Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Фейковый аудит смарт-контракта: как отличить подделку CertiK и Hacken от настоящего

Поддельный аудит смарт-контракта — это сфабрикованный или искажённый отчёт о безопасности кода, размещённый мошенниками для имитации проверки авторитетными компаниями. Наличие логотипа CertiK, Hacken или другого аудитора в маркетинговых материалах проекта не является доказательством реального аудита. Единственный способ проверки — самостоятельно найти отчёт в официальной базе аудитора по адресу смарт-контракта.

Автор: ~8 мин

Почему мошенники подделывают именно аудиты CertiK и Hacken?

CertiK и Hacken — наиболее узнаваемые бренды в сфере аудита смарт-контрактов, их логотипы ассоциируются у инвесторов с безопасностью. Использование поддельного знака доверия снижает критическое восприятие проекта и ускоряет привлечение капитала. Мошенники также создают клоны официальных сайтов аудиторов с поддельными записями. Нюанс: даже реальный аудит не гарантирует отсутствие уязвимостей — он лишь фиксирует состояние кода на дату проверки.

Источник: ЦБ РФ

Какие конкретные признаки указывают на поддельный аудит?

Ключевые признаки: ссылка ведёт на PDF-файл, а не на страницу официального сайта аудитора; адрес проверяемого контракта в отчёте не совпадает с задеплоенным адресом; дата аудита предшествует дате деплоя контракта; отчёт размещён только в Telegram или на сайте проекта. Дополнительные red flags: орфографические ошибки в названии аудитора, отсутствие хеша коммита репозитория, нет записи в публичной базе аудитора. Всегда ищите отчёт через официальный сайт компании-аудитора напрямую.

Как правильно верифицировать аудит через официальные базы данных?

CertiK публикует все аудиты на skynet.certik.com — поищите проект по названию или адресу контракта. Hacken размещает отчёты на hacken.io/audits. Quantstamp, OpenZeppelin, Trail of Bits также имеют публичные реестры. Алгоритм: (1) откройте официальный сайт аудитора напрямую, не по ссылке проекта; (2) найдите проект в реестре; (3) сверьте адрес контракта в отчёте с адресом на Etherscan. Если записи нет — аудит не проводился или является поддельным.

Может ли реальный аудит скрывать критические уязвимости?

Да, такое возможно в нескольких сценариях. Аудит мог охватывать устаревшую версию кода, которая затем была изменена перед деплоем. Некоторые уязвимости могут быть намеренно помечены как «принятые риски» командой проекта. Аудит фиксирует код, но не бизнес-логику и намерения команды — exit scam возможен даже при наличии реального аудита. Всегда проверяйте, что аудированный хеш коммита совпадает с задеплоенным кодом на Etherscan.

Что такое «аудит с оговорками» и почему он опасен?

Многие реальные аудиты содержат неустранённые находки — критические, высокие или средние уязвимости, которые команда «приняла» без исправления. Мошеннические проекты показывают факт аудита, умалчивая о том, что критические уязвимости остались в коде. При изучении отчёта смотрите не только на итоговую оценку, но и на раздел «Unresolved Issues». Наличие неустранённых критических находок фактически обнуляет ценность аудита как гарантии безопасности.

Источник: ЦБ РФ

Какова ответственность аудиторских компаний при взломе проекта?

Аудиторские компании, как правило, не несут финансовой ответственности перед инвесторами за взломы проаудированных протоколов — их ответственность ограничена договором с заказчиком аудита. CertiK и Hacken прямо указывают в своих отчётах, что аудит не является гарантией безопасности. Это означает: при потере средств в результате взлома взыскать убытки с аудитора практически невозможно — ни в РФ, ни в международных юрисдикциях.

Источник: ЦБ РФ

Можно ли доверять проекту с оценкой 100/100 на CertiK Skynet?

Высокий балл на CertiK Skynet не означает отсутствие риска — он отражает совокупность метрик, часть из которых не связана напрямую с безопасностью кода. Ряд проектов с высокими оценками подвергался взломам. Балл следует рассматривать как один из сигналов, а не как гарантию безопасности.

