La sécurité des fonds des utilisateurs dans DeFi n'est pas garantie par les autorités monétaires.
Il est assez courant que l'espace DeFi lance des produits à la hâte, puis essaie de les corriger et de les ajuster une fois qu'ils sont sortis.
Nous avons vu et continuons de voir des projets qui empruntent cette voie se faire pirater ou exploiter.
Dans le monde de la cryptographie, les utilisateurs s'appuient sur des plates-formes et du code, et non sur des êtres humains qui prennent des décisions.
Passer par de nombreux audits doit être la valeur par défaut, pas un avantage pour les protocoles Web3. Peu importe la dépense.
Dans cet article, je soulignerai l'importance des audits DeFi. Nous explorerons également à quoi ressemblent les scénarios idéaux et réfléchirons à l'expérience directe de Fringe Finance en matière d'exécution d'un double audit.
Un audit implique des dizaines de personnes ayant une expertise avérée en cybersécurité.
Leur travail consiste à scruter chaque ligne de code pour identifier : les vulnérabilités critiques, les points de défaillance potentiels, la centralisation excessive et même la simplicité de votre interface.
Les audits sont un excellent moyen de :
Ils sont indispensables pour tout projet ou plateforme qui se soucie de la sécurité des fonds des utilisateurs et de leur succès à long terme.
Il suffit d'être piraté une seule fois pour perdre à jamais la confiance du public. Il ne faut pas sous-estimer l'importance de rester en vie plus longtemps que vos concurrents DeFi.
Pour Fringe, le lancement sans problème avec la plate-forme de prêt primaire est essentiel pour atteindre notre objectif d'attirer des particuliers fortunés, des institutions financières et les communautés entourant des centaines de projets DeFi. Nous nous sommes donc promis de subir autant de rondes d'audit que nécessaire.
L'expression " passer par autant de tours que nécessaire " implique que chaque vulnérabilité corrigée doit être re-testée jusqu'à l'oubli.
Voici comment ça fonctionne:
Lorsque vous démarrez un audit, vous devez définir la portée du processus. Vous décidez quels contrats le cabinet d'audit examine et dans quelle mesure. Idéalement, vous feriez auditer l'ensemble de votre protocole, et non quelques contrats.
Chaque contrat inclus dans un audit le rend de plus en plus long et coûteux. Certains projets prennent comme incitation à couper les coins ronds. Nous avons choisi de trouver des solutions pour le protocole qui minimisent l'utilisation des contrats et en tirent le meilleur parti. La stratégie est le nom du jeu !
Les experts du cabinet d'audit étudient votre base de code. Ils exécutent des outils de test automatiques, appliquent un large éventail d'exploits connus et vérifient manuellement les vulnérabilités. Ce processus génère un rapport sur lequel l'équipe agira en corrigeant les vulnérabilités. Du plus au moins critique.
Une fois corrigé, vous devez soumettre à nouveau votre code au cabinet d'audit. Ils testent à nouveau toutes les vulnérabilités précédemment identifiées tout en recherchant celles qui viennent d'être introduites. Le projet doit répéter ce processus de va-et-vient jusqu'à ce que les auditeurs ne trouvent plus de vulnérabilités permanentes.
J'ai souligné l'importance des contre-vérifications. "Audit" doit être pris avec nuance dans tous les cas. Passer par une seule vérification ne compte pas comme un audit, pas plus que la correction des vulnérabilités sans tests répétés.
On pourrait même dire, « opter pour un consensus multi-firmes pourrait être le seul moyen d'atteindre une véritable sécurité ». Étant donné que chaque cabinet d'audit a une culture interne et des procédures fixes qui pourraient empêcher un véritable audit.
Avoir un certificat d'audit semble bien sur papier, mais vous n'y arriverez pas à moins d'être diligent, ce qui est certainement un travail difficile. Dans l'ensemble, le résultat inattendu est tout ce que l'on apprend en étant scruté par les meilleurs du secteur. Toutes les personnes impliquées peuvent maintenant dire avec fierté que nous sommes devenus plus compétents dans notre travail et que nous savons des choses que nous ne connaissions pas auparavant.
L'audit, de manière inattendue, nous a permis de découvrir de multiples possibilités d'ajustements et d'implémentations possibles. En bref, cela nous a rendus plus forts. Nous avons beaucoup appris sur notre propre protocole, nos préjugés et nos idées. Nous avons proposé d'excellents concepts qui contribueront à rendre le protocole plus attrayant pour les utilisateurs à la recherche d'innovation et de sécurité.
DeFi et Web3 sont jeunes. Et, si je devais tirer un seul point de ce processus, ce serait que nous, en tant qu'écosystème, ne pouvons nous améliorer qu'en collaborant. DeFi est pour tout le monde, mais c'est aussi pour tout le monde.