# Внешний аудит Монтаны

**Версия:** 1.0
**Текущий статус:** 🔴 Независимый внешний аудит не проведён.

## 1. Что такое настоящий внешний аудит

Согласно индустриальному стандарту L1-блокчейнов:

- Независимая компания (Trail of Bits, Cure53, Quantstamp, ConsenSys Diligence, Sigma Prime, NCC Group и подобные).
- PDF отчёт с фиксированной датой и подписью.
- Список уязвимостей с severity (Critical/High/Medium/Low/Informational).
- Привязка к конкретному commit hash аудируемого кода.
- Рекомендации по исправлению.
- Follow-up с проверкой исправлений.

Без этих компонентов — это не аудит, а review.

## 2. Текущее состояние

### 2.1 Что есть

В папке [Внешний аудит](../../Монтана-Протокол/Внешний%20аудит/) — серия критических разборов от Claude Opus 4.7:

```
claude-opus-4-7_2026-04-26_T201805.md
claude-opus-4-7_2026-04-26_T232707.md
claude-opus-4-7_2026-04-27_T121239.md
claude-opus-4-7_2026-04-27_T124438.md
claude-opus-4-7_2026-04-27_T141253.md
claude-opus-4-7-1m_2026-04-28_T2023.md
```

Это **внутренние ИИ-критики**, не настоящий внешний аудит. Они полезны для итерации спецификации, но не являются аудитом в индустриальном смысле — нет независимой компании, нет PDF-отчёта, нет привязки к commit hash, нет follow-up.

### 2.2 Что отсутствует

- ❌ Аудит крипто-реализации (liboqs или альтернативы).
- ❌ Аудит сетевого слоя (`mt-net-tcp` crate).
- ❌ Аудит консенсусной логики (PoT, лотерея, fork choice).
- ❌ Аудит iOS клиента (особенно key management, jailbreak detection).
- ❌ Аудит macOS узла.
- ❌ Аудит Anchor-логики прикладного слоя.

## 3. План внешнего аудита

### Phase 1 — pre-audit hardening

Перед привлечением внешней компании:

- [ ] Завершить M5-M9 milestones (см. [11 Тестовая сеть](../11%20Тестовая%20Сеть/)).
- [ ] Зафиксировать API и спецификацию (no breaking changes during audit).
- [ ] Подготовить документацию (этот документ + spec + threat model).
- [ ] Прогнать KAT для всех крипто-примитивов (см. [02 Криптография §10](../02%20Криптография/Постквантовые-примитивы.md)).
- [ ] Провести внутренний security review через [Security Cards](../../Монтана-Протокол/CRITIC.md).

### Phase 2 — выбор аудитора

Кандидаты с опытом в PQ-крипто и L1:

| Компания | Профиль | Заметка |
|----------|---------|---------|
| Trail of Bits | Системы, крипто | Хороший трек по PQ |
| Cure53 | Web/cloud + крипто | Опыт с iOS |
| NCC Group | Широкий | Делали аудиты NIST PQC кандидатов |
| Sigma Prime | Блокчейн | Делали Lighthouse, Eth2 |
| Halborn | Блокчейн | Web3 specific |

### Phase 3 — аудит

- Scope: крипто + консенсус + сеть + клиент.
- Длительность: 4-12 недель в зависимости от scope.
- Стоимость: $50k-$500k (бенчмарк по индустрии).

### Phase 4 — публикация и follow-up

- Публикация полного отчёта в этой папке.
- Все Critical/High закрываются перед mainnet.
- Medium закрываются на тестовой сети.
- Low/Informational — по приоритету.

## 4. Promised audit: до Mainnet

Согласно `feedback_premainnet_principle.md`: Монтана не запущена, breaking changes применяются сразу. Это значит что mainnet не запускается без завершённого внешнего аудита всех Critical/High находок.

## 5. Связанные документы

- [Внутренние ИИ-критики](../../Монтана-Протокол/Внешний%20аудит/) — текущее состояние, временно вместо аудита.
- [SECURITY.md](../../Монтана-Протокол/SECURITY.md) — disclosure policy.
- [10 Формальная верификация](../10%20Формальная%20Верификация/) — комплементарный к аудиту слой.
- [07 Модель угроз](../07%20Модель%20Угроз/) — что аудитор должен проверить.