Smart contract audit: как работает профессиональная проверка кода и что она гарантирует

Стандартный процесс включает: (1) автоматизированный анализ — инструменты Slither, Mythril, Echidna сканируют код на известные паттерны уязвимостей за часы; (2) ручной анализ — аудиторы изучают логику контракта, экономические инварианты, права доступа и нестандартные паттерны; (3) составление отчёта с классификацией находок по критичности (Critical, High, Medium, Low, Informational); (4) исправление и верификация — разработчик устраняет находки, аудитор подтверждает закрытие. Риск: этапы могут быть сокращены при дешёвом или быстром аудите.

Топ находок по статистике: reentrancy (повторный вход в функцию до завершения первого вызова); некорректная проверка прав доступа (отсутствие onlyOwner, ошибки в логике); целочисленное переполнение и underflow (актуально для старых контрактов без SafeMath); манипуляция оракулом цены; логические ошибки в экономических инвариантах (неверный расчёт долей, комиссий). Риск: аудит находит известные классы уязвимостей — нулевые векторы атак (0-day) и сложные многошаговые эксплойты могут остаться незамеченными даже после качественного аудита.

Tier-1 компании (Trail of Bits, OpenZeppelin, Consensys Diligence, Spearbit) — глубокий ручной анализ, формальная верификация, публикация отчётов, стоимость от $50 000 до $500 000+, срок 4–8 недель. Средний уровень (CertiK, PeckShield, Hacken) — комбинация автоматизации и ручного анализа, более доступные цены, широкий охват проектов. Низкий уровень — преимущественно автоматические сканеры, маркетинговый бейдж без глубокой экспертизы. Риск: бейдж «audited» без открытого PDF-отчёта не несёт информационной ценности для инвестора.

Ключевые разделы: Executive Summary — общий вывод и количество находок по критичности; Findings — список уязвимостей с описанием и статусом (Fixed / Acknowledged / Unresolved). Красные флаги: находки со статусом Critical или High без пометки Fixed; раздел Centralization Risks с неограниченными правами владельца; короткое резюме без детальных находок. Зелёные флаги: все Critical/High закрыты, Medium проработаны, адрес контракта в отчёте совпадает с деплоем. Риск: статус «Acknowledged» означает разработчик знает об уязвимости, но не устранил её.

Формальная верификация — математическое доказательство корректности кода относительно формальной спецификации: программа доказывает, что контракт никогда не нарушит заданные инварианты (например, «сумма балансов всегда равна totalSupply»). Обычный аудит основан на экспертизе и может пропустить сложные граничные случаи; формальная верификация охватывает все возможные состояния. Применяется для критически важных протоколов (MakerDAO, Aave). Риск: формальная верификация покрывает только те свойства, которые были формально заданы — неполная спецификация оставляет пробелы.

Нет. Аудит — снимок состояния кода на момент проверки. После аудита возможны: деплой изменённой версии кода без повторной проверки (proxy upgrade); обнаружение уязвимости в зависимостях (библиотеках OpenZeppelin при их обновлении); новые векторы атак, неизвестные на момент аудита. Wormhole ($320 млн) и Euler Finance ($197 млн) были аудированы известными компаниями. Риск: аудит снижает вероятность взлома, но не устраняет риск смарт-контракта полностью — это необходимое, но не достаточное условие безопасности.

Bug bounty — публичная программа вознаграждения за обнаружение уязвимостей в продакшн-коде. Аудит проводится до деплоя ограниченной командой; bug bounty привлекает сотни независимых исследователей после деплоя. Вместе они создают многоуровневую защиту. Крупные программы (через Immunefi) предлагают вознаграждения до $1–10 млн за критические находки.