Аудит CertiK: Найбільший аудитор безпеки Web3 зсередини
Фраза «Перевірено CertiK» з’являється на цільових сторінках токенів так само, як наклейка безпеки з’являється на дитячому автокріслі. Вона має означати: хтось це перевірив, можете розслабитися. CertiK – найвідоміше ім’я у сфері безпеки Web3, і для багатьох інвесторів цей значок став скороченням від «ймовірно, безпечно». Проблема в тому, що кілька проектів, які його носять, все ще втратили мільйони. То що ж насправді дає аудит CertiK? У цій статті розглядається, що таке CertiK, як працюють його аудити та оцінка Skynet, де вони допомагають, а де значок непомітно перестає мати велике значення.
Хто такий CertiK і чому він домінує у сфері безпеки Web3
CertiK не винайшла аудит смарт-контрактів. Вона індустріалізувала його. Компанія перетворила повільний, кустарний процес, який виконувала жменька криптографів, на бренд, який проект може купувати, демонструвати та на який вказувати, коли інвестори запитують, чи безпечний код.
Від лабораторії Єльського університету до фірми вартістю 2 мільярди доларів
Двоє професорів інформатики розпочали його у 2018 році: Жунхуей Гу з Колумбійського університету та Чжун Шао з Єльського університету. Ідея була академічною, майже впертою. Використовувати формальну верифікацію, математичний метод доказу того, що програмне забезпечення виконує свої вимоги, щоб зробити код блокчейну довідково правильним, а не просто «перевіреним». Нішева ідея. Вона все ще приносила серйозні гроші. До квітня 2022 року CertiK залучила близько 88 мільйонів доларів при оцінці в 2 мільярди доларів, згідно з даними TechCrunch , при цьому чеки виписували Goldman Sachs, Tiger Global, Sequoia та Vision Fund SoftBank. Дев'ять раундів, загалом приблизно 296 мільйонів доларів. Непогано для пари науковців, які починали з доведення теорем про компілятори.
Що насправді вимірює «найбільший аудитор»
Головні показники CertiK стосуються обсягу. Було перевірено понад 6100 проектів. Під час цих аудитів безпеки було виявлено понад 91 000 вразливостей. Перевірено активи на суму понад 360 мільярдів доларів, серед клієнтів – такі як Aave, Polygon та BNB Chain. Масштаб реальний. Це також є заковикою, адже «найбільший» враховує кількість аудитів, які проводить фірма, а не глибину будь-якого з них. Фабрика, яка друкує більше звітів, ніж будь-хто інший, звичайно, вражає, але обсяг і ретельність – це не одне й те саме, і розрив між ними – це те, де знаходиться більшість критики. Ось конкретна версія цієї скарги. CertiK перевіряє так багато проектів, що її назва з’являється як на одноразовому мемі-токені, так і на серйозному протоколі, а дводенний пропуск отримує такий самий значок, як і місячний огляд. Покупці рідко бачать, що є що. Це сплющення – справжня проблема значка.
Як насправді працює аудит CertiK, крок за кроком
Аудит CertiK — це не щось одне. Це два шари, поєднані разом, і розуміння цієї різниці багато говорить про те, що може, а що не може обіцяти остаточний звіт.
Формальна перевірка проти ручного перегляду
Перший рівень – це формальна верифікація. Замість того, щоб запускати смарт-контракт і спостерігати за результатами, CertiK будує математичну модель коду та доводить, чи завжди виконуються певні властивості, незалежно від вхідних даних. Його компілятор DeepSEA існує для підтримки цього. Формальна верифікація є потужною для вузьких питань, таких як «чи може цей баланс коли-небудь стати негативним», але вона перевіряє лише ті властивості, які хтось вважав за потрібне вказати.
