~/defi/hacks $ cat audit-smart-kontraktov-chto-znachit.md
Что на самом деле значит «протокол прошёл аудит»
«Прошёл аудит» - главный успокоительный штамп DeFi. Взломанных «аудированных» протоколов при этом - список на страницы. Разберём, что аудит есть на самом деле.
Что делает аудитор
Команда читает код в ограниченное время против известных классов уязвимостей, пишет отчёт: критические/высокие/средние находки и ответ команды. Это снижает вероятность известных ошибок - и всё.
Чего аудит НЕ покрывает
- Код после аудита: один «мелкий фикс» после отчёта - и ты снова в неаудированном контракте. Проверяй, совпадает ли задеплоенный байткод с аудированным коммитом.
- Экономические атаки: манипуляции оракулами, токеномические спирали, governance-захваты - чаще вне скоупа.
- Операционку: ключи, мультисиги, фишинг команды - аудит кода молчит о главном векторе современных краж.
- Зависимости: протокол чист, а оракул/мост/токен в интеграции - нет.
Как читать сигнал
Иерархия доверия: несколько аудитов разных фирм по свежему коду + живое багбаунти с серьёзным потолком + месяцы работы под TVL > один аудит «где-то был» > бейджик audited без ссылки на отчёт (= ничего). И читай сами отчёты: количество критических находок и реакция команды говорят о культуре больше, чем факт аудита. Наши разборы протоколов - в разделе DeFi.
#аудит смарт контрактов#audited что значит#как проверить аудит протокола