Аудит CertiK изнутри

[dimtiks]

Прошёл через полный цикл аудита CertiK с Security Token (ERC-1400) - 1,100 строк

кода, 29 замечаний разной критичности, $10,500 за полный пакет Skynet Services.

Делюсь опытом: что реально проверяет аудит, а что остаётся за бортом.
 

Это не критика CertiK - они делают свою работу хорошо. Но важно понимать

границы того, что даёт аудит.

Как устроен процесс:

Многие думают, что аудит - это прогнали через сканер, получили отчёт

В реальности это 2-4 недели работы:
 

Scoping (1-2 дня) - определение объёма, формирование цены. Мне изначально

насчитали $16,000 за полный пакет, после переговоров сошлись на $10,500.
 

Автоматический анализ (2-3 дня) - Slither, MythX, внутренние инструменты CertiK.

Находит очевидное: не используемые переменные, отсутствие проверок на

zero-address.
 

Ручной ревью (5-15 дней) - главная часть. Аудиторы читают код строка за строкой,

анализируют бизнес-логику, ищут edge cases. Здесь находят критические уязвимости.
 

Отчёт и исправления (3-7 дней) - получаешь Initial Findings, исправляешь,

отправляешь на повторную проверку. Повторный аудит исправлений - бесплатно.

Что нашли в моём контракте:

Самая серьёзная находка. Функция controllerTransfer позволяла контроллеру

перемещать токены без проверки whitelist-статуса получателя.

 

// УЯЗВИМЫЙ КОД:

function controllerTransfer(

address from,

address to,

uint256 value

) public onlyRole(CONTROLLER

_

ROLE) {

if (balanceOf[from] < value) revert TransferInsufficientBalance();

// НЕТ ПРОВЕРКИ WHITELIST!

_performTransfer(from, to, value);

}

Для обычного DeFi это было бы Major.
Для Security Token - Critical:
-Можно перевести на адрес без KYC (нарушение AML)
-Можно обойти санкционные списки

-Регуляторные последствия для эмитента
 

// ИСПРАВЛЕННЫЙ КОД:

function controllerTransfer(

address from,

address to,

uint256 value

) public onlyRole(CONTROLLER

_

ROLE) {

if (!whitelistedAccounts.contains(to))

revert RecipientNotWhitelisted();

if (frozen[from] || frozen[to])

revert AccountFrozen();

if (balanceOf[from] < value)

revert TransferInsufficientBalance();

_performTransfer(from, to, value);

}

High: race condition в batch-обработке дивидендов

При вызове нового распределения посреди обработки предыдущего batch - индекс

сбрасывался, данные терялись. Решение - флаг блокировки.
 

Что аудит НЕ проверяет:

Это критически важно понимать.

В scope: - Код смарт-контрактов - Бизнес-логика (в рамках спецификации) - Базовые экономические атаки. 
В не scope: - Управление ключами и operational security - Off-chain компоненты

(backend, frontend) - Намерения команды - Будущие апгрейды.

90% "взломов" аудированных проектов - это не баги в коде.

Gala Games - $216M (2024): украден admin key. Контракт был написан правильно,

функция mint требовала роль MINTER ROLE. Проблема: один скомпрометированный

ключ = полный контроль.

WazirX - $234M (2024): манипуляция интерфейсом подписи. Код ни при чём.

Merlin DEX - $1.82M (2023): rug pull через emergencyWithdraw.
CertiK нашёл это и пометил как Centralization Risk (Informational). Команда сказала "исправим после

запуска" Не исправили.

Аудит находит риски централизации, но не может предсказать злой умысел.

Реальные цены CertiK

Из моего опыта и переговоров:

Тип контракта Базовая цена

После переговоров

ERC-20 (200-500 строк) $8-10K $6-8K

NFT (500-1000 строк) $12-15K ~$10K

Security Token (1000-1500 строк) $16-20K $10-12K

DeFi Protocol (2000-5000 строк) $25-50K индивидуально

Факторы, влияющие на цену:
Сложность логики: +30-50% для DeFi - Срочность:

+30-50% за неделю вместо трёх - Только аудит без Skynet: -30-40%

Формула безопасности

Аудит - это baseline, не финальная точка.

Audit + Bug Bounty + Monitoring + Incident Response + Continuous Review

Пропустите один элемент и вы в статистике потерь следующего года.

Вывод: 
Аудит CertiK - это:
✓ Профессиональный code review
✓ Проверка на известные

уязвимости
✓ Повышение доверия инвесторов
✓ Compliance requirement для многих

платформ

Аудит - это НЕ:
✗ Гарантия безопасности
✗ Защита от operational failures
✗ Страховка от экономических атак
✗ Верификация намерений команды.

Если есть вопросы по процессу аудита или подготовке - спрашивайте, постараюсь ответить. 

тг: @dmitriy_dimtiks
dimtiks.ru