Другий рівень – це ручна перевірка: інженери-люди читають код рядок за рядком, шукаючи логічні помилки, невдалі припущення та ті незначні помилки, які модель не позначить, бо їй ніхто не сказав шукати. Саме звідси береться більшість реальних висновків. Залежно від того, скільки коду та наскільки він заплутаний, весь процес триває від приблизно 48 годин для чогось невеликого до кількох тижнів для великого протоколу.
Читання звіту: «вирішено» проти «прийнято до відома»
Результатом є звіт. Він позначає кожну вразливість за рівнем серйозності — критична, значна, другорядна та інформаційна — і зазначає, що проєкт зробив з цим. Останній стовпець має більше значення, ніж люди усвідомлюють. Висновок з позначкою «вирішено» означає, що команда виправила його, і CertiK повторно перевірив. Висновок з позначкою «підтверджено» означає, що команда прочитала його, знизала плечима та все одно відправила. Два проєкти можуть мати однаковий значок, один виправив усе, а інший проігнорував критичні попередження. Значок їх не відрізняє. Звіт має значення. Ось чому також важлива дата у звіті. Код відправляється, а потім змінюється; аудит, проведений рік і десять оновлень тому, описує проєкт, який може більше не існувати в блокчейні в тому вигляді, в якому його було перевірено.
| Сцена | Що робить CertiK | Уловки | Сліпі зони |
|---|---|---|---|
| Формальна перевірка | Математично доводить задані властивості коду | Математичні та логічні недоліки у визначених правилах | Будь-що поза межами зазначених властивостей |
| Ручний огляд | Інженери читають код від руки | Логічні помилки, невірні припущення, відомі шаблони атак | Офчейн-системи, зміни коду після аудиту |
| Звіт та повторний аудит | Перелічує недоліки за рівнем серйозності, повторно перевіряє виправлення | Чи були вирішені проблеми | Чи справді команда розгорнула виправлену версію |
Skynet та оцінка безпеки CertiK Web3
Аудит – це одноразові знімки. Skynet – це спроба CertiK продати щось безперервне: панель інструментів у режимі реального часу, яка відстежує проекти після їх запуску та призначає кожному з них оцінку безпеки. Компанія стверджує, що контролює понад 20 000 проектів у блокчейні.
Оцінка поєднує кілька вхідних даних. Вона перевіряє, чи пройшов проект аудит, чи пройшла його команда перевірку KYC CertiK (яка доступна на золотому, срібному та бронзовому рівнях), і як поводяться контракти — Skynet аналізує поведінку контрактів у мережі за допомогою моніторингу під час виконання та позначає аномалії в міру їх виникнення. Skynet також запускає сповіщення про моніторинг у мережі для виявлення шахрайства та експлойтів, а також таблиці лідерів, що ранжують проекти один проти одного. Як перший сигнал, оцінка Skynet справді корисна. Вона швидша, ніж читання повного звіту, і вона позначає очевидні червоні прапорці. Але це також продукт, який продає CertiK, частково побудований на вхідних даних, що надає CertiK, і висока оцінка ніколи не була гарантією безпеки проекту. Ставтеся до цього як до однієї точки даних, а не до вердикту. Послужний список підтверджує це. Проекти мали поважні оцінки Skynet аж до того моменту, коли їх експлуатували або тихо покидали, тому що оцінка, побудована значною мірою на минулій поведінці, не може передбачити зловмисних змін. Вона говорить вам, що проект ще не вибухнув. Вона не може сказати вам, що він ніколи цього не станеться.
Поза межами аудитів: решта екосистеми CertiK
Аудит — це головна тема новин, але CertiK пропонує ширший спектр послуг, пов'язаних з ним. Тестування на проникнення проводить симуляцію атак на гаманці, біржі та додатки. Програма винагороди за виявлення помилок, яка працює без комісії платформи, платить зовнішнім хакерам за пошук дірок раніше, ніж це зроблять злочинці. Також є KYC (Знай свого клієнта), щоб приховати справжнє ім'я анонімних засновників, SkyInsights — для роботи з дотримання вимог та боротьби з відмиванням грошей, яка потрібна регульованим фірмам згідно з MiCA та DORA, та SkyTrace для переслідування вкрадених коштів у блокчейнах, коли щось вже пішло не так. Ніщо з цього не замінює аудит. Воно охоплює аудит, саме так одноразова взаємодія непомітно перетворюється на підписку, що охоплює весь життєвий цикл децентралізованого проекту.
