inte klar med den slutliga incheckningen före startdatumet. - Av oförutsedda skäl är en eller flera revisorer inte tillgängliga för en del av eller hela revisionsfönstret. - Det slutliga omfånget kräver längre granskningstid, vilket ökar kostnaderna. - Diskutera vilket verktyg och vilken formatering som används för att räkna slutlig SLOC. - Klienten introducerar ny funktionalitet för granskning i fixrevisionen. - Be om att betalning ska skickas först efter att rapporten har levererats. - Kunden vill avbryta revisionen med bara 24 timmars varsel. - Kunden vill skicka betalning på sin föredragna blockchain. - Invändningar mot att rapporten publiceras efter en acceptabel väntetid. Förutom att göra det tydligt hur dessa scenarier ska hanteras, ger ett avtal också revisorer ett viktigt skydd: - Avsäger sig allt ansvar för missade buggar och kryphål. - Upprätthåller IP-rättigheter på verktyg, attackkoncept som utvecklats under revisionen (i den utsträckning lagen tillåter). - Ordnar med handpenning, avbokningsavgifter och så vidare. - Uppfyller kraven på due diligence, KYB och det rättsliga ramverket. Detta är relevant för krav på beskattning, efterlevnad och finansieringskälla. Av dessa skäl fann vi snabbt att det är väl värt att spendera lite extra tid innan vi bokar saker, och vi uppmuntrar alla revisorer som driver ett legitimt företag att göra detsamma.