Попередження ⚠️ : Не новий запис про винагороду Усі ми, аудитори, любимо зосереджуватися на соковитих крихтах і зводити до мінімуму нетехнічну роботу. Кого хвилює паперова тяганина та зустрічі, коли ви щойно знайшли новий спосіб спустошити DeFi-контракт? Але все повинно бути в міру, і дуже часто ми бачимо, що незалежні дослідники абсолютно скупляться на підписання навіть базової угоди з клієнтом. Це було те, що ми також робили в перші місяці роботи TrustSec - зв'язувалися з клієнтом на TG / Discord, обговорювали команду, ціну і терміни, і просто починали. Відчувається гладко і без тертя, так в чому ж проблема? Як і в багатьох речах, він добре працює, поки це не так. Коли ви проводите 50+ аудитів на рік, ви починаєте стикатися з периферійними кейсами. І коли ви це зробите, завчасно з'ясування проблем дозволить уникнути маси тертя в потенційно чутливих моментах терміну аудиту. Розумієте, суть договору про надання послуг не в тому, що його можна оскаржити в суді за тисячі кілометрів від вашого поточного місця розташування. Звичайно, в гіршому випадку це може бути. Але в основному це робиться для того, щоб вибудувати очікування з обох сторін, щоб змусити обидві сторони говорити про деталі, які вони б інакше не зробили б. Ось лише кілька сценаріїв, які виникли, і з якими слід чітко впоратися: - Клієнт не готовий до фінального коміту до дати початку. - З непередбачених причин один або кілька аудиторів недоступні протягом частини або всього аудиторського вікна. - Кінцевий обсяг вимагає більш тривалого часу на розгляд, що збільшує витрати. - Обговорення того, який інструмент і форматування використовуються для підрахунку підсумкового SLOC. - Клієнт вводить новий функціонал для ознайомлення в аудиті виправлень. - Прохання відправити оплату тільки після доставки звіту. - Клієнт бажає скасувати аудит, попередивши про це лише за 24 години. - Клієнт бажає надіслати платіж на бажаному блокчейні. - Заперечення щодо публікації звіту після прийнятного періоду очікування. Окрім того, що угода чітко визначає, як діяти в цих сценаріях, вона також надає аудиторам критично важливий захист: - Знімає з себе будь-яку відповідальність за пропущені помилки та експлойти. - Зберігає права інтелектуальної власності на інструменти, концепції атак, розроблені під час аудиту (наскільки це дозволяє закон). - Організовує початкові внески, комісію за скасування бронювання і так далі. - Відповідає вимогам due diligence, KYB та законодавчій базі. Це актуально для вимог щодо оподаткування, дотримання вимог та джерел фінансування. З цих причин ми швидко зрозуміли, що витратити трохи додаткового часу перед тим, як забронювати речі, варто, і ми закликаємо кожного аудитора, який веде законний бізнес, зробити те саме.