
Chuyên đề An toàn 05|OKX Web3 & BlockSec: Đề cập tất cả các cá voi lớn, chiến lược phòng ngừa rủi ro mới nhất trong thế giới DeFi
Tuyển chọn TechFlowTuyển chọn TechFlow

Chuyên đề An toàn 05|OKX Web3 & BlockSec: Đề cập tất cả các cá voi lớn, chiến lược phòng ngừa rủi ro mới nhất trong thế giới DeFi
Mời đặc biệt các chuyên gia tiên phong về an ninh blockchain BlockSec và đội an ninh ví OKX Web3 chia sẻ một cẩm nang phòng tránh rủi ro trong DeFi dành cho tất cả người dùng và dự án sắp hoặc đã trở thành "cá voi".
Lời nói đầu
Ví OKX Web3 đặc biệt tổ chức chuyên mục "Tạp chí An toàn", nhằm giải đáp chi tiết cho từng loại vấn đề an toàn trên chuỗi. Thông qua những trường hợp thực tế xảy ra gần người dùng nhất, phối hợp cùng các chuyên gia hoặc tổ chức trong lĩnh vực an toàn, chia sẻ và giải thích từ nhiều góc nhìn khác nhau, từ đó hệ thống hóa và khái quát hóa các quy tắc giao dịch an toàn một cách có hệ thống, nhằm tăng cường giáo dục an toàn cho người dùng đồng thời giúp họ học cách tự bảo vệ khóa riêng tư và tài sản ví.
Sức hấp dẫn lớn nhất của thế giới DeFi là mỗi người đều có tiềm năng trở thành "cá voi"
Nhưng ngay cả "cá voi" cũng không được chủ quan, dù ăn thịt nhưng cũng có lúc "bị đánh"
Vì vậy, khi chơi trên chuỗi, an toàn là hàng đầu
Nếu không, lại phải trắng tay gây dựng lại từ đầu~
Số báo này là kỳ 05 của Tạp chí An toàn, mời đội ngũ tiên phong về an toàn blockchain BlockSec và đội an toàn ví OKX Web3, xuất phát từ góc độ hướng dẫn thực hành, chia sẻ với tất cả người dùng và dự án đang hoặc sắp trở thành "cá voi" một cẩm nang phòng tránh rủi ro DeFi. Ví dụ như cách đọc báo cáo kiểm toán, các chỉ số và tham số thường dùng để đánh giá sơ bộ rủi ro dự án DeFi, cách nhà phát triển dự án hoặc người dùng cá voi xây dựng khả năng giám sát cảnh báo, nguyên tắc bảo vệ an toàn DeFi... Đừng bỏ lỡ!

Đội an toàn BlockSec: BlockSec là nhà cung cấp dịch vụ an toàn blockchain "toàn diện" hàng đầu thế giới, hiện đã phục vụ hơn 300 khách hàng, bao gồm các dự án nổi tiếng như MetaMask, Compound, Uniswap Foundation, Forta, PancakeSwap, Puffer,... thông qua việc cứu trợ bằng mũ trắng đã thu hồi hơn 20 triệu USD tiền bị mất.
CEO & Đồng sáng lập BlockSec - Châu Á Kim là giáo sư khoa Máy tính Đại học Chiết Giang, học giả có ảnh hưởng toàn cầu do Aminer bình chọn, công bố hơn 50 bài báo hàng đầu, được trích dẫn hơn 10.000 lần. CTO & Đồng sáng lập Ngô Lỗi là giáo sư khoa Máy tính Đại học Chiết Giang, cựu đồng sáng lập PeckShield, dẫn dắt đội ngũ phát hiện hàng chục lỗ hổng zero-day ở nhiều dự án nổi tiếng. Giám đốc sản phẩm Raymond, từng phụ trách sản phẩm an toàn tại Tencent và 360.
Đội an toàn ví OKX Web3: Xin chào mọi người, rất vui được chia sẻ lần này. Đội an toàn OKX Web3 chủ yếu chịu trách nhiệm xây dựng các năng lực an toàn trong lĩnh vực Web3 của OKX, ví dụ như kiểm toán an toàn hợp đồng thông minh, xây dựng năng lực an toàn ví, giám sát an toàn dự án trên chuỗi,... cung cấp cho người dùng nhiều lớp bảo vệ như an toàn sản phẩm, an toàn tài chính, an toàn giao dịch,... góp phần duy trì hệ sinh thái an toàn blockchain.
