ブロックチェーン監査はなぜそれほど高価なのか: 高額な価格をもたらす要因を深く掘り下げる

ある開発会社は、事前の市場調査でセキュリティ監査に30万ドルかかると見積もって素人に衝撃を与えた。しかし、ブロックチェーンの世界を隅々まで知っている人たちは、その高額な値札に少しも驚かなかった。

Blockchain audits are notoriously expensive, with some firms quoting up to $300,000 for a preliminary market survey. However, those familiar with the ins and outs of the blockchain world were not surprised by the hefty price tag in the least. A number of factors necessitate the high costs, including the extreme scarcity of audit teams with the required expertise.

ブロックチェーンの監査は高額で有名で、事前の市場調査に最大 30 万ドルかかると見積もっている企業もあります。しかし、ブロックチェーンの世界を隅々まで知っている人たちは、その高額な値札に少しも驚かなかった。必要な専門知識を備えた監査チームが極度に不足しているなど、多くの要因が高コストを必要としています。

For example, Atom Accelerator recently ran an RFP that culminated in a grant of $440,000 for Zellic to engage as an audit partner of Cosmos Hub over a period of two years. Zellic has performed audits for Cosmos Hub numerous times, including the Inactive Validator Set, Permissionless ICS, and Liquid Staking Module (engaged by Atom Accelerator).

たとえば、Atom Accelerator は最近 RFP を実行し、Zellic が Cosmos Hub の監査パートナーとして 2 年間にわたって従事するための 440,000 ドルの助成金を獲得しました。 Zellic は、Inactive Validator Set、Permissionless ICS、Liquid Saking Module (Atom Accelerator が関与) など、Cosmos Hub の監査を何度も実行してきました。

The Inactive Validators set involved a third-party audit of the codebase with the same name. Zellic conducted the audit in two weeks for a total ask price of $59,500, which included Simply Staking’s fee as an intermediary. This entity also performed mediation for the Permissionless ICS third-party audit, which enabled anyone to create an optional consumer chain without a governance proposal, aimed at launching chains faster and with less friction. Zellic’s quote was $90,000 and a 25% price buffer to account for ATOM token volatility during the voting period. The total price, including Simply Staking’s fees, was $121,500.

非アクティブなバリデーター セットには、同じ名前のコードベースのサードパーティ監査が含まれていました。 Zellic は、仲介者としての Simply Saking の手数料を含む総額 59,500 ドルの提示価格で監査を 2 週間で実施しました。このエンティティは、パーミッションレス ICS サードパーティ監査の調停も行いました。これにより、ガバナンス提案なしで誰でもオプションのコンシューマ チェーンを作成できるようになり、より迅速に、より少ない摩擦でチェーンを立ち上げることが目的になりました。 Zellic の見積額は 90,000 ドルで、投票期間中の ATOM トークンの変動を考慮した 25% の価格バッファーが設定されていました。 Simply Stakeing の手数料を含む総額は 121,500 ドルでした。

Cosmos Hub spent $327,000 on one-off feature audits in the past year and a half, coming to an average of $26,000 for each week in which audits took place. The grant engages Zellic based on a 20 audit-week contract, which costs 16% less per week than Cosmos Hub paid, thanks to Atom Accelerator’s efforts.

Cosmos Hub は、過去 1 年半で 1 回限りの機能監査に 327,000 ドルを費やし、監査が行われた各週の平均では 26,000 ドルに達しました。この助成金は、Atom Accelerator の取り組みのおかげで、週 20 回の監査契約に基づいて Zellic と提携しており、Cosmos Hub が支払う週あたりの費用よりも 16% 安くなります。

A smart contract audit can take up to a month

スマートコントラクトの監査には最大 1 か月かかる場合があります

The project’s size and complexity are the primary factors in determining how long a smart contract audit will take. While auditing a single token contract takes a couple of days, this goes up to a week for a decentralized application with complicated tokenomics. More advanced smart contract security audits are performed in up to a month.

プロジェクトの規模と複雑さは、スマート コントラクトの監査にかかる時間を決定する主な要素です。単一のトークン コントラクトの監査には数日かかりますが、複雑なトークンノミクスを備えた分散型アプリケーションの場合は最大 1 週間かかります。より高度なスマート コントラクトのセキュリティ監査は、最大 1 か月以内に実行されます。

The length also depends on whether the developer team wants a full security audit or only an interim report. It’s generally a better idea to audit the smart contract that has been deployed, not the one on GitHub. It minimizes the risk of code churning and malicious last-minute bugs and conveys a message of transparency to the user community.

また、長さは、開発者チームが完全なセキュリティ監査を希望するか、中間レポートのみを希望するかによっても異なります。一般に、GitHub 上のスマート コントラクトではなく、デプロイされたスマート コントラクトを監査することをお勧めします。コード チャーニングや悪意のある直前のバグのリスクを最小限に抑え、ユーザー コミュニティに透明性のメッセージを伝えます。

The audit’s duration is also affected by whether it’s manual or automated. Reviewing individual functions in the code manually is time-intensive. However, manual audits are more efficient because they reduce the risk of false reports. They involve checking the code line-by-line to help identify hidden issues in its architecture and logic.

