在智能合同安全审计中，或者简称为“智能合同审计”中，通常第三方会阅读项目智能契约开发人员编写的代码，然后他们会查找安全漏洞。这与传统的IT安全审计和渗透测试有些不同，因为一个优秀的智能契约审计师必须拥有大量特定于领域的知识，不仅涉及编码，还包括金融和加密货币生态系统。

• 因为这个行业是新的，目前还没有审计人员的最佳做法，也没有客户或投资者应该期望的最佳做法。这个行业发展得太快了，所以今天制定的任何技术标准明天都可能过时。
• 审计员和审计人员的质量差别很大。为了这个答案是中立的，我不想说出任何审计员或服务。你可以很容易地找到这些，如果你想检查是否有任何审计师是合法和其要价的价值。
• 通常，审计发生在“部署前”，例如，在智能合同生效并接触真正的资金之前。
• 智能合同审核员由任何协议或其他智能合同开发人员雇用:令牌颁发者、DeFi协议、NFT项目。
• 该项目雇用审计师。根据牛市/熊市周期和审计师的品牌价值，审计成本可以是每天500美元到10,000美元之间的任何东西。
• 注意，审计很少是“独立的”。也有一些例外，比如风险投资基金对项目进行的审计。但这些通常不被称为“智能合同审计”。下面会有更多关于这方面的内容。
• 在高质量的审计中，执行实际审计的人员在审计报告中指定.在低质量的审计中，情况往往并非如此，因为人们不希望对劣质的工作承担任何个人责任。
• 对于审计本身，审计师使用免费的linting和静态分析工具检查智能契约，并阅读代码以查找逻辑中的任何错误。
• 智能合同审计并不是安全性的保证。在适当的审计中，审计师的目的是向开发人员提供指导和口头反馈，使其更加安全。
• 明智的合同审计不应用作营销材料。如果有任何项目这样做，这通常是一个关于项目动机的危险信号。
• 与传统的财务和会计审计不同，在公共区块链上，任何投资者或第三方都可以自己评估风险。任何智能契约源代码都是公开的，因此任何审计师都不需要特权访问来查看是否存在漏洞。对于一个真正的公共协议来说，任何资金流动都是100%透明的。因此，任何投资者都可以自己评估风险，或者要求他人代表他们这样做。
• 对于高质量的项目，所谓的运行错误赏金程序或审核内容。，即白人黑客因在已经部署的智能合同中发现bug而获得高额报酬。
• 审计师很少为工作质量承担任何责任(“游戏中的皮肤”)。也有一些例外，如神探夏洛克协议，其中审计员只有在项目的整个生命周期没有被利用的情况下才能获得全额报酬。。
• 像Binance、KuCoin、Gate.io等集中的交易所要求对他们列出的任何ERC-20令牌进行审计。这主要是为了确保自由格式的ERC-20合同不具备从外汇储备中移除代币的功能(即不背靠背)。其他一些交易所，如Coinbase，则进行自己的审计。

请注意，与会计审计一样，从投资者的角度来看，审计师与其客户项目之间通常存在利益冲突。Auditors不适用于投资者。当智能合同审计报告被公开用作营销材料时，审计人员将由客户而不是协议的外部用户或smart合同的外部用户支付费用时，情况尤其如此。因此，任何审计，尤其是来自低质量审计师的审计，都可以被视为有偏见.审计从不直接说一个项目是否是一个骗局，因为在这种情况下，审计师不会得到报酬。

在进行审计

之前需要做什么？

审计不会修复任何不良的开发过程或低质量的软件工程师。

• 下面是Corey 在要求审计之前，一个明智的合同项目应该有什么安排？的一个很好的演示。
• 发送智能审计合同前的最终100+点检查列表
• 审计准备情况检查表
• 智能合同审计师在进行智能合同审计时会寻找什么？

如何找到审计师

• 亦请参阅区块链保安审计公司名单。。
• 另一份审计公司名单。

免责声明:早在2016-2017年，我就对early智能合同进行了一些早期审计。