All articles
# スマートコントラクト監査が実際にチェックする内容(そしてしないこと)

スマートコントラクト監査が実際にチェックする内容(そしてしないこと)
世界中のすべてのDeFiプロジェクトは「監査済み」と謳っていますが、その意味を詳しく説明するものはほとんどありません。実際の監査報告書を公開している例もごくわずかです。ここでは、実際の監査が何をカバーし、何をカバーしないのかを解説します。これにより、Turbo Loopを含むどのプロトコルのセキュリティ主張も正しく評価できるようになります。
監査がカバーする内容
- リエントランシー攻撃:悪意のあるコントラクトが取引中に再度呼び出されて資金を引き出すことは可能か?
- 整数オーバーフロー/アンダーフロー:計算は端数処理や境界値を正しく扱っているか?
- アクセス制御:
onlyOwner関数は適切に保護されているか?管理者権限は制限されているか? - ロジックの欠陥:報酬計算はホワイトペーパーと一致しているか?
- 外部呼び出し:オラクルの価格は正確に検証されているか?フラッシュローンによる入力操作は可能か?
- ガスグリーフィング:攻撃者が他のユーザーの取引を妨害できる仕組みはあるか?
- 中央集権リスク:信頼できる管理者に依存している関数はあるか?
監査がカバーしない内容
- デプロイ後の変更:コントラクトがアップグレード可能な場合、監査はあくまで監査されたバージョンに限定される。
- 経済設計の欠陥:トークンエコノミクス自体が持続不可能な場合、いかなる監査も救えない。
- チームの意図:監査は、ローンチ後にチームがショートカットを取らないことを保証できない。
- フロントエンドのセキュリティ:ユーザーが操作するウェブサイトは監査の範囲外です。
Turbo Loopの監査が重要な理由
Turbo Loopはデプロイ前に監査を受けており、完全な報告書は公開されています。そして何より重要なのは、コントラクトが放棄され、LPが100%ロックされている点です。これにより、コントラクトは一切変更できなくなるため、監査は永続的に有効です。アップグレード可能なコントラクトを持つプロトコルと比較すると、その監査は次のアップグレードまでしか有効ではありません。
証拠の全体像—監査報告書、放棄トランザクション、LPロックコントラクト—はセキュリティページにまとめられ、セキュリティの詳細解説では一行ずつ詳しく解説しています。
「持続可能性」の経済的側面は、監査だけでは答えられない別の問題ですが、計算機を使って自分で数値をテストしたり、FAQを読んだりすることで理解を深められます。固定ROIは不変のコントラクトにエンコードされているため、モデル化した通りの結果が得られます。
どのプロトコルも信頼する前に、その監査を必ず確認してください。もしチームが公開しない場合、その信頼は正当化されません。
Continue Reading
Found this useful?
Pass it along.