CertiK Audit: взгляд изнутри крупнейшего аудитора безопасности Web3.
Фраза «Проверено CertiK» появляется на целевых страницах токенов так же часто, как наклейка безопасности на детском автокресле. Она должна означать: кто-то это проверил, можете расслабиться. CertiK — крупнейшая компания в сфере безопасности Web3, и для многих инвесторов этот значок стал синонимом «вероятно, безопасно». Проблема в том, что несколько проектов, использующих этот значок, всё равно потеряли миллионы. Так что же на самом деле даёт аудит CertiK? В этой статье мы рассмотрим, что такое CertiK, как работают его аудиты и рейтинг Skynet, в чём они помогают и где этот значок незаметно перестаёт что-либо значить.
Кто такие CertiK и почему они доминируют в области безопасности Web3.
Компания CertiK не изобрела аудит смарт-контрактов. Она сделала его индустриальным. Компания превратила медленный, кустарный процесс, выполняемый горсткой криптографов, в бренд, который проект может купить, продемонстрировать и на который может ссылаться, когда инвесторы спрашивают о безопасности кода.
От лаборатории Йельского университета до компании с оборотом в 2 миллиарда долларов.
В 2018 году проект запустили два профессора информатики: Ронгхуэй Гу из Колумбийского университета и Чжун Шао из Йельского университета. Идея носила академический характер, почти упрямый. Использовать формальную верификацию — математический метод доказательства того, что программное обеспечение работает так, как заявлено, — чтобы сделать код блокчейна доказуемо корректным, а не просто «протестированным». Нишевая идея. Тем не менее, она привлекла серьёзные инвестиции. По данным TechCrunch , к апрелю 2022 года CertiK привлекла около 88 миллионов долларов при оценке в 2 миллиарда долларов, причём чеки выделили Goldman Sachs, Tiger Global, Sequoia и SoftBank Vision Fund. Девять раундов, примерно 296 миллионов долларов в общей сложности. Неплохо для пары учёных, которые начинали с доказательства теорем о компиляторах.
Что на самом деле измеряет «крупнейший аудитор»
Главные показатели CertiK — это объём. Проверено более 6100 проектов. Выявлено более 91 000 уязвимостей в ходе этих проверок безопасности. Проверены активы на сумму более 360 миллиардов долларов, среди клиентов — Aave, Polygon и BNB Chain. Масштаб реален. Но в этом и заключается подвох, потому что «крупнейший» показатель — это количество проведенных проверок, а не глубина каждой отдельной проверки. Фабрика, которая печатает больше отчетов, чем кто-либо другой, безусловно, впечатляет, но объём и строгость — это не одно и то же, и именно разрыв между ними является основной причиной критики. Вот конкретная версия этой жалобы. CertiK проверяет так много проектов, что её название оказывается на одноразовом меме и на серьёзном протоколе, а двухдневная проверка приносит тот же значок, что и многомесячная. Покупатели редко видят, что к чему. Именно это выравнивание и является настоящей проблемой этого значка.
Как на самом деле работает аудит CertiK: пошаговая инструкция
Аудит CertiK — это не что-то одно. Это два уровня, наложенных друг на друга, и понимание этой разницы многое говорит о том, что может и чего не может гарантировать итоговый отчет.
Формальная верификация против ручной проверки
Первый уровень — формальная верификация. Вместо запуска смарт-контракта и наблюдения за происходящим, CertiK строит математическую модель кода и доказывает, всегда ли выполняются определенные свойства, независимо от входных данных. Для этого существует компилятор DeepSEA. Формальная верификация эффективна для решения узких вопросов, например, «может ли этот баланс когда-либо стать отрицательным», но она проверяет только те свойства, которые кто-то посчитал необходимым указать.