Câu hỏi 1: Hãy chia sẻ vài ví dụ thực tế về rủi ro DeFi mà người dùng gặp phải
Đội an toàn BlockSec: DeFi thu hút nhiều nhà đầu tư lớn vì mang lại lợi nhuận cao tương đối ổn định cho tài sản. Nhiều bên phát triển dự án để tăng thanh khoản cũng chủ động mời các nhà đầu tư lớn tham gia. Ví dụ, chúng ta thường thấy tin tức về các nhà đầu tư lớn gửi lượng tài sản khổng lồ vào DeFi. Dĩ nhiên, khi tham gia vào các dự án DeFi, những "cá voi" này ngoài việc nhận lợi nhuận ổn định còn phải đối mặt với một số rủi ro. Sau đây chúng tôi xin chia sẻ một vài ví dụ công khai trong ngành về rủi ro DeFi:
Ví dụ 1: Sự cố an toàn PolyNetwork năm 2022, tổng cộng hơn 600 triệu USD tài sản bị tấn công. Theo đồn, Thần Ngư (Shen Yu) cũng có một trăm triệu USD trong đó, mặc dù sau đó kẻ tấn công đã hoàn trả tiền và sự việc kết thúc tốt đẹp, Thần Ngư cũng tuyên bố sẽ xây một đài kỷ niệm trên chuỗi để ghi nhớ sự việc này, nhưng chắc hẳn quá trình đó rất đau đớn. Mặc dù hiện tại một số ít sự cố an toàn có kết quả tốt, nhưng đa số các sự cố an toàn khác thì không may mắn đến vậy.
Ví dụ 2: Sàn giao dịch phi tập trung (DEX) nổi tiếng SushiSwap bị tấn công năm 2023, nhà đầu tư lớn 0xSifu thiệt hại hơn 3,3 triệu USD, riêng anh ta đã chiếm khoảng 90% tổng thiệt hại.
Ví dụ 3: Sự cố an toàn Prisma tháng 3 năm nay, tổng thiệt hại 14 triệu USD, số tiền này đến từ 17 địa chỉ ví, trung bình mỗi ví mất 820.000 USD, nhưng trong đó 4 người dùng đã chiếm 80%. Phần lớn tài sản bị đánh cắp này vẫn chưa được truy hồi.
Tóm lại, DeFi, đặc biệt là DeFi trên mainnet, do phí Gas không thể bỏ qua, chỉ khi tài sản đạt đến một mức nhất định mới thực sự thu được lợi nhuận (trừ phần thưởng airdrop), do đó TVL chính của các dự án DeFi thường do "cá voi" đóng góp, thậm chí ở một số dự án 2% "cá voi" đóng góp 80% TVL. Khi xảy ra sự cố an toàn, những "cá voi" này đương nhiên phải gánh chịu phần lớn thiệt hại. "Không thể chỉ thấy cá voi ăn thịt, họ cũng có lúc bị đánh".
Đội an toàn ví OKX Web3: Cùng với sự phát triển thịnh vượng của thế giới trên chuỗi, các trường hợp người dùng gặp rủi ro DeFi ngày càng tăng, an toàn trên chuỗi luôn là nhu cầu cơ bản và quan trọng nhất của người dùng.
Ví dụ 1: Sự cố rò rỉ khóa riêng của tài khoản đặc quyền PlayDapp. Từ ngày 9 đến 12 tháng 2 năm 2024, nền tảng trò chơi PlayDapp dựa trên Ethereum đã bị tấn công do rò rỉ khóa riêng, kẻ tấn công đã鑄 và đánh cắp trái phép 1,79 tỷ token PLA, thiệt hại khoảng 32,35 triệu USD. Kẻ tấn công đã thêm người鑄 mới vào token PLA,鑄 một lượng lớn PLA, phân tán đến nhiều địa chỉ trên chuỗi và sàn giao dịch.
