Pourquoi les audits de blockchain sont-ils si chers : une analyse approfondie des facteurs qui déterminent les prix élevés

Une société de développement a choqué les profanes en proposant 300 000 $ pour un audit de sécurité dans le cadre d'une étude de marché préliminaire. Cependant, ceux qui connaissent les tenants et les aboutissants du monde de la blockchain n’ont pas du tout été surpris par le prix élevé.

Blockchain audits are notoriously expensive, with some firms quoting up to $300,000 for a preliminary market survey. However, those familiar with the ins and outs of the blockchain world were not surprised by the hefty price tag in the least. A number of factors necessitate the high costs, including the extreme scarcity of audit teams with the required expertise.

Les audits de blockchain sont notoirement coûteux, certaines entreprises proposant jusqu'à 300 000 dollars pour une étude de marché préliminaire. Cependant, ceux qui connaissent les tenants et les aboutissants du monde de la blockchain n’ont pas du tout été surpris par le prix élevé. Un certain nombre de facteurs expliquent ces coûts élevés, notamment l'extrême rareté des équipes d'audit possédant l'expertise requise.

For example, Atom Accelerator recently ran an RFP that culminated in a grant of $440,000 for Zellic to engage as an audit partner of Cosmos Hub over a period of two years. Zellic has performed audits for Cosmos Hub numerous times, including the Inactive Validator Set, Permissionless ICS, and Liquid Staking Module (engaged by Atom Accelerator).

Par exemple, Atom Accelerator a récemment lancé un appel d'offres qui a abouti à une subvention de 440 000 $ permettant à Zellic de s'engager en tant que partenaire d'audit de Cosmos Hub sur une période de deux ans. Zellic a effectué des audits pour Cosmos Hub à plusieurs reprises, notamment l'ensemble de validateurs inactifs, l'ICS sans autorisation et le module de jalonnement liquide (engagé par Atom Accelerator).

The Inactive Validators set involved a third-party audit of the codebase with the same name. Zellic conducted the audit in two weeks for a total ask price of $59,500, which included Simply Staking’s fee as an intermediary. This entity also performed mediation for the Permissionless ICS third-party audit, which enabled anyone to create an optional consumer chain without a governance proposal, aimed at launching chains faster and with less friction. Zellic’s quote was $90,000 and a 25% price buffer to account for ATOM token volatility during the voting period. The total price, including Simply Staking’s fees, was $121,500.

L’ensemble des validateurs inactifs impliquait un audit tiers de la base de code du même nom. Zellic a réalisé l'audit en deux semaines pour un prix demandé total de 59 500 $, qui comprenait les honoraires de Simply Staking en tant qu'intermédiaire. Cette entité a également effectué une médiation pour l'audit tiers Permissionless ICS, qui a permis à quiconque de créer une chaîne de consommateurs facultative sans proposition de gouvernance, visant à lancer des chaînes plus rapidement et avec moins de frictions. La cotation de Zellic était de 90 000 $ et d'un tampon de prix de 25 % pour tenir compte de la volatilité des jetons ATOM pendant la période de vote. Le prix total, y compris les frais de Simply Staking, était de 121 500 $.

Cosmos Hub spent $327,000 on one-off feature audits in the past year and a half, coming to an average of $26,000 for each week in which audits took place. The grant engages Zellic based on a 20 audit-week contract, which costs 16% less per week than Cosmos Hub paid, thanks to Atom Accelerator’s efforts.

Cosmos Hub a dépensé 327 000 $ en audits de fonctionnalités ponctuels au cours de la dernière année et demie, ce qui représente une moyenne de 26 000 $ pour chaque semaine au cours de laquelle les audits ont eu lieu. La subvention engage Zellic sur la base d'un contrat de 20 semaines d'audit, ce qui coûte 16 % de moins par semaine que celui payé par Cosmos Hub, grâce aux efforts d'Atom Accelerator.

A smart contract audit can take up to a month

Un audit de contrat intelligent peut prendre jusqu'à un mois

The project’s size and complexity are the primary factors in determining how long a smart contract audit will take. While auditing a single token contract takes a couple of days, this goes up to a week for a decentralized application with complicated tokenomics. More advanced smart contract security audits are performed in up to a month.

La taille et la complexité du projet sont les principaux facteurs permettant de déterminer la durée d'un audit de contrat intelligent. Alors que l'audit d'un contrat à jeton unique prend quelques jours, cela peut aller jusqu'à une semaine pour une application décentralisée avec des tokenomics compliqués. Des audits de sécurité des contrats intelligents plus avancés sont effectués en un mois maximum.

The length also depends on whether the developer team wants a full security audit or only an interim report. It’s generally a better idea to audit the smart contract that has been deployed, not the one on GitHub. It minimizes the risk of code churning and malicious last-minute bugs and conveys a message of transparency to the user community.

La durée dépend également du fait que l'équipe de développeurs souhaite un audit de sécurité complet ou uniquement un rapport intermédiaire. C'est généralement une meilleure idée d'auditer le contrat intelligent qui a été déployé, pas celui sur GitHub. Il minimise le risque de désabonnement au code et de bogues malveillants de dernière minute et transmet un message de transparence à la communauté des utilisateurs.