Второй этап — ручная проверка: инженеры-люди построчно читают код, ища логические ошибки, неверные предположения и те самые тонкие недочеты, которые модель не заметит, потому что ей никто не дал указаний их искать. Именно здесь кроется большинство действительно важных результатов. В зависимости от объема кода и его сложности, весь процесс занимает от 48 часов для небольшого проекта до нескольких недель для крупного протокола.
Чтение отчета: «решено» против «признано»
Результатом работы является отчет. В нем каждая уязвимость отмечена по степени серьезности — критическая, серьезная, незначительная и информационная — и указано, что проект предпринял для ее устранения. Последний столбец имеет большее значение, чем кажется. Обнаружение, отмеченное как «решено», означает, что команда исправила его, и CertiK провел повторную проверку. Обнаружение, отмеченное как «принято к сведению», означает, что команда прочитала его, пожала плечами и все равно выпустила продукт. Два проекта могут иметь один и тот же значок, в то время как один исправил все, а другой проигнорировал критические предупреждения. Значок не позволяет их различить. Это делает отчет. Именно поэтому важна дата в отчете. Код выпускается, затем изменяется; аудит, проведенный год и десять обновлений назад, описывает проект, который, возможно, больше не существует в блокчейне в том виде, в котором он был проверен.
| Этап | Что делает CertiK? | Уловы | Слепые зоны |
|---|---|---|---|
| Формальная проверка | Доказывает математически заданные свойства кода. | Математические и логические ошибки в установленных правилах | Все, что выходит за рамки указанных свойств. |
| Ручная проверка | Инженеры читали код вручную. | Логические ошибки, неверные предположения, известные схемы атак | Внецепочечные системы, изменения кода после аудита |
| Составить отчет и провести повторный аудит. | Выводит список обнаруженных проблем по степени серьезности, повторно проверяет исправления. | Были ли рассмотрены эти вопросы? | Была ли команда фактически развернута исправленная версия? |
Скайнет и оценка безопасности CertiK Web3
Аудиты представляют собой разовые снимки. Skynet — это попытка CertiK продать нечто непрерывное: панель мониторинга в реальном времени, которая отслеживает проекты после их запуска и присваивает каждому из них оценку безопасности. Компания заявляет, что отслеживает более 20 000 проектов в блокчейне.
Оценка Skynet учитывает несколько факторов. Она анализирует, проходил ли проект аудит, прошла ли его команда проверку KYC от CertiK (доступна в золотом, серебряном и бронзовом уровнях), а также поведение контрактов — Skynet анализирует поведение контрактов в блокчейне с помощью мониторинга в реальном времени и отмечает аномалии по мере их возникновения. Skynet также запускает оповещения о мошеннических схемах и эксплойтах в блокчейне, а также формирует рейтинги проектов. В качестве первого сигнала оценка Skynet действительно полезна. Она быстрее, чем чтение полного отчета, и указывает на очевидные тревожные сигналы. Но это также продукт, который продает CertiK, частично основанный на данных, предоставляемых CertiK, и высокая оценка никогда не была гарантией безопасности проекта. Рассматривайте ее как один из показателей, а не как вердикт. История подтверждает это. Проекты имели достойные оценки Skynet вплоть до момента их взлома или тихого закрытия, потому что оценка, основанная в основном на прошлом поведении, не может предвидеть злонамеренные изменения. Это говорит о том, что проект ещё не провалился. Но это не может сказать, что он никогда не провалится.
Помимо аудитов: остальная часть экосистемы CertiK.
Аудит — это лишь заголовок, но CertiK предлагает более широкий спектр услуг. Тестирование на проникновение включает в себя имитацию атак на кошельки, биржи и приложения. Программа вознаграждения за обнаружение уязвимостей, работающая без комиссии платформы, платит сторонним хакерам за поиск уязвимостей до того, как их обнаружат преступники. Кроме того, есть KYC (верификация личности), позволяющая подтвердить личность анонимных основателей, SkyInsights (услуги по обеспечению соответствия нормативным требованиям и борьбе с отмыванием денег, необходимые регулируемым компаниям в соответствии с MiCA и DORA), и SkyTrace (услуги по отслеживанию украденных средств в блокчейнах после того, как проблема уже возникла). Ничто из этого не заменяет аудит. Это лишь дополняет аудит, благодаря чему разовое сотрудничество незаметно превращается в подписку, охватывающую весь жизненный цикл децентрализованного проекта.