Ví dụ 2: Sự kiện tấn công Hedgey Finance. Ngày 19 tháng 4 năm 2024, Hedgey Finance gặp lỗ hổng nghiêm trọng trên Ethereum và Arbitrum, dẫn đến thiệt hại khoảng 44,7 triệu USD. Kẻ tấn công đã tận dụng lỗ hổng thiếu xác minh đầu vào của người dùng trong hợp đồng, giành được quyền ủy quyền đối với hợp đồng dễ bị tấn công, từ đó đánh cắp tài sản khỏi hợp đồng.
Câu hỏi 2: Có thể khái quát các loại rủi ro chính hiện nay trong lĩnh vực DeFi không?
Đội an toàn ví OKX Web3: Kết hợp với các trường hợp thực tế, chúng tôi đã hệ thống hóa 4 loại rủi ro phổ biến hiện nay trong lĩnh vực DeFi
Loại thứ nhất: Tấn công lừa đảo (phishing). Tấn công lừa đảo là hình thức tấn công mạng phổ biến, thông qua việc giả mạo thành tổ chức hoặc cá nhân hợp pháp để lừa nạn nhân cung cấp thông tin nhạy cảm như khóa riêng, mật khẩu hoặc dữ liệu cá nhân khác. Trong lĩnh vực DeFi, tấn công lừa đảo thường diễn ra theo các cách sau:
1) Website giả mạo: Kẻ tấn công tạo website giả mạo giống với dự án DeFi thật, dụ người dùng ký giao dịch ủy quyền hoặc chuyển tiền.
2) Tấn công kỹ thuật xã hội: Trên Twitter, kẻ tấn công sử dụng tài khoản giả mạo cao cấp hoặc chiếm quyền điều khiển tài khoản Twitter hoặc Discord của dự án để đăng thông tin khuyến mãi giả hoặc airdrop (thực chất là liên kết lừa đảo), thực hiện tấn công lừa đảo người dùng.
3) Hợp đồng thông minh độc hại: Kẻ tấn công phát hành hợp đồng thông minh hoặc dự án DeFi trông hấp dẫn, dụ người dùng ủy quyền quyền truy cập cho chúng, từ đó đánh cắp tiền.
Loại thứ hai: Rugpull. Rugpull là trò lừa đảo đặc trưng trong lĩnh vực DeFi, chỉ việc nhà phát triển dự án rút toàn bộ tiền và biến mất sau khi thu hút được lượng lớn đầu tư, khiến tiền của nhà đầu tư bị cuỗm sạch. Rugpull thường xảy ra trên sàn giao dịch phi tập trung (DEX) và các dự án đào thanh khoản. Các biểu hiện chính bao gồm:
1) Rút thanh khoản: Nhà phát triển cung cấp lượng lớn thanh khoản vào hồ thanh khoản để thu hút người dùng đầu tư, sau đó đột ngột rút toàn bộ thanh khoản, khiến giá token sụt giảm mạnh, nhà đầu tư thiệt hại nặng nề.
2) Dự án giả mạo: Nhà phát triển tạo một dự án DeFi trông hợp pháp, lừa người dùng đầu tư bằng những lời hứa giả và lợi nhuận cao, nhưng thực tế không có bất kỳ sản phẩm hay dịch vụ thực tế nào.
3) Thay đổi quyền hạn hợp đồng: Nhà phát triển tận dụng cửa hậu hoặc quyền hạn trong hợp đồng thông minh để tùy ý thay đổi quy tắc hợp đồng hoặc rút tiền.
Loại thứ ba: Lỗ hổng hợp đồng thông minh. Hợp đồng thông minh là đoạn mã tự động thực thi, chạy trên blockchain, một khi đã triển khai thì không thể thay đổi. Nếu hợp đồng thông minh có lỗ hổng sẽ dẫn đến các vấn đề an toàn nghiêm trọng. Các lỗ hổng hợp đồng thông minh phổ biến bao gồm:
1) Lỗ hổng nhập lại (reentrancy): Kẻ tấn công gọi lặp lại hợp đồng có lỗ hổng trước khi cuộc gọi trước đó hoàn tất, gây ra vấn đề trạng thái nội bộ hợp đồng.
