In de cryptowereld wordt de term meestal gebruikt als afkorting voor een smart contract audit: een gespecialiseerde codecontrole waarbij security-onderzoekers de broncode van een protocol onderzoeken voordat het live gaat, op zoek naar bugs, gevaarlijke ontwerpkeuzes en logische fouten die een aanvaller zou kunnen misbruiken om geld te stelen. In tegenstelling tot een financiële audit wordt hier software gecontroleerd, niet boekhoudkundige gegevens, al geldt hetzelfde principe van onafhankelijke verificatie.
Een typische audit combineert geautomatiseerde tools zoals static analyzers en fuzzers, die willekeurige input genereren om de aannames van een contract te doorbreken, met een handmatige, regel-voor-regel review door ervaren engineers. Bedrijven zoals CertiK, Trail of Bits en OpenZeppelin publiceren een rapport waarin elke bevinding wordt gerangschikt naar ernst, van critical tot informational, samen met voorgestelde oplossingen. Bij protocollen met hoge inzet wordt soms formele verificatie toegevoegd, waarbij wiskundig wordt bewezen dat een eigenschap geldt voor elke mogelijke input, niet alleen de geteste gevallen.
Crypto-exchanges laten ook een ander soort audit uitvoeren: proof of reserves attestaties, waarbij een accountantskantoor de on-chain tegoeden van een exchange vergelijkt met de klantsaldi, vaak met behulp van een Merkle tree zodat gebruikers kunnen verifiëren dat hun eigen saldo is meegenomen. Dit werd gangbaar na de val van FTX in 2022, al wijzen critici erop dat dit doorgaans alleen bezittingen bevestigt, niet de verplichtingen, waardoor solvabiliteit hiermee alleen niet kan worden bewezen.
Een audit is geen garantie. Het slagen ervoor vermindert het risico, maar bevestigt niet dat een project vrij is van bugs of kwade bedoelingen; code kan na het rapport veranderen, en een schone audit heeft niet elke latere rugpull voorkomen. Het is één onderdeel van due diligence, geen vervanging ervoor.