
Tại sao các dự án đã qua kiểm toán vẫn bị tin tặc tấn công?
Tuyển chọn TechFlowTuyển chọn TechFlow

Tại sao các dự án đã qua kiểm toán vẫn bị tin tặc tấn công?
Mặc dù ngày càng có nhiều dự án được kiểm toán, nhưng các vụ tấn công hacker và lừa đảo rút vốn (Rug) vẫn xảy ra thường xuyên.
Tác giả: Stacy Muur
Biên dịch: TechFlow
Vấn đề an ninh luôn là chủ đề được quan tâm trong ngành. Dù ngày càng nhiều dự án thực hiện kiểm toán, nhưng các vụ tấn công và lừa đảo Rug vẫn xảy ra thường xuyên, khiến mọi người bắt đầu nghi ngờ liệu kiểm toán có thực sự đảm bảo được an toàn cho hợp đồng thông minh hay không.
Trong bài viết này, nhà nghiên cứu Stacy Muur sẽ cùng chúng ta thảo luận về vai trò của việc kiểm toán trong thế giới tiền mã hóa, phân tích các vụ tấn công đã xảy ra và đánh giá tỷ lệ thành công của các công ty kiểm toán, từ đó cung cấp cái nhìn sâu sắc hơn về mức độ an toàn của tài sản mã hóa.
Gần đây, sàn giao dịch phi tập trung Merlin trên nền tảng zkSync bị tấn công, thiệt hại hơn 1,1 triệu USD. Sàn giao dịch này đã được chứng nhận bởi CertiK – đơn vị gần như chiếm tới 70% thị phần kiểm toán. Sự việc này đặt ra một câu hỏi: Chúng ta có thể tin tưởng vào các cuộc kiểm toán hay không?
Bây giờ hãy cùng xem xét các trường hợp giao thức từng trải qua kiểm toán nhưng vẫn bị tấn công, để tìm hiểu xem liệu an ninh có thực sự được đảm bảo hay không.

CertiK chiếm khoảng 70% tổng số lượng kiểm toán trong toàn bộ hệ sinh thái Web3. Trong cơ sở dữ liệu REKT (chứa hơn 3.000 hồ sơ về các vụ tấn công), có 33 công ty từng được họ kiểm toán đã gặp sự cố tiêu cực.
Hơn nữa, họ cũng đã kiểm toán sàn giao dịch DEX Merlin, vốn chưa được đưa vào cơ sở dữ liệu này, do đó trở thành công ty thứ 34 trong danh sách thất bại kiểm toán của họ.

Trong bảng xếp hạng ngược này, PeckShield Inc. đứng thứ hai sau CertiK với 18 vụ tấn công và lừa đảo Rug được ghi nhận.

Đứng thứ ba là DeFi Safety, với 12 vụ tấn công. Đáng chú ý, kể từ năm 2021, họ chưa từng kiểm toán dự án nào bị tấn công.

Ngoài ra, tôi đã cố gắng lập bảng xếp hạng các công ty an ninh hàng đầu dựa trên tỷ lệ kiểm toán/trên số vụ bị tấn công. Để xây dựng bảng này, tôi sử dụng xếp hạng các công ty kiểm toán tốt nhất từ Coingecko và cơ sở dữ liệu REKT đã nêu ở trên.
Dưới đây là bảng xếp hạng:

*Ghi chú: Bảng này chỉ là dữ liệu do blogger tự tổng hợp, hiện tại ngành chưa có bảng xếp hạng chính thức và công bằng nào.
Lưu ý rằng mỗi vụ tấn công cần được đánh giá riêng biệt theo từng trường hợp cụ thể, và bảng trên không nên được coi là nguồn thông tin đáng tin cậy về tỷ lệ thành công của các công ty kiểm toán vì nó quá khái quát.
Dưới đây là kết luận ngắn gọn từ nghiên cứu của tôi: Kiểm toán không đảm bảo an toàn tuyệt đối.
Trong suốt sự nghiệp làm việc với tiền mã hóa, tôi từng làm việc cho hàng chục công ty đều đã thực hiện kiểm toán an ninh. Trong đa số trường hợp, các lỗ hổng nghiêm trọng đều được phát hiện bởi đội ngũ phát triển nội bộ.
Thông thường, các cuộc kiểm toán được thực hiện bằng các kịch bản phổ biến nhằm tìm kiếm lỗ hổng tiềm tàng. Tuy nhiên, mỗi công ty lại có mã nguồn và kiến trúc riêng biệt, đòi hỏi phương pháp kiểm tra chuyên sâu và tùy chỉnh. Việc thực hiện một cuộc kiểm toán sâu trong vòng một tháng liệu có khả thi? Thành thật mà nói, tôi rất nghi ngờ điều đó.
Nhìn chung, kiểm toán có thể gia tăng xác suất an toàn cho vốn trong hợp đồng. Các dự án không qua kiểm toán dễ bị tấn công hoặc lừa đảo Rug hơn. Nhưng hãy nhớ rằng, không ai có thể đảm bảo an toàn 100%.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News