2) Lỗi logic: Lỗi logic trong thiết kế hoặc triển khai hợp đồng, dẫn đến hành vi bất ngờ hoặc lỗ hổng.
3) Tràn số nguyên: Hợp đồng không xử lý đúng phép toán số nguyên, dẫn đến tràn hoặc tràn âm.
4) Thao túng giá: Kẻ tấn công thực hiện tấn công bằng cách thao túng giá oracle.
5) Mất độ chính xác: Do vấn đề độ chính xác số dấu phẩy động hoặc số nguyên, dẫn đến lỗi tính toán.
6) Thiếu xác minh đầu vào: Không xác minh đầy đủ đầu vào của người dùng, dẫn đến các vấn đề an toàn tiềm ẩn.
Loại thứ tư: Rủi ro quản trị. Rủi ro quản trị liên quan đến quyết định cốt lõi và cơ chế kiểm soát của dự án, nếu bị lợi dụng ác ý có thể khiến dự án lệch khỏi mục tiêu dự kiến, thậm chí gây ra tổn thất kinh tế nghiêm trọng và khủng hoảng niềm tin. Các loại rủi ro phổ biến bao gồm:
1) Rò rỉ khóa riêng
Một số tài khoản đặc quyền của dự án DeFi do EOA (Tài khoản sở hữu bên ngoài) hoặc ví đa ký kiểm soát, nếu các khóa riêng này bị rò rỉ hoặc đánh cắp, kẻ tấn công có thể tùy ý thao tác hợp đồng hoặc tiền.
2) Tấn công quản trị
Mặc dù một số dự án DeFi áp dụng phương án quản trị phi tập trung, nhưng vẫn tồn tại các rủi ro sau:
· Mượn token quản trị: Kẻ tấn công mượn lượng lớn token quản trị để thao túng kết quả biểu quyết trong thời gian ngắn.
· Kiểm soát đa số quyền biểu quyết: Nếu token quản trị tập trung cao ở một số ít người, họ có thể kiểm soát toàn bộ quyết định dự án thông qua tập trung quyền biểu quyết.
Câu hỏi 3: Có những chiều đo lường hoặc tham số nào để đánh giá sơ bộ mức độ an toàn và rủi ro của dự án DeFi?
Đội an toàn BlockSec: Trước khi tham gia một dự án DeFi, việc đánh giá tổng thể mức độ an toàn là rất cần thiết. Đặc biệt đối với những người tham gia có khối lượng vốn lớn, việc điều tra an toàn kỹ lưỡng có thể đảm bảo tối đa an toàn tiền bạc.

Thứ nhất, nên đánh giá toàn diện về an toàn mã nguồn của dự án, bao gồm việc dự án đã được kiểm toán chưa, có được các công ty kiểm toán uy tín về an toàn kiểm toán không, có nhiều công ty kiểm toán tham gia không, mã nguồn mới nhất đã được kiểm toán chưa, v.v. Nói chung, nếu mã nguồn đang chạy trực tuyến đã được nhiều công ty an toàn uy tín kiểm toán, sẽ giảm đáng kể nguy cơ bị tấn công an toàn.
Thứ hai, cần xem liệu bên phát triển dự án có triển khai hệ thống giám sát an toàn thời gian thực hay không. Kiểm toán an toàn đảm bảo an toàn tĩnh, không thể giải quyết các vấn đề an toàn động phát sinh sau khi dự án lên sàn. Ví dụ, bên phát triển dự án điều chỉnh không phù hợp các tham số vận hành quan trọng, thêm Pool mới, v.v. Nếu bên phát triển dự án sử dụng một số hệ thống giám sát an toàn thời gian thực, thì hệ số an toàn vận hành sẽ cao hơn so với các giao thức không áp dụng giải pháp này.
Thứ ba, cần xem bên phát triển dự án có khả năng phản ứng tự động trong tình huống khẩn cấp hay không. Khả năng này lâu nay bị cộng đồng bỏ qua. Chúng tôi nhận thấy trong nhiều sự cố an toàn, bên phát triển dự án đều không thể thực hiện chức năng cắt mạch tự động (hoặc cắt mạch thao tác nhạy cảm về tiền). Trong tình huống khẩn cấp, bên phát triển dự án chủ yếu sử dụng phương pháp thủ công để xử lý sự cố an toàn, và phương pháp này đã được chứng minh là kém hiệu quả hoặc thậm chí vô hiệu.
