Тільки-но ледь не наступив на граблі, а коли почав думати про це далі — стало ще страшніше…



Є один проєкт, який виглядає доволі жвавим: зірок на GitHub теж чимало, звіти з аудиту наклеєні пачками — там і Trail of Bits, і Certik. Я спочатку думав кинути трошки грошей, щоб погратися, але по дурості зайшов глибше й переглянув їхні адреси апгрейд-майлтингу — і от тобі: owner-права там виявилися 2/3 багатопідписом, але серед трьох адрес дві належать одній й тій самій людині, просто в різних гаманцях. Чим це взагалі відрізняється від сингл-підпису?

Зрозумівши це, усвідомив, що багато хто, дивлячись на аудиторські звіти, дивиться лише “є” чи “немає”, але насправді треба перевіряти, чи є в scope аудиту “логіка апгрейду”, чи справді розподілені signer-и багатопідпису. Зірок на GitHub теж, звісно, багато, але код уже пів року не оновлювали: commit-и майже всі — це правки README.

Великі перекази сприймають як “розумні гроші”, а насправді це може бути просто те, що людина замінила гаманець — і не треба самому додавати собі зайвих дій. У будь-якому разі зараз я краще гортаю ще кілька сторінок on-chain даних, ніж вірю тим самим чотирьом словам “аудит пройдено”.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • Прокоментувати
  • Репост
  • Поділіться
Прокоментувати
Додати коментар
Додати коментар
Немає коментарів
  • Закріплено