Проверка, а затем взлом: как векторы атаки ускользают от внимания
Вот та часть, которую упускают в своих глянцевых объяснениях. Аудит — это снимок конкретного кода в конкретный момент времени. Это не гарантия, и именно так люди теряют деньги на проектах, которые на бумаге всё сделали «правильно».
Что не охватывает аудит
Аудит смарт-контракта проверяет сам контракт. Он не проверяет, есть ли у основателей административный ключ, позволяющий им опустошать пул. Он не проверяет веб-сайт, серверы или закрытые ключи, лежащие в их основе. Он не проверяет версию кода, которую команда развертывает после завершения аудита, которая может отличаться от проверенной. И он не может остановить команду, которая просто решает сбежать с деньгами. Большинство векторов атак, которые опустошают проект, вовсе не являются ошибками в проверенном контракте. Они находятся в пробелах вокруг него.
Дело о децентрализованной бирже Merlin: обнаружена, но использована злоумышленниками.
Merlin DEX — самый наглядный пример. Компания CertiK провела его аудит, и аудит действительно выявил проблему: контракты проекта были опасно централизованы, с привилегированным доступом, которым мог злоумышленник-инсайдер воспользоваться. В апреле 2023 года именно этот способ позволил вывести около 1,82 миллиона долларов. Аудит не ошибся; он указал на риск. Но предупреждение находилось в графе «подтверждено», а не «решено», и уязвимость прошла прямо через ту дверь, на которую уже указывал отчет. Обнаружить уязвимость было легко. Реагировать на нее было задачей клиента, а команда Merlin так и не сделала этого.
В более широком контексте тенденция вызывает беспокойство во всей отрасли. Собственные отчеты CertiK на Hack3d показывают, что потери растут, а не падают. По оценкам компании , в 2024 году в результате 760 инцидентов было украдено около 2,36 миллиарда долларов , а в 2025 году — около 3,35 миллиарда долларов в результате 630 инцидентов , причем этот год был завышен из-за единственного случая взлома Bybit на сумму 1,45 миллиарда долларов. Независимые данные Chainalysis показывают, что в 2025 году кража составит около 3,4 миллиарда долларов, из которых примерно 2,02 миллиарда долларов были связаны с группами, имеющими связи с Северной Кореей. Эти операторы все чаще преследуют людей и инфраструктуру, связанные с контрактом, а не сам контракт, что как раз и не входит в сферу охвата аудита. Увеличение количества аудитов не привело к снижению уровня преступности.
| Год | Сообщенные убытки | Инциденты | Самый крупный разовый удар |
|---|---|---|---|
| 2024 | 2,36 миллиарда долларов | 760 | — |
| 2025 | 3,35 миллиарда долларов | 630 | Bybit, 1,45 миллиарда долларов |
Инцидент с «Кракеном» и проблема доверия в компании CertiK
Для компании, которая продает доверие, ее собственное поведение является частью продукта. Два инцидента создали неловкую ситуацию.
