CertiK Audit: Μέσα στον μεγαλύτερο ελεγκτή ασφαλείας Web3
Η φράση «Ελεγμένο από την CertiK» εμφανίζεται στις σελίδες προορισμού των token με τον ίδιο τρόπο που εμφανίζεται ένα αυτοκόλλητο ασφαλείας στο παιδικό κάθισμα αυτοκινήτου. Υποτίθεται ότι λέει: κάποιος το έλεγξε αυτό, μπορείτε να χαλαρώσετε. Η CertiK είναι το μεγαλύτερο όνομα στην ασφάλεια Web3 και για πολλούς επενδυτές το σήμα έχει γίνει συντομογραφία του «πιθανώς ασφαλές». Το πρόβλημα είναι ότι πολλά έργα που το φορούν έχουν ακόμη εξαντλήσει εκατομμύρια. Τι σας προσφέρει λοιπόν στην πραγματικότητα ένας έλεγχος της CertiK; Αυτό το άρθρο καλύπτει τι είναι η CertiK, πώς λειτουργούν οι έλεγχοί της και η βαθμολογία Skynet, πού βοηθούν και πού το σήμα σταματά σιωπηλά να έχει μεγάλη σημασία.
Τι είναι το CertiK και γιατί κυριαρχεί στην ασφάλεια Web3
Η CertiK δεν εφηύρε τον έλεγχο έξυπνων συμβολαίων. Τον βιομηχανοποίησε. Η εταιρεία μετέτρεψε μια αργή, χειροποίητη διαδικασία που πραγματοποιήθηκε από μια χούφτα κρυπτογράφων σε ένα εμπορικό σήμα που ένα έργο μπορεί να αγοράσει, να προβάλει και να υποδείξει όταν οι επενδυτές ρωτούν αν ο κώδικας είναι ασφαλής.
Από ένα εργαστήριο του Γέιλ σε μια εταιρεία 2 δισεκατομμυρίων δολαρίων
Δύο καθηγητές πληροφορικής ξεκίνησαν το 2018: ο Ronghui Gu του Πανεπιστημίου Columbia και ο Zhong Shao του Yale. Η πρόταση ήταν ακαδημαϊκή, σχεδόν πεισματικά. Χρησιμοποιήστε επίσημη επαλήθευση, μια μαθηματική μέθοδο για να αποδείξετε ότι το λογισμικό κάνει αυτό που ισχυρίζεται, για να κάνετε τον κώδικα blockchain αποδεδειγμένα σωστό αντί απλώς να "δοκιμαστεί". Ιδέα εξειδικευμένης φύσης. Εξακολουθούσε να αποφέρει σημαντικά κέρδη. Μέχρι τον Απρίλιο του 2022, η CertiK είχε συγκεντρώσει περίπου 88 εκατομμύρια δολάρια με αποτίμηση 2 δισεκατομμυρίων δολαρίων, σύμφωνα με το TechCrunch , με τις Goldman Sachs, Tiger Global, Sequoia και Vision Fund της SoftBank να συντάσσουν όλες επιταγές. Εννέα γύροι, περίπου 296 εκατομμύρια δολάρια συνολικά. Καθόλου άσχημα για δύο ακαδημαϊκούς που ξεκίνησαν αποδεικνύοντας θεωρήματα για τους μεταγλωττιστές.
Τι πραγματικά μετράει ο «μεγαλύτερος ελεγκτής»
Τα κύρια στοιχεία της CertiK αφορούν τον όγκο. Ελέγχθηκαν περισσότερα από 6.100 έργα. Πάνω από 91.000 ευπάθειες επισημάνθηκαν σε αυτούς τους ελέγχους ασφαλείας. Εξετάστηκαν περιουσιακά στοιχεία αξίας άνω των 360 δισεκατομμυρίων δολαρίων, με πελάτες όπως οι Aave, Polygon και BNB Chain στο ρόστερ. Η κλίμακα είναι πραγματική. Είναι επίσης το πρόβλημα, επειδή το "μεγαλύτερο" μετράει πόσους ελέγχους πραγματοποιεί μια εταιρεία, όχι πόσο βαθιά διεξάγεται ο καθένας. Ένα εργοστάσιο που εκτυπώνει περισσότερες αναφορές από οποιονδήποτε άλλο είναι εντυπωσιακό, σίγουρα, αλλά ο όγκος και η αυστηρότητα δεν είναι το ίδιο πράγμα, και το χάσμα μεταξύ τους είναι το σημείο όπου βρίσκεται το μεγαλύτερο μέρος της κριτικής. Ακολουθεί η συγκεκριμένη εκδοχή αυτής της καταγγελίας. Η CertiK εξετάζει τόσα πολλά έργα που το όνομά της καταλήγει σε ένα απλό meme token και σε ένα σοβαρό πρωτόκολλο, και ένα διήμερο πάσο κερδίζει το ίδιο σήμα με μια μηνιαία αξιολόγηση. Οι αγοραστές σπάνια βλέπουν ποιο είναι ποιο. Αυτή η ισοπέδωση είναι το πραγματικό πρόβλημα με το σήμα.
