Un audit de smart contract est une revue structurée du code source d'un smart contract dont l'objectif est d'identifier vulnérabilités, erreurs de logique et faiblesses de conception avant que le code ne soit déployé sur une blockchain publique.
Un audit sérieux combine revue manuelle par des auditeurs seniors, analyse statique et dynamique automatisée (Slither, Mythril, Echidna), tests property-based et d'invariants (Foundry, Forge), et threat modeling sur le design économique du protocole.
Un audit n'est pas une certification. Un rapport propre ne garantit pas qu'un contrat est sûr, il documente ce qu'une équipe spécifique a examiné dans une fenêtre de temps spécifique. Du code qui change après l'audit, ou qui interagit avec des contrats hors périmètre, peut toujours introduire des vulnérabilités.
La plupart des protocoles DeFi en production passent par plusieurs audits indépendants, une compétition publique (par exemple via Code4rena ou Sherlock), et un bug bounty continu avant et après le lancement.
Un rapport d'audit type classe les findings en critical, high, medium, low ou informational, avec des recommandations de remédiation pour chacun. La phrase la plus importante d'un rapport d'audit, c'est le scope statement, lisez-la en premier.