Эксклюзив от ИнвестХомяка

Способы подделки аудитов и методы их выявления

Тип подделкиПризнакСпособ проверки
Клон сайта аудитораДомен отличается от официального (certik.io вместо certik.com)Проверить домен в адресной строке, сравнить с whois
Поддельный PDFНет записи на официальном сайте аудитораНайти проект в реестре audits напрямую
Подмена адреса контрактаАдрес в отчёте ≠ адрес на EtherscanСверить контрактный адрес в отчёте и на блокчейне
Аудит устаревшего кодаХеш коммита в отчёте ≠ задеплоенному байткодуПроверить верификацию кода на Etherscan

Реальный аудит смарт-контракта против поддельного

КритерийРеальный аудитПоддельный аудит
Источник отчётаОфициальный сайт аудитора, публичный реестрPDF на сайте проекта или в Telegram
Адрес контрактаСовпадает с задеплоенным на EtherscanНе совпадает или отсутствует
Хеш коммита кодаУказан и верифицируемОтсутствует или не проверяем
Неустранённые находкиУказаны явно с классификациейСкрыты или отсутствуют
Дата и версия контрактаПредшествует или совпадает с деплоемПротиворечит дате деплоя

Как проверить подлинность аудита смарт-контракта

  1. Получить адрес смарт-контракта

    Найдите официальный адрес контракта проекта на Etherscan или в официальной документации. Никогда не используйте адрес из рекламных материалов без самостоятельной проверки.

  2. Зайти на официальный сайт аудитора напрямую

    Откройте сайт аудиторской компании, вручную введя адрес в браузер: certik.com, hacken.io, quantstamp.com. Не переходите по ссылкам из материалов проекта — они могут вести на клоны.

  3. Найти проект в публичном реестре аудитов

    Используйте поиск по названию проекта или адресу контракта в реестре аудитора. Если проекта нет в реестре — аудит не проводился этой компанией, независимо от наличия логотипа в маркетинге.

  4. Проверить соответствие адреса контракта в отчёте

    Откройте найденный отчёт и сверьте адрес контракта в документе с адресом на Etherscan. Проверьте хеш коммита кода — он должен соответствовать верифицированному коду на блокчейне.

  5. Изучить раздел неустранённых уязвимостей

    Найдите в отчёте раздел с открытыми или принятыми находками. Наличие неустранённых критических или высоких уязвимостей — серьёзный сигнал риска, даже при реальном аудите. Учитывайте это при оценке протокола.

Частые вопросы

Можно ли доверять проекту с оценкой 100/100 на CertiK Skynet?

Высокий балл на CertiK Skynet не означает отсутствие риска — он отражает совокупность метрик, часть из которых не связана напрямую с безопасностью кода. Ряд проектов с высокими оценками подвергался взломам. Балл следует рассматривать как один из сигналов, а не как гарантию безопасности.

Что делать, если обнаружен проект с поддельным аудитом?

Не инвестируйте средства и предупредите других участников сообщества. Поддельный аудит является признаком мошеннического проекта. Информацию можно направить в сообщества безопасности: рабочие каналы CertiK, Hacken, а также в крипто-медиа для публичного предупреждения.

Существуют ли бесплатные инструменты для самостоятельной проверки смарт-контракта?

Etherscan отображает верифицированный исходный код контракта — его можно изучить самостоятельно или с помощью AI-ассистентов. DeFiLlama показывает историю аудитов для крупных протоколов. Для базового анализа можно использовать публичные инструменты Slither и MythX, хотя их использование требует технических знаний.

Все ли крупные DeFi-протоколы имеют реальные аудиты?

Большинство крупных протоколов (Aave, Uniswap, Curve, Morpho) прошли многократные аудиты от нескольких независимых компаний, и их отчёты публично доступны. Новые и малоизвестные протоколы значительно чаще либо не имеют аудита, либо располагают только одним аудитом с неустранёнными находками. Размер TVL (total value locked) сам по себе не является подтверждением аудита.

Может ли проект удалить запись об аудите с сайта аудитора?

Нет — аудиторские компании не удаляют записи по запросу проекта, так как это подорвало бы их репутацию. Однако проект может провести аудит под другим юридическим лицом или использовать малоизвестного аудитора с похожим названием. Всегда проверяйте точное написание домена аудитора и его репутацию в отрасли.

Похожие материалы

Источники