Πώς λειτουργεί στην πραγματικότητα ένας έλεγχος CertiK, βήμα προς βήμα
Ένας έλεγχος CertiK δεν είναι ένα ενιαίο σύνολο. Είναι δύο επίπεδα που συνδέονται μεταξύ τους και η κατανόηση της διαφοράς σας λέει πολλά για το τι μπορεί και τι δεν μπορεί να υποσχεθεί η τελική έκθεση.
Επίσημη επαλήθευση έναντι μη αυτόματης αναθεώρησης
Το πρώτο επίπεδο είναι η επίσημη επαλήθευση. Αντί να εκτελεί ένα έξυπνο συμβόλαιο και να παρακολουθεί τι συμβαίνει, το CertiK δημιουργεί ένα μαθηματικό μοντέλο του κώδικα και αποδεικνύει εάν ορισμένες ιδιότητες ισχύουν πάντα, ανεξάρτητα από την είσοδο. Ο μεταγλωττιστής DeepSEA υπάρχει για να το υποστηρίξει αυτό. Η επίσημη επαλήθευση είναι ισχυρή για περιορισμένα ερωτήματα, όπως "μπορεί ποτέ αυτό το υπόλοιπο να γίνει αρνητικό", αλλά ελέγχει μόνο τις ιδιότητες που κάποιος σκέφτηκε να καθορίσει.
Το δεύτερο επίπεδο είναι η χειροκίνητη αναθεώρηση: οι μηχανικοί διαβάζουν τον κώδικα γραμμή προς γραμμή, αναζητώντας λογικά σφάλματα, λανθασμένες υποθέσεις και το είδος των ανεπαίσθητων λαθών που ένα μοντέλο δεν θα επισημάνει επειδή κανείς δεν του είπε να κοιτάξει. Από εδώ προέρχονται τα περισσότερα πραγματικά ευρήματα. Ανάλογα με το πόσος κώδικας υπάρχει και πόσο περίπλοκος είναι, ολόκληρη η διαδικασία διαρκεί από περίπου 48 ώρες για κάτι μικρό έως αρκετές εβδομάδες για ένα μεγάλο πρωτόκολλο.
Ανάγνωση της αναφοράς: «επιλύθηκε» έναντι «επιβεβαιώθηκε»
Το παραδοτέο είναι μια αναφορά. Επισημαίνει κάθε ευπάθεια κατά σοβαρότητα — κρίσιμη, σημαντική, δευτερεύουσα και πληροφοριακή — και σημειώνει τι έκανε το έργο για αυτήν. Η τελευταία στήλη έχει μεγαλύτερη σημασία από ό,τι αντιλαμβάνονται οι άνθρωποι. Ένα εύρημα με την ένδειξη «επιλύθηκε» σημαίνει ότι η ομάδα το διόρθωσε και η CertiK το επανέλεγξε. Ένα εύρημα με την ένδειξη «επιβεβαιώθηκε» σημαίνει ότι η ομάδα το διάβασε, το έδειξε και το έστειλε ούτως ή άλλως. Δύο έργα μπορούν να έχουν το ίδιο σήμα, ενώ το ένα διόρθωσε τα πάντα και το άλλο αγνόησε τις κρίσιμες προειδοποιήσεις του. Το σήμα δεν τα διακρίνει. Η αναφορά το κάνει. Αυτός είναι επίσης ο λόγος για τον οποίο η ημερομηνία σε μια αναφορά έχει σημασία. Ο κώδικας αποστέλλεται και μετά αλλάζει. Ένας έλεγχος από ένα χρόνο και δέκα αναβαθμίσεις πριν περιγράφει ένα έργο που ενδέχεται να μην υπάρχει πλέον στην αλυσίδα στη μορφή που εξετάστηκε.