Thứ tư, cần xem các phụ thuộc bên ngoài của dự án và độ bền vững của các phụ thuộc bên ngoài. Một dự án DeFi sẽ phụ thuộc vào thông tin do các dự án bên thứ ba cung cấp, như giá cả, thanh khoản, v.v. Vì vậy cần đánh giá mức độ an toàn của dự án từ góc độ số lượng phụ thuộc bên ngoài, độ an toàn của các dự án phụ thuộc bên ngoài, có giám sát và xử lý thời gian thực đối với dữ liệu bất thường của phụ thuộc bên ngoài hay không. Nói chung, các dự án có phụ thuộc bên ngoài là các dự án hàng đầu và có khả năng dung sai và xử lý thời gian thực đối với dữ liệu bất thường của dự án bên ngoài sẽ an toàn hơn.
Thứ năm, bên phát triển dự án có cấu trúc quản trị cộng đồng tương đối tốt hay không. Điều này bao gồm việc bên phát triển dự án có cơ chế biểu quyết cộng đồng đối với các sự kiện lớn, các thao tác nhạy cảm có được thực hiện bằng đa ký không, ví đa ký có đưa đại diện trung lập của cộng đồng tham gia không, có hội đồng an toàn cộng đồng không, v.v. Những cấu trúc quản trị này có thể nâng cao tính minh bạch của dự án, giảm khả năng người dùng bị rugpull tiền trong dự án.
Cuối cùng, lịch sử quá khứ của bên phát triển dự án cũng rất quan trọng. Cần điều tra lý lịch của nhóm dự án và các thành viên cốt lõi. Nếu các thành viên cốt lõi của bên phát triển dự án có nhiều tiền sử bị tấn công hoặc rugpull trong các dự án trước đó, thì rủi ro an toàn của dự án này cũng sẽ tương đối cao.
Tóm lại, trước khi tham gia DeFi, người dùng, đặc biệt là những người tham gia với số tiền lớn, cần làm tốt công việc nghiên cứu, từ kiểm toán an toàn mã nguồn trước khi dự án lên sàn đến xây dựng khả năng giám sát an toàn thời gian thực và phản ứng tự động sau khi lên sàn, khảo sát mức độ đầu tư an toàn và độ an toàn của bên phát triển dự án, đồng thời cần làm tốt công việc điều tra từ các góc độ như phụ thuộc bên ngoài, cấu trúc quản trị và lịch sử quá khứ của bên phát triển dự án để đảm bảo an toàn cho tiền đầu tư vào dự án.
Đội an toàn ví OKX Web3: Mặc dù không thể đảm bảo 100% an toàn cho dự án DeFi, nhưng người dùng có thể kết hợp các chiều đo lường sau để đánh giá sơ bộ mức độ an toàn và rủi ro của dự án DeFi.
Một, an toàn kỹ thuật dự án
1, Kiểm toán hợp đồng thông minh:
1) Kiểm tra xem dự án đã được kiểm toán bởi nhiều công ty kiểm toán chưa, các công ty kiểm toán có danh tiếng và kinh nghiệm tốt không.
2) Kiểm tra số lượng và mức độ nghiêm trọng của các vấn đề được báo cáo trong báo cáo kiểm toán, đảm bảo tất cả các vấn đề đã được sửa chữa.
3) Kiểm tra xem mã code triển khai của dự án có nhất quán với phiên bản mã code được kiểm toán không.
2, Mã nguồn mở:
1) Xem mã code của dự án có được công khai không, mã nguồn mở cho phép cộng đồng và các chuyên gia an toàn xem xét, giúp phát hiện các vấn đề an toàn tiềm ẩn.
2) Lý lịch đội phát triển: Tìm hiểu lý lịch và kinh nghiệm của đội phát triển dự án, đặc biệt là kinh nghiệm trong lĩnh vực blockchain và an toàn, cũng như mức độ minh bạch và công khai thông tin của đội.
