Почему люди переоценивают аудиты? Избавляемся от ложного чувства безопасности. Мы смотрим отчёты сами, читаем их у других. И, когда видим, что все проблемы исправлены, думаем: "Можно вкладываться". Как будто сам факт аудита автоматически снижает риск. Но это не гарантия надёжности. Аудит - это проверка конкретной версии кода в конкретный момент времени. Я в своей аналитике тоже всегда упоминаю про аудиты в "Код" и даже повышаю оценку проекту в случае их наличия с исправленными проблемами. Но последнее время стал обращать внимание на следующее: 1. Когда проходил аудит? Из последнего: Edgex аудит был в 2024-2025 годах, а они периодически обновляются. Сейчас 2026! Это уже нельзя считать актуально проверенным кодом. 2. Иногда пишут про аудиты, но на самом деле это не основные компоненты. Обычные люди не поймут. Поэтому важно скармливать файлы ИИ и спрашивать, основные компоненты проекта или нет. Опять же, в Edgex был Starkex и мультисиг/роутер ввода-вывода. Но сам код движка dex либо не аудировался, либо не публиковали об этом инфу. А это критично. Даже если мост и ввод-вывод проверены, это не означает, что вся логика исполнения ордеров и учёта позиций проходила полноценный аудит. Ошибка в движке может не украсть средства напрямую, но привести к некорректным расчётам, заморозке операций и убыткам трейдеров или ELP. Изучающие же аудит не обратят на это внимание, и для них будет полной неожиданностью такая дестабилизация. 3. ИИ ускоряет поиск уязвимостей. Для справедливости скажу, что и пытаются найти их для исправления тоже. Тот же Виталик Бутерин об этом писал. Но факт в том, что развитие ускоряется, и старые проекты с медленными обновлениями оказываются в зоне риска. В 2025 году ИИ-инструмент помог обнаружить критическую уязвимость в действующем блокчейн-протоколе с потенциальным ущербом в несколько миллионов долларов — при том, что проект уже проходил аудит. Также был случай с Balancer, но об этом уже 2 раза писал в разных постах. 4. Важна также репутация аудиторов: возможно они сами по себе делают некачественный анализ кода - это уже дополнительный глубокий анализ. И важно, что ИИ может написать выжимку по аудитом. Но они не могут сказать вам про репутацию, соответствие текущей версии (особенно если нет Github) и насколько профессиональны аудиторы / проводились ли ИИ-аудиты кода. Поэтому не стоит сильно полагаться на то, есть ли аудиты у проекта и сколько их: всегда важно соблюдать риск-менеджмент. А вы изучаете код / аудиты проектов при выборе, куда инвестировать? Или для вас наличие аудита уже достаточный аргумент? 😎 Незрячий web3 программист (подписаться) Чат | бот