| Στάδιο | Τι κάνει η CertiK | Πιάματα | Τυφλά σημεία |
|---|---|---|---|
| Επίσημη επαλήθευση | Αποδεικνύει μαθηματικά συγκεκριμένες ιδιότητες του κώδικα | Μαθηματικά και λογικά ελαττώματα σε καθορισμένους κανόνες | Οτιδήποτε εκτός των καθορισμένων ιδιοτήτων |
| Χειροκίνητη αναθεώρηση | Οι μηχανικοί διαβάζουν τον κώδικα με το χέρι | Λογικά σφάλματα, λανθασμένες υποθέσεις, γνωστά μοτίβα επίθεσης | Συστήματα εκτός αλυσίδας, αλλαγές στον κώδικα μετά τον έλεγχο |
| Αναφορά και επανέλεγχος | Παραθέτει ευρήματα κατά σοβαρότητα, επανελέγχει τις διορθώσεις | Εάν αντιμετωπίστηκαν τα ζητήματα | Εάν η ομάδα όντως ανέπτυξε την επιδιορθωμένη έκδοση |
Το Skynet και η βαθμολογία ασφαλείας CertiK Web3
Οι έλεγχοι είναι στιγμιότυπα που λαμβάνονται μία φορά. Το Skynet είναι η προσπάθεια της CertiK να πουλήσει κάτι συνεχές: έναν πίνακα ελέγχου σε πραγματικό χρόνο που παρακολουθεί τα έργα μετά την έναρξή τους και αντιστοιχίζει σε κάθε ένα από αυτά μια Βαθμολογία Ασφαλείας. Η εταιρεία λέει ότι παρακολουθεί περισσότερα από 20.000 έργα στην αλυσίδα.
Η βαθμολογία συνδυάζει μερικά δεδομένα. Εξετάζει εάν ένα έργο έχει ελεγχθεί, εάν η ομάδα του πέρασε τον έλεγχο KYC της CertiK (ο οποίος διατίθεται σε χρυσή, ασημένια και χάλκινη βαθμίδα) και πώς συμπεριφέρονται οι συμβάσεις — το Skynet αναλύει τη συμπεριφορά των συμβάσεων στην αλυσίδα μέσω της παρακολούθησης χρόνου εκτέλεσης και επισημαίνει ανωμαλίες καθώς εμφανίζονται. Το Skynet εκτελεί επίσης ειδοποιήσεις παρακολούθησης στην αλυσίδα για απάτες εξόδου και εκμεταλλεύσεις, καθώς και πίνακες κατάταξης που κατατάσσουν τα έργα μεταξύ τους. Ως πρώτη ένδειξη, μια βαθμολογία Skynet είναι πραγματικά χρήσιμη. Είναι πιο γρήγορη από την ανάγνωση μιας πλήρους αναφοράς και επισημαίνει προφανείς κόκκινες σημαίες. Αλλά είναι επίσης ένα προϊόν που πουλάει η CertiK, χτισμένο εν μέρει σε δεδομένα που παρέχει η CertiK, και μια υψηλή βαθμολογία δεν ήταν ποτέ μια υπόσχεση ότι ένα έργο είναι ασφαλές. Αντιμετωπίστε το ως ένα σημείο δεδομένων, όχι ως ετυμηγορία. Το ιστορικό το επιβεβαιώνει αυτό. Τα έργα έχουν συγκεντρώσει αξιοσέβαστες βαθμολογίες Skynet μέχρι τη στιγμή που έγιναν αντικείμενο εκμετάλλευσης ή εγκαταλείφθηκαν αθόρυβα, επειδή μια βαθμολογία που βασίζεται σε μεγάλο βαθμό σε προηγούμενη συμπεριφορά δεν μπορεί να προβλέψει μια κακόβουλη αλλαγή που έρχεται. Σας λέει ότι ένα έργο δεν έχει ανατιναχθεί ακόμα. Δεν μπορεί να σας πει ότι δεν θα το κάνει ποτέ.