3) Kế hoạch thưởng tìm lỗ hổng: Dự án có chương trình thưởng tìm lỗ hổng để khuyến khích các nhà nghiên cứu an toàn báo cáo lỗ hổng không.
3, An toàn tài chính và kinh tế
1) Khối lượng tiền bị khóa: Kiểm tra khối lượng tiền bị khóa trong hợp đồng thông minh, khối lượng khóa cao hơn có thể cho thấy dự án có độ tin cậy cao hơn.
2) Khối lượng giao dịch và thanh khoản: Đánh giá khối lượng giao dịch và thanh khoản của dự án, thanh khoản thấp có thể làm tăng rủi ro thao túng giá.
3) Mô hình kinh tế token: Đánh giá mô hình kinh tế token của dự án, bao gồm phân bổ token, cơ chế khuyến khích và mô hình lạm phát. Ví dụ, có tình trạng tập trung quá mức trong việc nắm giữ token hay không, v.v.
4, An toàn vận hành và quản lý
1) Cơ chế quản trị: Tìm hiểu cơ chế quản trị của dự án, có cơ chế quản trị phi tập trung không, cộng đồng có thể biểu quyết về các quyết định quan trọng không, và phân tích mức độ tập trung trong phân bổ token quản trị và quyền biểu quyết, v.v.
2) Biện pháp quản lý rủi ro: Dự án có biện pháp quản lý rủi ro và kế hoạch ứng phó khẩn cấp không, làm thế nào để đối phó với các mối đe dọa an toàn tiềm tàng và tấn công kinh tế. Ngoài ra, về độ minh bạch của dự án và giao tiếp cộng đồng, hãy xem bên phát triển dự án có thường xuyên phát hành báo cáo tiến độ dự án và cập nhật an toàn không, có tích cực giao tiếp với cộng đồng và giải quyết vấn đề người dùng không, v.v.
5, Đánh giá thị trường và cộng đồng
1) Mức độ hoạt động của cộng đồng: Đánh giá mức độ hoạt động và cơ sở người dùng của dự án, cộng đồng hoạt động thường có nghĩa là dự án được ủng hộ rộng rãi.
2) Đánh giá truyền thông và mạng xã hội: Phân tích đánh giá của dự án trên truyền thông và mạng xã hội, tìm hiểu quan điểm của người dùng và chuyên gia ngành về dự án.
3) Đối tác và nhà đầu tư: Xem dự án có được hỗ trợ bởi các đối tác và nhà đầu tư nổi tiếng không, các đối tác và nhà đầu tư uy tín có thể tăng độ tin cậy của dự án, nhưng điều này không thể trở thành yếu tố quyết định để đánh giá an toàn của nó.
Câu hỏi 4: Người dùng nên xem báo cáo kiểm toán và trạng thái mã nguồn mở như thế nào?
Đội an toàn BlockSec: Các dự án đã được kiểm toán thường sẽ chủ động công bố báo cáo kiểm toán cho cộng đồng qua kênh chính thức. Các báo cáo kiểm toán này thường nằm trong tài liệu của dự án, kho mã Github, v.v. Ngoài ra, cần xác minh tính xác thực của báo cáo kiểm toán, các phương pháp xác minh bao gồm kiểm tra chữ ký số của báo cáo kiểm toán, liên hệ công ty kiểm toán để xác nhận lần nữa, v.v.
Vậy khi có được báo cáo kiểm toán như vậy, nhà đầu tư nên đọc như thế nào?
Thứ nhất, cần xem báo cáo kiểm toán có được kiểm toán bởi các công ty an toàn có danh tiếng cao như Open Zeppelin, Trail of Bits, BlockSec, v.v. không.
