В TON аудиты — это отдельный вид искусства. Для новичков и тех, кто хранит средства в TON, этот пост будет весьма полезен.
Начнём с того, что сначала появились аудит-команды вроде TON Tech, Tonbit и других разработчиков, которые сами что-то создавали на блокчейне, а потом поняли, что выгоднее просто проверять чужой код для других проектов. Цена таких аудитов варьировалась от $20k до $70k, что весьма неплохой заработок.
Затем в TON пришли другие аудит-команды вроде Trail of Bits, Quantstamp и Zellic. Спасибо за это TVM Ventures и TON Foundation. Цена аудитов у таких известных компаний варьируется уже от $100k до $300k. Тут уже серьёзный подход и сложные системы контрактов — абы кто к ним не пойдёт, но из-за того, что TON Foundation помогает проектам в TON становиться более надёжными и защищёнными, чаще всего именно они оплачивают полную стоимость аудита от таких команд. За что, благодарочка летит и к TON Foundation.
Пост может показаться рекламой аудитов, но не тут-то было. В TON есть множество разработчиков младше 18 лет, которым по возрасту интересно копаться в чужом коде. У них много времени и желание доказать, что они крутые. И у них это прекрасно получается. Из самых известных — Пескарь и Алексей Госунов, но таких ребят в TON гораздо больше, чем вы думаете. Они постоянно что-то находят, над чем-то прикалываются и помогают проектам выявлять уязвимости.
У них нет цели что-то взломать или украсть чьи-то средства — скорее просто пошалить и показать, что всё дырявое. Например, они могут накрутить объёмы в Мемландии или Открытой лиге даже без отправки транзакций на обмен, а потом получить призы от TON Foundation за самый «активный» трейдинг (совпадения случайны).
И вот на днях Алексей Госунов нашёл критическую уязвимость в проекте Crouton Finance и почистил все их пулы. Конечно же, он всё вернул, когда к нему обратились, но сам факт того, что любой мог это сделать, настораживает. Crouton Finance — маленький проект для фарминга, с пулами и свапами, без аудитов и проверок, так что тут ошибка разработчика ещё простительна.
Однако ту же самую уязвимость нашли в проекте Torch Finance, который собрал миллионы инвестиций и прошёл аудиты у Zellic, Quantstamp и Tonbit. И тут напрашивается вопрос: как вообще смотрели эти аудиторы, если пулы даже простейшие проверки пройти не могут?
Два проекта с разным масштабом, разработчики которых не видели код друг друга, допускают одни и те же ошибки (вот описание этой ошибки). Их код проверяет куча специалистов, а критическую уязвимость в итоге находит несовершеннолетний человек, даже не имея доступа к коду.
Ещё пример: swap.coffee недавно выпустили DEX с открытым исходным кодом. Задержка релиза биржи была связана с аудитом от Trail of Bits, который длился месяц и стоил явно больше $100k. Казалось бы, код проверен, найденные ошибки исправлены, DEX выходит вместе с исходным кодом — и тут сразу кто-то из сообщества находит критический баг, который приходится срочно фиксить. Не заметили? Или не смотрели тщательно? За такие деньги можно было бы и поработать.
Мы все говорим, что в TON никто не будет взламывать проекты, потому что тут нечего красть, с таким TVL. Но стоит понимать, что и взломать что-либо тут не представляет особого труда. Все эти отчёты и красивые сертификаты не защищают пользователей от потери средств.
В экосистеме TON уже точно не стоит слепо доверять проектам, которые «прошли аудит», а лишь тем, кто публикует открытый код и устраивает багбаунти-программы. Отдельный респект таким командам, как Evaa, STON.fi и swap.coffee, за публикацию открытого кода после прохождения аудитов, именно они и показывают пример для всех остальных.
Подписывайтесь на Telegram канал и страницу во ВКонтакте! Свои комментарии, замечания и предложения пишите мне. Все контакты на странице обо мне.