Πέρα από τους ελέγχους: Το υπόλοιπο οικοσύστημα της CertiK
Ο έλεγχος είναι ο τίτλος, αλλά η CertiK πουλάει μια ευρύτερη γκάμα γύρω από αυτόν. Οι δοκιμές διείσδυσης πραγματοποιούν προσομοιωμένες επιθέσεις σε πορτοφόλια, ανταλλακτήρια και εφαρμογές. Ένα πρόγραμμα bounty bug, που λειτουργεί με μηδενική χρέωση πλατφόρμας, πληρώνει εξωτερικούς χάκερ για να βρουν τρύπες πριν τις βρουν οι εγκληματίες. Έπειτα, υπάρχει το KYC για να βάλει ένα πραγματικό όνομα πίσω από ανώνυμους ιδρυτές, το SkyInsights για το έργο συμμόρφωσης και καταπολέμησης της νομιμοποίησης εσόδων από παράνομες δραστηριότητες που χρειάζονται οι ρυθμιζόμενες εταιρείες στο πλαίσιο του MiCA και του DORA, και το SkyTrace για να κυνηγάει κλεμμένα κεφάλαια σε όλες τις αλυσίδες όταν κάτι έχει ήδη πάει στραβά. Τίποτα από αυτά δεν αντικαθιστά τον έλεγχο. Περιστρέφεται γύρω από τον έλεγχο, και έτσι μια μεμονωμένη δέσμευση γίνεται σιωπηλά μια συνδρομή που καλύπτει ολόκληρη τη διάρκεια ζωής ενός αποκεντρωμένου έργου.
Ελεγμένο και στη συνέχεια παραβιασμένο: Όταν τα διανύσματα επίθεσης γλιστρούν
Να το σημείο που παραλείπουν οι γλαφυρά επεξηγηματικοί σχολιαστές. Ένας έλεγχος είναι ένα στιγμιότυπο συγκεκριμένου κώδικα σε μια συγκεκριμένη στιγμή. Δεν αποτελεί εγγύηση, και η αντιμετώπισή του ως τέτοιας είναι το πώς οι άνθρωποι χάνουν χρήματα σε έργα που έκαναν τα πάντα «σωστά» στα χαρτιά.
Τι δεν καλύπτει ένας έλεγχος
Ένας έλεγχος έξυπνης σύμβασης ελέγχει τη σύμβαση. Δεν ελέγχει εάν οι ιδρυτές κατέχουν κλειδί διαχειριστή που τους επιτρέπει να αδειάσουν το σύνολο δεδομένων. Δεν ελέγχει τον ιστότοπο, τους διακομιστές ή τα ιδιωτικά κλειδιά πίσω από αυτά. Δεν ελέγχει την έκδοση του κώδικα που αναπτύσσει η ομάδα μετά το τέλος του ελέγχου, η οποία μπορεί να διαφέρει από αυτήν που εξετάστηκε. Και δεν μπορεί να σταματήσει μια ομάδα που απλώς αποφασίζει να φύγει με τα χρήματα. Τα περισσότερα από τα διανύσματα επίθεσης που αδειάζουν ένα έργο δεν είναι καθόλου σφάλματα στην ελεγμένη σύμβαση. Βρίσκονται στα κενά γύρω από αυτήν.
Η υπόθεση Merlin DEX: επισημάνθηκε αλλά εκμεταλλεύτηκε
Το Merlin DEX είναι το πιο καθαρό παράδειγμα. Η CertiK το έλεγξε και ο έλεγχος στην πραγματικότητα επισήμανε το πρόβλημα: οι συμβάσεις του έργου ήταν επικίνδυνα συγκεντρωτικές, με προνομιακή πρόσβαση την οποία θα μπορούσε να καταχραστεί ένας κακόβουλος εμπιστευτικός. Τον Απρίλιο του 2023, αυτός ακριβώς ο φορέας χρησιμοποιήθηκε για την απώλεια περίπου 1,82 εκατομμυρίων δολαρίων. Ο έλεγχος δεν ήταν λάθος. Ονόμασε τον κίνδυνο. Αλλά η προειδοποίηση βρισκόταν στη στήλη «επιβεβαιώθηκε» αντί για τη στήλη «επιλύθηκε», και το exploit πέρασε κατευθείαν από την πόρτα που είχε ήδη υποδείξει η έκθεση. Η ανίχνευση του ελαττώματος ήταν το εύκολο κομμάτι. Η δράση βάσει αυτού ήταν δουλειά του πελάτη και η ομάδα του Merlin δεν το έκανε ποτέ.
