Warum sind Blockchain-Audits so teuer: Ein tiefer Einblick in die Faktoren, die die hohen Preise bestimmen

Eine Entwicklungsfirma schockierte Laien, als sie in einer vorläufigen Marktumfrage 300.000 US-Dollar für ein Sicherheitsaudit angab. Diejenigen, die mit den Besonderheiten der Blockchain-Welt vertraut sind, waren jedoch nicht im Geringsten von dem hohen Preis überrascht.

Blockchain audits are notoriously expensive, with some firms quoting up to $300,000 for a preliminary market survey. However, those familiar with the ins and outs of the blockchain world were not surprised by the hefty price tag in the least. A number of factors necessitate the high costs, including the extreme scarcity of audit teams with the required expertise.

Blockchain-Audits sind bekanntermaßen teuer, einige Firmen verlangen bis zu 300.000 US-Dollar für eine vorläufige Marktstudie. Diejenigen, die mit den Besonderheiten der Blockchain-Welt vertraut sind, waren jedoch nicht im Geringsten von dem hohen Preis überrascht. Eine Reihe von Faktoren machen die hohen Kosten erforderlich, darunter der extreme Mangel an Prüfteams mit der erforderlichen Fachkompetenz.

For example, Atom Accelerator recently ran an RFP that culminated in a grant of $440,000 for Zellic to engage as an audit partner of Cosmos Hub over a period of two years. Zellic has performed audits for Cosmos Hub numerous times, including the Inactive Validator Set, Permissionless ICS, and Liquid Staking Module (engaged by Atom Accelerator).

Beispielsweise führte Atom Accelerator kürzlich eine Ausschreibung durch, die in einem Zuschuss von 440.000 US-Dollar für Zellic gipfelte, um über einen Zeitraum von zwei Jahren als Prüfungspartner von Cosmos Hub zu fungieren. Zellic hat mehrfach Audits für Cosmos Hub durchgeführt, darunter das Inactive Validator Set, das Permissionless ICS und das Liquid Staking Module (im Auftrag von Atom Accelerator).

The Inactive Validators set involved a third-party audit of the codebase with the same name. Zellic conducted the audit in two weeks for a total ask price of $59,500, which included Simply Staking’s fee as an intermediary. This entity also performed mediation for the Permissionless ICS third-party audit, which enabled anyone to create an optional consumer chain without a governance proposal, aimed at launching chains faster and with less friction. Zellic’s quote was $90,000 and a 25% price buffer to account for ATOM token volatility during the voting period. The total price, including Simply Staking’s fees, was $121,500.

Der Satz „Inaktive Validatoren“ umfasste eine Prüfung der gleichnamigen Codebasis durch einen Drittanbieter. Zellic führte die Prüfung innerhalb von zwei Wochen zu einem Gesamtpreis von 59.500 US-Dollar durch, der die Gebühr von Simply Staking als Vermittler beinhaltete. Dieses Unternehmen führte auch die Vermittlung für das Permissionless ICS-Drittpartei-Audit durch, das es jedem ermöglichte, eine optionale Verbraucherkette ohne einen Governance-Vorschlag zu erstellen, mit dem Ziel, Ketten schneller und mit weniger Reibungsverlusten zu starten. Das Angebot von Zellic lag bei 90.000 US-Dollar und einem Preispuffer von 25 %, um der Volatilität des ATOM-Tokens während des Abstimmungszeitraums Rechnung zu tragen. Der Gesamtpreis, einschließlich der Gebühren von Simply Staking, betrug 121.500 US-Dollar.

Cosmos Hub spent $327,000 on one-off feature audits in the past year and a half, coming to an average of $26,000 for each week in which audits took place. The grant engages Zellic based on a 20 audit-week contract, which costs 16% less per week than Cosmos Hub paid, thanks to Atom Accelerator’s efforts.

Cosmos Hub gab in den letzten anderthalb Jahren 327.000 US-Dollar für einmalige Feature-Audits aus, was einem Durchschnitt von 26.000 US-Dollar für jede Woche entspricht, in der Audits stattfanden. Der Zuschuss wird Zellic auf der Grundlage eines 20-Audit-Wochen-Vertrags gewährt, der dank der Bemühungen von Atom Accelerator 16 % weniger pro Woche kostet als Cosmos Hub zahlt.

A smart contract audit can take up to a month

Eine Smart-Contract-Prüfung kann bis zu einem Monat dauern

The project’s size and complexity are the primary factors in determining how long a smart contract audit will take. While auditing a single token contract takes a couple of days, this goes up to a week for a decentralized application with complicated tokenomics. More advanced smart contract security audits are performed in up to a month.

Die Größe und Komplexität des Projekts sind die Hauptfaktoren, die bestimmen, wie lange ein Smart-Contract-Audit dauern wird. Während die Prüfung eines einzelnen Token-Vertrags einige Tage dauert, kann dies bei einer dezentralen Anwendung mit komplizierten Tokenomics bis zu einer Woche dauern. Anspruchsvollere Smart-Contract-Sicherheitsaudits werden in bis zu einem Monat durchgeführt.

The length also depends on whether the developer team wants a full security audit or only an interim report. It’s generally a better idea to audit the smart contract that has been deployed, not the one on GitHub. It minimizes the risk of code churning and malicious last-minute bugs and conveys a message of transparency to the user community.

Die Länge hängt auch davon ab, ob das Entwicklerteam eine vollständige Sicherheitsüberprüfung oder nur einen Zwischenbericht wünscht. Im Allgemeinen ist es eine bessere Idee, den bereitgestellten Smart Contract zu prüfen, nicht den auf GitHub. Es minimiert das Risiko von Code-Wechseln und böswilligen Fehlern in letzter Minute und vermittelt der Benutzergemeinschaft eine Botschaft der Transparenz.

