Безопасность прежде всего: полный отчёт об аудите и программа Bug Bounty запущены

Дорогие пользователи RWANFTFI!

Многие из вас спрашивали про аудит — как он работает, что именно было проверено и насколько серьёзно у нас обстоят дела с безопасностью протокола. Так что давайте разберёмся с этим по-человечески, в одном месте.

Две ссылки, которые стоит держать под рукой.

Первая — страница проекта на CertiK Skynet: 👉 skynet.certik.com/projects/rwanftfi

Вторая — полный отчёт об аудите, доступный прямо на платформе: 👉 app.rwanftfi.com/security

Сохраните обе. Первая — это публичная live-страница, где в реальном времени отражаются все события, связанные с безопасностью проекта (включая Bug Bounty). Вторая — сам документ аудита, полный PDF, тот, который читают от корки до корки, если хочется понять, что именно было протестировано и что прошло проверку.

Теперь — что конкретно было проаудировано.

Вся архитектура смарт-контрактов была верифицирована CertiK. Сюда входит полная структура Diamond-контракта (EIP-2535) — фундамент, на котором построен весь протокол RWANFTFI. Это не один контракт, проверенный в изоляции. Это пул контрактов, работающих вместе через единую proxy-архитектуру, и CertiK подписался под всей этой конструкцией целиком.

Стоит на секунду остановиться на Diamond-архитектуре, потому что это важно.

Это не шаблон с полки. Diamond-контракт, который мы используем — кастомная реализация, спроектированная специально под продукты такого масштаба. Именно эта архитектура позволяет нам разделить функциональность на несколько независимых модулей (фасетов), обновлять их отдельно друг от друга и обходить лимит в 24KB на размер контракта, в который упираются проекты с монолитной структурой. Это же фундамент для всего, что будет дальше на стороне FinPro — Lending, дополнительные финансовые продукты, RWA-интеграции. Всё это будет подключаться к одной и той же уже проаудированной базе. Строить на том, что CertiK уже проверил — в этом и есть весь смысл.

Теперь — про то, что мы запустили вчера.

Программа Bug Bounty работает.

Если вы реально разбираетесь в безопасности смарт-контрактов — если вы читаете Solidity для удовольствия, если вы находили уязвимости в других протоколах, если фраза "Diamond pattern" звучит для вас не как жаргон — у вас теперь есть реальный путь получать награды за стресс-тестинг контрактов RWANFTFI. Программа идёт через официальную платформу CertiK, а не через личные сообщения или случайные Telegram-чаты. Это единственный легитимный канал.

Если вы нашли реальную уязвимость — команда выплачивает вознаграждение. Размер награды масштабируется в зависимости от критичности находки, это стандартная модель на bounty-платформе CertiK. Все активные bounty-события, отчёты, выплаты — всё это публично отражается на странице проекта в Skynet.

Это сделано осознанно. Безопасность в Web3 не становится крепче от того, что её называют крепкой. Она становится крепче от того, что её тестируют, публично, люди, которые реально понимают, на что они смотрят, и при этом на столе лежит награда за то, чтобы найти проблему раньше плохих ребят. В этом и есть весь смысл bounty-программы, и именно в эту модель мы и встраиваемся.

Для всех остальных, кто не security-исследователь — а это большинство из вас — практический вывод простой. Фундамент протокола независимо проаудирован одной из самых авторитетных security-фирм в индустрии. Аудит публичный, архитектура публичная, bounty-программа публичная. Никаких "доверьтесь нам, всё безопасно". Есть отчёт CertiK, который можно прочитать, страница на Skynet, которую можно мониторить, и bounty-канал, который мотивирует всё сообщество этичных хакеров продолжать копать наш контракт на постоянной основе.

Безопасность стоит на первом месте — и мы имеем в виду это так, как имеет в виду инженер, а не маркетинговый слайд.

Две ссылки ещё раз, чтобы их было удобно скопировать:

🔒 Live-страница безопасности на CertiK Skynet: skynet.certik.com/projects/rwanftfi

📄 Полный отчёт об аудите (PDF): app.rwanftfi.com/security

Читайте. Верифицируйте. Задавайте вопросы. А если вы один из тех, кто умеет ломать контракты по работе — добро пожаловать. Bounty открыт.