Αν κάνετε σμίκρυνση, η τάση είναι δυσάρεστη για ολόκληρο τον κλάδο. Οι αναφορές Hack3d της CertiK δείχνουν ότι οι απώλειες αυξάνονται, όχι μειώνονται. Η εταιρεία κατέγραψε περίπου 2,36 δισεκατομμύρια δολάρια που κλάπηκαν σε 760 περιστατικά το 2024 , και στη συνέχεια περίπου 3,35 δισεκατομμύρια δολάρια σε 630 περιστατικά το 2025 , ένα έτος που αυξήθηκε λόγω της μοναδικής παραβίασης του Bybit ύψους 1,45 δισεκατομμυρίων δολαρίων. Ανεξάρτητα δεδομένα από την Chainalysis τοποθετούν την κλοπή το 2025 κοντά στα 3,4 δισεκατομμύρια δολάρια, εκ των οποίων περίπου 2,02 δισεκατομμύρια δολάρια συνδέονταν με ομάδες που συνδέονται με τη Βόρεια Κορέα. Αυτοί οι φορείς εκμετάλλευσης κυνηγούν όλο και περισσότερο τους ανθρώπους και τις υποδομές γύρω από μια σύμβαση και όχι την ίδια τη σύμβαση, κάτι που ακριβώς είναι το θέμα που δεν καλύπτει ένας έλεγχος. Περισσότερος έλεγχος δεν σημαίνει λιγότερη εγκληματικότητα.
| Ετος | Αναφερόμενες απώλειες | Περιστατικά | Μεγαλύτερη επιτυχία μεμονωμένου χρήστη |
|---|---|---|---|
| 2024 | 2,36 δισεκατομμύρια δολάρια | 760 | — |
| 2025 | 3,35 δισεκατομμύρια δολάρια | 630 | Bybit, 1,45 δισεκατομμύρια δολάρια |
Το περιστατικό Kraken και το πρόβλημα εμπιστοσύνης της CertiK
Για μια εταιρεία που πουλάει εμπιστοσύνη, η ίδια της η συμπεριφορά αποτελεί μέρος του προϊόντος. Δύο επεισόδια το έχουν κάνει αυτό αμήχανο.
Τον Ιούνιο του 2024, οι ερευνητές της CertiK εντόπισαν ένα σφάλμα zero-day στο χρηματιστήριο Kraken και, αντί απλώς να το αναφέρουν, το χρησιμοποίησαν για να αποσύρουν περίπου 3 εκατομμύρια δολάρια από τα συστήματα της Kraken . Η CertiK το παρουσίασε ως απόδειξη της σοβαρότητας του σφάλματος. Η Kraken το χαρακτήρισε εκβιασμό και είπε ότι η εταιρεία αρχικά αρνήθηκε να επιστρέψει τα χρήματα μέχρι να πιεστεί. Τα χρήματα τελικά επιστράφηκαν, αλλά το επεισόδιο είχε άσχημη ερμηνεία: μια εταιρεία ασφαλείας εκμεταλλευόταν έναν πελάτη σε μεγάλη κλίμακα για να υποστηρίξει ένα επιχείρημα. Στη συνέχεια, στις αρχές του 2025, η CertiK ζήτησε συγγνώμη για την εργασία που συνδεόταν με την Huione, μια επιχείρηση στην Καμπότζη που αργότερα συνδέθηκε με απάτες καταναγκαστικής εργασίας. Τίποτα από αυτά δεν σημαίνει ότι οι έλεγχοι της CertiK είναι άχρηστοι. Σημαίνει ότι μια εταιρεία που ζητά από την αγορά να πιστέψει τον λόγο της πρέπει τώρα να ξαναχτίσει μέρος αυτού του λόγου, και το κάνει αυτό ενώ φέρεται να προετοιμάζεται για μια ενδεχόμενη IPO στην αποτίμησή της περίπου στα 2 δισεκατομμύρια δολάρια.
CertiK έναντι άλλων εταιρειών ασφαλείας Web3
Η CertiK είναι το πιο ηχηρό όνομα στην ασφάλεια blockchain, όχι το μόνο, και για πολλά έργα δεν είναι η προφανής επιλογή. Η αγορά ελέγχου χωρίζεται περίπου σε παίκτες κλίμακας και μπουτίκ. Οι εταιρείες μπουτίκ αναλαμβάνουν λιγότερους πελάτες και τείνουν να επεκτείνονται σε μεγαλύτερο βάθος, και πολλές ορίζουν τα δικά τους πρότυπα ασφαλείας που υπερβαίνουν αυτό που ένα κατάστημα μεγάλου όγκου έχει το εύρος ζώνης να επιβάλει. Τα πρωτόκολλα που χειρίζονται σοβαρά χρήματα συχνά πληρώνουν για μια δεύτερη γνώμη από έναν από αυτούς ακριβώς για αυτόν τον λόγο. Η κλίμακα και το βάθος δεν είναι το ίδιο πράγμα, και η σωστή επιλογή εξαρτάται από το στάδιο και τον προϋπολογισμό σας. Η τιμολόγηση αντικατοπτρίζει αυτό το εύρος: ένας μικρός συμβολικός έλεγχος μπορεί να κοστίσει μερικές χιλιάδες δολάρια, ενώ μια πλήρης αξιολόγηση ενός σύνθετου πρωτοκόλλου φτάνει σε εξαψήφιο αριθμό.