В июне 2024 года исследователи CertiK обнаружили уязвимость нулевого дня в бирже Kraken и, вместо того чтобы просто сообщить об этом, использовали её для вывода около 3 миллионов долларов из систем Kraken . CertiK представила это как доказательство серьёзности ошибки. Kraken назвала это вымогательством и заявила, что компания первоначально отказывалась возвращать средства, пока её не заставили это сделать. Деньги в итоге были возвращены, но этот эпизод выглядел плохо: компания по обеспечению безопасности использовала клиента в масштабах, чтобы доказать свою правоту. Затем в начале 2025 года CertiK принесла извинения за работу, связанную с Huione, камбоджийской компанией, позже связанной с мошенническими схемами принудительного труда. Всё это не означает, что аудиты CertiK бесполезны. Это означает, что компания, которая теперь просит рынок поверить ей на слово, должна восстановить часть этого доверия, и она делает это, по сообщениям, готовясь к возможному IPO при оценке примерно в 2 миллиарда долларов.
CertiK против других компаний, занимающихся веб-безопасностью Web3.
CertiK — это самое известное имя в сфере безопасности блокчейна, но не единственное, и для многих проектов это не очевидный выбор. Рынок аудита условно делится на крупных игроков и небольшие компании. Небольшие фирмы обслуживают меньше клиентов и, как правило, проводят более глубокий аудит, устанавливая собственные стандарты безопасности, которые превосходят возможности крупных компаний. Протоколы, работающие с крупными суммами, часто платят за второе мнение именно по этой причине. Масштаб и глубина — это не одно и то же, и правильный выбор зависит от этапа развития проекта и бюджета. Цены отражают этот диапазон: аудит небольшого токена может стоить несколько тысяч долларов, в то время как полный анализ сложного протокола обойдется в шестизначную сумму.
| Твердый | Фокус | Известен тем, что | Модель |
|---|---|---|---|
| CertiK | Широкая безопасность Web3 | Объем, Скайнет, узнаваемость бренда | Шкала |
| След из кусочков | Высоконадежная защита | Тщательный ручной анализ, исследование | Бутик |
| OpenZeppelin | безопасность смарт-контрактов | Широко используемые контрактные библиотеки | Бутик |
| Халборн | Блокчейн и безопасность инфраструктуры | Тестирование на проникновение, сложные эксплойты | Средний размер |
| Хакен | Аудит и мониторинг Web3 | Экономически эффективные аудиты | Средний размер |
Как читать значок "Проверено CertiK"
Итак, вы видите в описании проекта надпись «Проверено CertiK». Прежде чем доверять этому, откройте сам отчет и проверьте пять моментов. Во-первых, объем работ: какие контракты были проверены, и входит ли в них контракт, по которому хранятся ваши деньги? Во-вторых, дату и хеш коммита, а затем сравните их с кодом, который фактически находится в рабочем состоянии, поскольку они часто расходятся. В-третьих, результаты проверки: сколько из них были критическими, и были ли они устранены или просто подтверждены? В-четвертых, соответствует ли проверенная версия развернутой версии. В-пятых, не полагайтесь только на оценку Skynet; это сводка, а не сам документ.
Небольшое отступление о тикерах, потому что люди их путают. Компания CertiK является частной и не имеет акций. CTK — это токен сети Shentu, отдельной сети с алгоритмом Proof-of-Stake, связанной с ранними разработками CertiK. Покупка CTK не означает покупку доли в аудиторском бизнесе. Если вы искали «акции CertiK», то их пока нет.
Какова реальная ценность аудита CertiK?
Так стоит ли вообще проходить аудит CertiK? Да, в определённых пределах. Он повышает планку. Он отсеивает некачественный код, фиксирует реальные риски на бумаге и предоставляет серьёзной команде список задач для выполнения. Чего он не может сделать, так это поручиться за людей. Он не гарантирует, что развёрнутый код соответствует проверенному, или что хотя бы один отмеченный риск был действительно устранён. Воспринимайте значок как начало вашей работы, а не как финишную черту. Поэтому в следующий раз, когда вы увидите «Проверено CertiK», сделайте скучную вещь, которую почти никто не делает: откройте отчёт и прочитайте столбец, в котором указано, что было исправлено. А если проект не показывает вам отчёт? Это и есть причина. Значок, который вы не можете проверить, — это просто логотип.