Перевірено, а потім зламано: коли вектори атаки прослизають
Ось яку частину пропускають глянцеві пояснювачі. Аудит — це знімок певного коду в певний момент. Це не гарантія, і ставлення до неї як до гарантії — це те, як люди втрачають гроші на проектах, у яких на папері все було зроблено «правильно».
Що не охоплює аудит
Аудит смарт-контракту перевіряє контракт. Він не перевіряє, чи мають засновники адміністративний ключ, який дозволяє їм спустошити пул. Він не перевіряє веб-сайт, сервери чи приватні ключі за ними. Він не перевіряє версію коду, яку команда розгортає після завершення аудиту, яка може відрізнятися від перевіреної. І він не може зупинити команду, яка просто вирішує втекти з грошима. Більшість векторів атак, які спустошують проект, зовсім не є помилками в перевіреному контракті. Вони живуть у прогалинах навколо нього.
Справа Merlin DEX: позначена, але використана
Merlin DEX — найчистіший приклад. CertiK провів його аудит, і аудит фактично виявив проблему: контракти проекту були небезпечно централізованими, з привілейованим доступом, яким міг зловмисник зловмисник. У квітні 2023 року саме цей вектор був використаний для витоку приблизно 1,82 мільйона доларів. Аудит не був помилковим; він назвав ризик. Але попередження знаходилося в колонці «підтверджено», а не в колонці «вирішено», і експлойт пройшов прямо крізь двері, на які вже вказував звіт. Виявити вразливість було найлегшою частиною. Реагувати на неї було завданням клієнта, а команда Merlin так і не зробила цього.
Якщо подивитися на ситуацію зменшивши масштаб, можна побачити, що ця тенденція є неприємною для всієї галузі. Власні звіти CertiK щодо Hack3d показують зростання збитків, а не падіння. У 2024 році фірма нарахувала близько 2,36 мільярда доларів за 760 інцидентів , а потім близько 3,35 мільярда доларів за 630 інцидентів у 2025 році , році, який був завищений через єдиний витік Bybit на 1,45 мільярда доларів. Незалежні дані Chainalysis показують, що крадіжка у 2025 році становила близько 3,4 мільярда доларів, з яких приблизно 2,02 мільярда доларів були пов'язані з групами, пов'язаними з Північною Кореєю. Ці оператори все частіше переслідують людей та інфраструктуру навколо контракту, а не сам контракт, що саме та сфера, яку аудит не охоплює. Більша кількість аудитів не означає менше злочинів.
| Рік | Заявлені збитки | Інциденти | Найбільший окремий хіт |
|---|---|---|---|
| 2024 рік | 2,36 мільярда доларів | 760 | — |
| 2025 рік | 3,35 мільярда доларів | 630 | Bybit, 1,45 мільярда доларів |
Інцидент з Kraken та проблема довіри CertiK
Для компанії, яка продає довіру, її власна поведінка є частиною продукту. Два епізоди зробили це незручним.
У червні 2024 року дослідники CertiK виявили вразливість нульового дня в біржі Kraken і, замість того, щоб просто повідомити про неї, використали її, щоб вивести близько 3 мільйонів доларів із систем Kraken . CertiK представила це як доказ серйозності помилки. Kraken назвала це вимаганням і заявила, що фірма спочатку відмовилася повертати кошти, доки не буде вимагатися довіра. Зрештою, гроші було повернуто, але епізод виглядав погано: охоронна фірма експлуатувала клієнта у великих масштабах, щоб довести свою точку зору. Потім, на початку 2025 року, CertiK вибачилася за роботу, пов'язану з Huione, камбоджійською компанією, яку пізніше пов'язали з шахрайськими схемами примусової праці. Жодна з цих дій не означає, що аудит CertiK нічого не вартий. Це означає, що фірма, яка просить ринок повірити їй на слово, тепер повинна відновити частину цього слова, і вона робить це, поки, як повідомляється, готується до можливого IPO за її оцінкою близько 2 мільярдів доларів.