The audit’s duration is also affected by whether it’s manual or automated. Reviewing individual functions in the code manually is time-intensive. However, manual audits are more efficient because they reduce the risk of false reports. They involve checking the code line-by-line to help identify hidden issues in its architecture and logic.

Die Dauer des Audits wird auch davon beeinflusst, ob es manuell oder automatisiert erfolgt. Die manuelle Überprüfung einzelner Funktionen im Code ist zeitintensiv. Manuelle Prüfungen sind jedoch effizienter, da sie das Risiko falscher Meldungen verringern. Dabei wird der Code Zeile für Zeile überprüft, um versteckte Probleme in seiner Architektur und Logik zu identifizieren.

Binary analysis and cryptographic algorithm verification

Binäranalyse und Überprüfung des kryptografischen Algorithmus

Smart contract auditors perform a binary analysis to make sure the code is free from backdoors, i.e. hidden mechanisms attackers use to access a system without authentication. To this end, the team makes sure no unauthorized entities gain administrative access and inspects the transcoding and bonding protocols among participants. It also verifies cryptographic algorithms and enhances the overall security infrastructure.

Intelligente Vertragsprüfer führen eine Binäranalyse durch, um sicherzustellen, dass der Code frei von Hintertüren ist, also versteckten Mechanismen, die Angreifer nutzen, um ohne Authentifizierung auf ein System zuzugreifen. Zu diesem Zweck stellt das Team sicher, dass keine unbefugten Personen administrativen Zugriff erhalten, und überprüft die Transkodierungs- und Bonding-Protokolle unter den Teilnehmern. Außerdem werden kryptografische Algorithmen überprüft und die gesamte Sicherheitsinfrastruktur verbessert.

Product security audits require deep knowledge of programming languages

Produktsicherheitsaudits erfordern fundierte Kenntnisse in Programmiersprachen

Most software products integrate a user interface. Smart contracts frequently interact with a backend server in DeFi and Web3, whose code can be proprietary or open-source. The interface communicates with the backend server and uses Metamask or another local wallet to verify the user and sign transactions. There is often at least one database, such as PostgreSQL or MongoDB, and AWS Cognito, Auth0, or another OAuth2 authentication service.

Die meisten Softwareprodukte integrieren eine Benutzeroberfläche. Smart Contracts interagieren häufig mit einem Backend-Server in DeFi und Web3, dessen Code proprietär oder Open-Source sein kann. Die Schnittstelle kommuniziert mit dem Backend-Server und verwendet Metamask oder ein anderes lokales Wallet, um den Benutzer zu überprüfen und Transaktionen zu signieren. Oft gibt es mindestens eine Datenbank wie PostgreSQL oder MongoDB und AWS Cognito, Auth0 oder einen anderen OAuth2-Authentifizierungsdienst.

Product security auditors verify that all components interact with each other as expected, each component performs its functions correctly, no information leaks are possible, system deployment procedures follow best practices, and unauthorized access is prevented. These tasks require a strong understanding of large software project architecture and the ability to navigate codebases written in different programming languages. Typically, the frontend is written in ReactJS, while the backend is a mix of Golang, NodeJS, Python, etc. The smart contracts are in Rust or Solidity. A wide range of tools is involved, including blockchain nodes and Docker container management techniques.

Produktsicherheitsprüfer überprüfen, ob alle Komponenten wie erwartet miteinander interagieren, jede Komponente ihre Funktionen korrekt ausführt, keine Informationslecks möglich sind, die Systembereitstellungsverfahren Best Practices entsprechen und unbefugter Zugriff verhindert wird. Diese Aufgaben erfordern ein ausgeprägtes Verständnis der Architektur großer Softwareprojekte und die Fähigkeit, in Codebasen zu navigieren, die in verschiedenen Programmiersprachen geschrieben sind. Normalerweise ist das Frontend in ReactJS geschrieben, während das Backend eine Mischung aus Golang, NodeJS, Python usw. ist. Die Smart Contracts sind in Rust oder Solidity. Es ist eine breite Palette von Tools beteiligt, darunter Blockchain-Knoten und Docker-Containerverwaltungstechniken.

Penetration testers are well-versed in network protocols and architecture

Penetrationstester sind mit Netzwerkprotokollen und -architektur bestens vertraut

Penetration testing focuses on external API endpoints Web2 backend services offer. Testing auditors mitigate security flaws by calling some of these APIs via unexpected syntax to obtain privileged access. This is a common attack vector, where cybercriminals trick the system into leaking private data or performing another unauthorized action. Auditors are well-versed in network protocols such as TCP/IP, HTTP/HTTPS, UDP, DNS, and SMTP, as well as architecture like firewalls, routers, switches, and their configurations. Familiarity with subnets and IP addressing (CIDR, NAT, VLANs, and VPNs) and tools like Wireshark to analyze packets

Penetrationstests konzentrieren sich auf externe API-Endpunkte, die von Web2-Backend-Diensten angeboten werden. Testprüfer mindern Sicherheitslücken, indem sie einige dieser APIs über unerwartete Syntax aufrufen, um privilegierten Zugriff zu erhalten. Hierbei handelt es sich um einen häufigen Angriffsvektor, bei dem Cyberkriminelle das System dazu verleiten, private Daten preiszugeben oder eine andere nicht autorisierte Aktion auszuführen. Prüfer sind mit Netzwerkprotokollen wie TCP/IP, HTTP/HTTPS, UDP, DNS und SMTP sowie Architekturen wie Firewalls, Routern, Switches und deren Konfigurationen bestens vertraut. Vertrautheit mit Subnetzen und IP-Adressierung (CIDR, NAT, VLANs und VPNs) und Tools wie Wireshark zur Analyse von Paketen