Většina krypto projektů přistupuje k bezpečnosti obráceně: nejprve budují, poté zabezpečují. Pojďme se ponořit do toho, co a proč by měl každý projekt implementovat PŘED auditem, a to pomocí analogie s bezpečnostní pyramidou.

2/8 Tier 1 (Foundation): Revize kódu Tato úroveň poskytuje největší dopad při nejnižších nákladech. Týmy musí implementovat peer review prostřednictvím správných pracovních postupů git a vyhnout se syndromu "full-stack hero", kdy vše zvládne jedna osoba. Více párů očí na kódu zabraňuje více zranitelnostem než samotné audity.

3/8 Tier 2: Jednotkové testování Před každým auditem mít 90-100% pokrytí testů. Pište testy v jiném jazyce, než je vaše implementace, abyste se vyhnuli replikaci logických chyb. Testujte okrajové případy, nejen šťastné cesty – zejména v blockchainu, kde se kód hůře aktualizuje.

5/8 Tier 4: Fuzz testování Svatý grál: fuzzing založený na vlastnostech s invarianty pro složité protokoly, řízený fuzzing zaměřený na specifické cesty kódu a diferenciální testování proti referenčním implementacím. Fuzzing je nejlepší nástroj pro hledání složitých okrajových případů.

6/8 Nad pyramidou sedí audit. Je to také proto, že jeho účinnost zcela závisí na základu. Projekty, které přeskočí nižší úrovně, často zaznamenají 20+ kritických problémů v auditech. Ti, kteří implementují všechny 4 úrovně, obvykle vidí maximálně 1-2 kritické problémy.

7/8 Týmy dodržující tyto osvědčené postupy zachytí kritické problémy, které by jinak proklouzly. To snižuje náklady na audit a umožňuje dodávat celkově bezpečnější protokoly. Zabezpečení je způsob, jak budovat od začátku, ne jen jedno poslední zaškrtávací políčko k outsourcingu.