監査の期間は、監査が手動か自動かによっても影響されます。コード内の個々の関数を手動で確認するには時間がかかります。ただし、手動監査の方が虚偽報告のリスクが軽減されるため、より効率的です。コードを 1 行ずつチェックして、アーキテクチャとロジックに隠れた問題を特定することが含まれます。

Binary analysis and cryptographic algorithm verification

バイナリ解析と暗号アルゴリズムの検証

Smart contract auditors perform a binary analysis to make sure the code is free from backdoors, i.e. hidden mechanisms attackers use to access a system without authentication. To this end, the team makes sure no unauthorized entities gain administrative access and inspects the transcoding and bonding protocols among participants. It also verifies cryptographic algorithms and enhances the overall security infrastructure.

スマート コントラクトの監査人はバイナリ分析を実行して、コードにバックドア、つまり攻撃者が認証なしでシステムにアクセスするために使用する隠されたメカニズムがないことを確認します。この目的を達成するために、チームは無許可のエンティティが管理アクセスを取得しないようにし、参加者間のトランスコーディングおよびボンディング プロトコルを検査します。また、暗号化アルゴリズムを検証し、全体的なセキュリティ インフラストラクチャを強化します。

Product security audits require deep knowledge of programming languages

製品セキュリティ監査にはプログラミング言語の深い知識が必要です

Most software products integrate a user interface. Smart contracts frequently interact with a backend server in DeFi and Web3, whose code can be proprietary or open-source. The interface communicates with the backend server and uses Metamask or another local wallet to verify the user and sign transactions. There is often at least one database, such as PostgreSQL or MongoDB, and AWS Cognito, Auth0, or another OAuth2 authentication service.

ほとんどのソフトウェア製品にはユーザー インターフェイスが統合されています。スマート コントラクトは、DeFi や Web3 のバックエンド サーバーと頻繁にやり取りし、そのコードはプロプライエタリである場合もオープンソースである場合もあります。このインターフェイスはバックエンドサーバーと通信し、メタマスクまたは別のローカルウォレットを使用してユーザーを検証し、トランザクションに署名します。多くの場合、PostgreSQL や MongoDB などのデータベースと、AWS Cognito、Auth0、または別の OAuth2 認証サービスが少なくとも 1 つ存在します。

Product security auditors verify that all components interact with each other as expected, each component performs its functions correctly, no information leaks are possible, system deployment procedures follow best practices, and unauthorized access is prevented. These tasks require a strong understanding of large software project architecture and the ability to navigate codebases written in different programming languages. Typically, the frontend is written in ReactJS, while the backend is a mix of Golang, NodeJS, Python, etc. The smart contracts are in Rust or Solidity. A wide range of tools is involved, including blockchain nodes and Docker container management techniques.

製品セキュリティ監査人は、すべてのコンポーネントが期待どおりに相互作用していること、各コンポーネントがその機能を正しく実行していること、情報漏洩の可能性がないこと、システム導入手順がベスト プラクティスに従っていること、不正アクセスが防止されていることを検証します。これらのタスクには、大規模なソフトウェア プロジェクトのアーキテクチャについての深い理解と、さまざまなプログラミング言語で記述されたコードベースをナビゲートする能力が必要です。通常、フロントエンドは ReactJS で作成され、バックエンドは Golang、NodeJS、Python などを組み合わせて使用​​されます。スマート コントラクトは Rust または Solidity で作成されます。ブロックチェーン ノードや Docker コンテナ管理技術など、幅広いツールが関係します。

Penetration testers are well-versed in network protocols and architecture

ペネトレーションテスターはネットワークプロトコルとアーキテクチャに精通しています

Penetration testing focuses on external API endpoints Web2 backend services offer. Testing auditors mitigate security flaws by calling some of these APIs via unexpected syntax to obtain privileged access. This is a common attack vector, where cybercriminals trick the system into leaking private data or performing another unauthorized action. Auditors are well-versed in network protocols such as TCP/IP, HTTP/HTTPS, UDP, DNS, and SMTP, as well as architecture like firewalls, routers, switches, and their configurations. Familiarity with subnets and IP addressing (CIDR, NAT, VLANs, and VPNs) and tools like Wireshark to analyze packets

侵入テストは、Web2 バックエンド サービスが提供する外部 API エンドポイントに焦点を当てます。テスト監査人は、予期しない構文でこれらの API の一部を呼び出して特権アクセスを取得することで、セキュリティ上の欠陥を軽減します。これは一般的な攻撃ベクトルであり、サイバー犯罪者がシステムをだまして個人データを漏洩させたり、別の不正なアクションを実行させたりします。監査人は、TCP/IP、HTTP/HTTPS、UDP、DNS、SMTP などのネットワーク プロトコルだけでなく、ファイアウォール、ルーター、スイッチ、およびその構成などのアーキテクチャにも精通しています。サブネットと IP アドレス指定 (CIDR、NAT、VLAN、VPN)、およびパケットを分析するための Wireshark などのツールに関する知識