| Εταιρεία | Εστία | Γνωστός για | Μοντέλο |
|---|---|---|---|
| CertiK | Ευρεία ασφάλεια Web3 | Όγκος, Skynet, αναγνωρισιμότητα επωνυμίας | Κλίμακα |
| Μονοπάτι από Κομμάτια | Ασφάλεια υψηλής εξασφάλισης | Βαθιά χειροκίνητη ανασκόπηση, έρευνα | Μπουτίκ |
| OpenZeppelin | Έξυπνη ασφάλεια συμβολαίων | Ευρέως χρησιμοποιούμενες βιβλιοθήκες συμβάσεων | Μπουτίκ |
| Χάλμπορν | Blockchain και ασφάλεια υποδομών | Δοκιμή πένας, προηγμένα exploits | Μεσαίου μεγέθους |
| Χάκεν | Έλεγχοι και παρακολούθηση Web3 | Οικονομικά αποδοτικοί έλεγχοι | Μεσαίου μεγέθους |
Πώς να διαβάσετε το σήμα Audited by CertiK
Έτσι, βλέπετε την ένδειξη "Ελεγμένο από την CertiK" σε ένα έργο. Πριν την εμπιστευτείτε, ανοίξτε την πραγματική αναφορά και ελέγξτε πέντε πράγματα. Πρώτον, το πεδίο εφαρμογής: ποιες συμβάσεις εξετάστηκαν και το μέρος που κρατά τα χρήματά σας είναι ένα από αυτά; Δεύτερον, την ημερομηνία και το hash υποβολής και, στη συνέχεια, συγκρίνετέ τα με τον κώδικα που είναι πραγματικά ενεργός, επειδή συχνά αποκλίνουν. Τρίτον, τα ευρήματα: πόσα ήταν κρίσιμα και επιλύθηκαν ή απλώς αναγνωρίστηκαν; Τέταρτον, αν η ελεγμένη έκδοση είναι η αναπτυγμένη έκδοση. Πέμπτον, μην βασίζεστε μόνο στη βαθμολογία Skynet. Είναι μια περίληψη, όχι το έγγραφο.
Μια γρήγορη παρατήρηση σχετικά με τα tickers, επειδή ο κόσμος τα μπερδεύει. Η CertiK είναι ιδιωτική εταιρεία και δεν έχει μετοχές. Η CTK είναι το διακριτικό της αλυσίδας Shentu, ενός ξεχωριστού δικτύου απόδειξης συμμετοχής που συνδέεται με το πρώιμο έργο της CertiK. Η αγορά CTK δεν είναι αγορά συμμετοχής στον ελεγκτικό κλάδο. Αν ψάχνατε για "μετοχές της CertiK", δεν υπάρχει ακόμα.
Πόσο πραγματικά αξίζει ένας έλεγχος CertiK
Αξίζει, λοιπόν, κάτι ένας έλεγχος της CertiK; Ναι, εντός ορίων. Ανεβάζει το όριο. Αποκλείει τον άτονο κώδικα, καταγράφει τους πραγματικούς κινδύνους και δίνει σε μια σοβαρή ομάδα μια λίστα με τις λεπτομέρειες που πρέπει να επεξεργαστεί. Αυτό που δεν μπορεί να κάνει είναι να εγγυηθεί για τους ανθρώπους. Δεν θα υποσχεθεί ότι ο κώδικας που αναπτύχθηκε ταιριάζει με αυτόν που εξετάστηκε ή ότι ένας μόνο επισημασμένος κίνδυνος έχει ποτέ κλείσει. Αντιμετωπίστε το σήμα ως την αρχή της επιμέλειας σας, όχι ως τη γραμμή τερματισμού. Έτσι, την επόμενη φορά που θα δείτε "Ελεγχόμενο από την CertiK", κάντε το βαρετό πράγμα που σχεδόν κανείς δεν κάνει: ανοίξτε την αναφορά και διαβάστε τη στήλη που λέει τι διορθώθηκε. Και αν το έργο δεν σας δείξει την αναφορά; Αυτή η απροθυμία είναι η απάντηση. Ένα σήμα που δεν μπορείτε να ελέγξετε είναι απλώς ένα λογότυπο.