Thứ hai, cần xem các vấn đề được nêu trong báo cáo kiểm toán đã được sửa chữa hết chưa, nếu chưa sửa chữa, cần xem lý do của bên phát triển dự án có đầy đủ không. Ở đây cũng cần phân biệt giữa báo cáo lỗ hổng hợp lệ và báo cáo lỗ hổng không hợp lệ trong báo cáo kiểm toán. Do báo cáo kiểm toán chưa có tiêu chuẩn ngành thống nhất, các công ty an toàn sẽ căn cứ vào nhận thức an toàn của mình để xếp hạng rủi ro và báo cáo lỗ hổng dự án. Vì vậy, đối với các lỗ hổng được phát hiện trong báo cáo kiểm toán, cần tập trung vào báo cáo lỗ hổng hợp lệ. Quá trình này tốt nhất nên mời đội tư vấn an toàn độc lập để đánh giá bên thứ ba.
Thứ ba, cần xem thời gian kiểm toán trong báo cáo kiểm toán và thời gian nâng cấp gần nhất của dự án có nhất quán (hoặc gần nhau) không, đồng thời cũng cần chú ý xem mã code trong báo cáo kiểm toán có bao phủ toàn bộ mã code đang chạy trực tuyến của bên phát triển dự án không. Bên phát triển dự án do cân nhắc chi phí kinh tế và thời gian, thường sẽ chỉ kiểm toán một phần mã code. Vì vậy trong trường hợp này, cần đánh giá xem mã code đã được kiểm toán có phải là mã giao thức cốt lõi không.
Thứ tư, cần xem mã code đang chạy trực tuyến của bên phát triển dự án đã được công khai (mã nguồn mở) chưa, mã code công khai có nhất quán với mã code trong báo cáo kiểm toán không. Thường thì kiểm toán sẽ dựa trên mã code trên Github của bên phát triển dự án (chứ không phải mã code đã triển khai trực tuyến). Nếu mã code cuối cùng triển khai trên chuỗi không công khai, hoặc có sự khác biệt lớn so với mã code được kiểm toán, đều là những điểm cần lưu ý.
Tóm lại, việc đọc báo cáo kiểm toán bản thân là một việc khá chuyên môn, đề nghị nên mời các chuyên gia an toàn bên thứ ba độc lập để tư vấn trong quá trình này.
Đội an toàn ví OKX Web3: Người dùng có thể kiểm tra báo cáo kiểm toán hợp đồng thông minh và trạng thái mã nguồn mở qua website chính thức của dự án DeFi hoặc các trang web bên thứ ba, ví dụ như OKLink. Dưới đây là các bước phổ biến để kiểm tra báo cáo kiểm toán và trạng thái mã nguồn mở của dự án:
Thứ nhất, tìm kiếm thông báo chính thức hoặc website. Hầu hết các dự án DeFi đáng tin cậy đều sẽ hiển thị thông tin tài liệu liên quan trên website chính thức của họ, trên trang tài liệu dự án, thường sẽ có liên kết đến báo cáo kiểm toán và địa chỉ hợp đồng được triển khai của bên phát triển dự án ở các mục như "An toàn", "Kiểm toán" hoặc "Địa chỉ hợp đồng". Ngoài website chính thức của dự án, thông thường họ cũng sẽ hiển thị thông tin báo cáo kiểm toán và địa chỉ hợp đồng được triển khai trên các phương tiện truyền thông chính thức như Medium, Twitter, v.v.
Thứ hai, sau khi đọc website chính thức của dự án, người dùng có thể sử dụng trình duyệt OKLink để tra cứu thông tin địa chỉ hợp đồng được triển khai do bên phát triển dự án cung cấp, và xem thông tin mã nguồn mở của hợp đồng được triển khai ở mục "Hợp đồng".
Thứ ba, sau khi có được báo cáo kiểm toán của dự án và thông tin mã nguồn mở của hợp đồng được triển khai, người dùng có thể bắt đầu đọc báo cáo kiểm toán của dự án, có một số điểm cần lưu ý khi đọc báo cáo kiểm toán:
1) Hiểu cấu trúc của báo cáo kiểm toán, có cái nhìn tổng quan về nội dung báo cáo, báo cáo kiểm toán thường được chia thành phần giới thiệu, các vấn đề phát hiện, giải pháp và đề xuất, kết quả kiểm toán.
2) Khi đọc phần giới thiệu, cần chú ý phạm vi và mục tiêu kiểm toán của báo cáo, thường báo cáo kiểm toán sẽ ghi rõ ID commit Github của tệp nộp kiểm toán, cần so sánh xem tệp được kiểm toán trong báo cáo có nhất quán với mã nguồn mở triển khai trên chuỗi không.