CertiK проти інших фірм безпеки Web3
CertiK — найгучніше ім'я в галузі безпеки блокчейну, але не єдине, і для багатьох проектів це не очевидний вибір. Ринок аудиту приблизно поділяється на гравців великого масштабу та бутики. Бутікові фірми беруть на себе менше клієнтів і, як правило, заходять глибше, і багато з них встановлюють власні стандарти безпеки, які перевищують те, що може забезпечити магазин з великим обсягом операцій. Протоколи, що працюють зі серйозними грошима, часто платять за другу думку від одного з них саме з цієї причини. Масштаб і глибина — це не одне й те саме, і правильний вибір залежить від вашого етапу та бюджету. Ціноутворення відображає цей діапазон: невеликий аудит токенів може коштувати кілька тисяч доларів, тоді як повний огляд складного протоколу сягає шестизначної суми.
| Фірма | Фокус | Відомий за | Модель |
|---|---|---|---|
| СертіК | Широка безпека Web3 | Обсяг, Скайнет, впізнаваність бренду | Масштаб |
| Слід Бітів | Висока гарантія безпеки | Глибокий ручний огляд, дослідження | Бутік |
| OpenZeppelin | Безпека смарт-контрактів | Широко використовувані контрактні бібліотеки | Бутік |
| Галборн | Блокчейн та безпека інфраструктури | Тестування ручкою, розширені експлойти | Середнього розміру |
| Хакен | Аудит та моніторинг Web3 | Економічно ефективні аудити | Середнього розміру |
Як тлумачити значок «Перевірено CertiK»
Отже, ви бачите напис «Перевірено CertiK» у проекті. Перш ніж довіряти цьому, відкрийте звіт і перевірте п’ять речей. По-перше, обсяг: які контракти були перевірені, і чи є частина, яка містить ваші гроші, однією з них? По-друге, дату та хеш коміту, а потім порівняйте їх з кодом, який фактично працює, оскільки вони часто розходяться. По-третє, висновки: скільки з них були критичними, і чи були вони вирішені чи просто підтверджені? По-четверте, чи є перевірена версія розгорнутою версією. По-п’яте, не покладайтеся лише на оцінку Skynet; це короткий виклад, а не документ.
Одне невелике зауваження щодо тікерів, бо люди їх плутають. CertiK — приватна компанія, яка не має акцій. CTK — це токен Shentu chain, окремої мережі Proof-of-Stake, пов'язаної з ранньою роботою CertiK. Купівля CTK — це не купівля частки в аудиторському бізнесі. Якщо ви шукали «акції CertiK», то їх поки що немає.
Чого насправді вартий аудит CertiK
Тож чи вартий аудит CertiK чогось? Так, у певних межах. Він піднімає планку. Він відсіює лінивий код, записує реальні ризики на папері та надає серйозній команді список недоліків для опрацювання. Чого він не може зробити, так це поручитися за людей. Він не обіцяє, що розгорнутий код відповідає перевіреному, або що хоч один позначений ризик був фактично закритий. Ставтеся до значка як до початку вашої перевірки, а не до фінішу. Тож наступного разу, коли ви побачите «Перевірено CertiK», зробіть нудну річ, яку майже ніхто не робить: відкрийте звіт і прочитайте колонку, в якій написано, що було виправлено. А якщо проєкт не покаже вам звіт? Це небажання і є відповіддю. Значок, який ви не можете перевірити, — це просто логотип.