The audit’s duration is also affected by whether it’s manual or automated. Reviewing individual functions in the code manually is time-intensive. However, manual audits are more efficient because they reduce the risk of false reports. They involve checking the code line-by-line to help identify hidden issues in its architecture and logic.

La durée de l'audit dépend également du fait qu'il soit manuel ou automatisé. L’examen manuel des fonctions individuelles dans le code prend beaucoup de temps. Cependant, les audits manuels sont plus efficaces car ils réduisent le risque de faux rapports. Ils consistent à vérifier le code ligne par ligne pour aider à identifier les problèmes cachés dans son architecture et sa logique.

Binary analysis and cryptographic algorithm verification

Analyse binaire et vérification d'algorithmes cryptographiques

Smart contract auditors perform a binary analysis to make sure the code is free from backdoors, i.e. hidden mechanisms attackers use to access a system without authentication. To this end, the team makes sure no unauthorized entities gain administrative access and inspects the transcoding and bonding protocols among participants. It also verifies cryptographic algorithms and enhances the overall security infrastructure.

Les auditeurs de contrats intelligents effectuent une analyse binaire pour s'assurer que le code est exempt de portes dérobées, c'est-à-dire de mécanismes cachés utilisés par les attaquants pour accéder à un système sans authentification. À cette fin, l'équipe s'assure qu'aucune entité non autorisée n'obtient un accès administratif et inspecte les protocoles de transcodage et de liaison entre les participants. Il vérifie également les algorithmes cryptographiques et améliore l'infrastructure de sécurité globale.

Product security audits require deep knowledge of programming languages

Les audits de sécurité des produits nécessitent une connaissance approfondie des langages de programmation

Most software products integrate a user interface. Smart contracts frequently interact with a backend server in DeFi and Web3, whose code can be proprietary or open-source. The interface communicates with the backend server and uses Metamask or another local wallet to verify the user and sign transactions. There is often at least one database, such as PostgreSQL or MongoDB, and AWS Cognito, Auth0, or another OAuth2 authentication service.

La plupart des produits logiciels intègrent une interface utilisateur. Les contrats intelligents interagissent fréquemment avec un serveur backend dans DeFi et Web3, dont le code peut être propriétaire ou open source. L'interface communique avec le serveur backend et utilise Metamask ou un autre portefeuille local pour vérifier l'utilisateur et signer les transactions. Il existe souvent au moins une base de données, telle que PostgreSQL ou MongoDB, et AWS Cognito, Auth0 ou un autre service d'authentification OAuth2.

Product security auditors verify that all components interact with each other as expected, each component performs its functions correctly, no information leaks are possible, system deployment procedures follow best practices, and unauthorized access is prevented. These tasks require a strong understanding of large software project architecture and the ability to navigate codebases written in different programming languages. Typically, the frontend is written in ReactJS, while the backend is a mix of Golang, NodeJS, Python, etc. The smart contracts are in Rust or Solidity. A wide range of tools is involved, including blockchain nodes and Docker container management techniques.

Les auditeurs de sécurité des produits vérifient que tous les composants interagissent les uns avec les autres comme prévu, que chaque composant remplit ses fonctions correctement, qu'aucune fuite d'informations n'est possible, que les procédures de déploiement du système suivent les meilleures pratiques et que tout accès non autorisé est empêché. Ces tâches nécessitent une solide compréhension de l’architecture des grands projets logiciels et la capacité de naviguer dans des bases de code écrites dans différents langages de programmation. Généralement, le frontend est écrit en ReactJS, tandis que le backend est un mélange de Golang, NodeJS, Python, etc. Les contrats intelligents sont en Rust ou Solidity. Un large éventail d'outils est impliqué, notamment les nœuds blockchain et les techniques de gestion des conteneurs Docker.

Penetration testers are well-versed in network protocols and architecture

Les testeurs d’intrusion connaissent bien les protocoles et l’architecture réseau

Penetration testing focuses on external API endpoints Web2 backend services offer. Testing auditors mitigate security flaws by calling some of these APIs via unexpected syntax to obtain privileged access. This is a common attack vector, where cybercriminals trick the system into leaking private data or performing another unauthorized action. Auditors are well-versed in network protocols such as TCP/IP, HTTP/HTTPS, UDP, DNS, and SMTP, as well as architecture like firewalls, routers, switches, and their configurations. Familiarity with subnets and IP addressing (CIDR, NAT, VLANs, and VPNs) and tools like Wireshark to analyze packets

Les tests d'intrusion se concentrent sur les points de terminaison d'API externes proposés par les services backend Web2. Les auditeurs de tests atténuent les failles de sécurité en appelant certaines de ces API via une syntaxe inattendue pour obtenir un accès privilégié. Il s'agit d'un vecteur d'attaque courant, dans lequel les cybercriminels incitent le système à divulguer des données privées ou à effectuer une autre action non autorisée. Les auditeurs connaissent bien les protocoles réseau tels que TCP/IP, HTTP/HTTPS, UDP, DNS et SMTP, ainsi que l'architecture telle que les pare-feu, les routeurs, les commutateurs et leurs configurations. Familiarité avec les sous-réseaux et l'adressage IP (CIDR, NAT, VLAN et VPN) et avec des outils comme Wireshark pour analyser les paquets