3) Khi đọc phần các vấn đề phát hiện, giải pháp và đề xuất, kết quả kiểm toán, cần tập trung vào việc nhóm dự án đã sửa các lỗ hổng phát hiện theo đề xuất chưa, và bên phát triển dự án đã thực hiện kiểm toán bổ sung cho nội dung sửa đổi chưa, để đảm bảo tất cả các vấn đề đều được xử lý thỏa đáng.
4) So sánh nhiều báo cáo. Nếu dự án đã trải qua nhiều lần kiểm toán, hãy xem sự khác biệt giữa các báo cáo kiểm toán, tìm hiểu tình hình cải thiện an toàn của dự án.
Câu hỏi 5: Lịch sử bị tấn công và kế hoạch thưởng tìm lỗ hổng có giá trị tham khảo gì đối với mức độ an toàn của dự án DeFi?
Đội an toàn ví OKX Web3: Lịch sử bị tấn công và kế hoạch thưởng tìm lỗ hổng cung cấp một mức độ tham khảo nhất định cho việc đánh giá mức độ an toàn của dự án DeFi, chủ yếu thể hiện ở các khía cạnh sau:
Thứ nhất, lịch sử bị tấn công
1) Tiết lộ lỗ hổng lịch sử: Lịch sử tấn công có thể cho thấy các lỗ hổng an toàn cụ thể mà dự án từng có, giúp người dùng hiểu rõ những vấn đề an toàn nào đã từng bị khai thác và liệu các vấn đề này đã được sửa chữa triệt để chưa.
2) Đánh giá năng lực quản lý rủi ro: Cách dự án phản ứng với các sự kiện an toàn trong quá khứ thể hiện được năng lực quản lý rủi ro và xử lý khủng hoảng. Một dự án phản ứng tích cực, sửa lỗ hổng kịp thời và bồi thường cho người dùng bị ảnh hưởng thường được coi là lựa chọn đầu tư đáng tin cậy và trưởng thành hơn.
3) Danh tiếng dự án: Các vấn đề an toàn thường xuyên có thể làm giảm lòng tin của người dùng vào dự án, nhưng nếu dự án có thể thể hiện khả năng học hỏi từ sai lầm và tăng cường các biện pháp an toàn, điều này cũng có thể xây dựng danh tiếng lâu dài.
Thứ hai, kế hoạch thưởng tìm lỗ hổng
Việc triển khai kế hoạch thưởng tìm lỗ hổng trong các dự án DeFi và phần mềm khác là chiến lược quan trọng để nâng cao an toàn và phát hiện lỗ hổng tiềm tàng. Các kế hoạch này mang lại nhiều giá trị tham khảo cho việc đánh giá an toàn dự án:
1) Tăng cường kiểm toán bên ngoài: Kế hoạch thưởng khuyến khích các nhà nghiên cứu an toàn toàn cầu tham gia kiểm toán an toàn dự án. Phương pháp kiểm toán "crowdsourcing" này có thể phát hiện những vấn đề mà kiểm toán nội bộ có thể bỏ sót, từ đó tăng cơ hội phát hiện và giải quyết các lỗ hổng tiềm tàng.
2) Xác minh hiệu quả của các biện pháp an toàn: Thông qua kế hoạch thưởng thực tế, dự án có thể kiểm tra hiệu quả của các biện pháp an toàn trong thực tiễn. Nếu một dự án có kế hoạch thưởng kéo dài nhưng báo cáo các lỗ hổng nghiêm trọng ít, điều này có thể là dấu hiệu cho thấy dự án tương đối trưởng thành và an toàn.
3) Cải tiến an toàn liên tục: Kế hoạch thưởng cung cấp cơ chế cải tiến liên tục. Khi các công nghệ mới và phương pháp tấn công mới xuất hiện, kế hoạch thưởng giúp đội ngũ dự án cập nhật và tăng cường các biện pháp an toàn kịp thời, đảm bảo dự án có thể đối phó với các thách thức an toàn mới nhất.
4) Xây dựng văn hóa an toàn: Việc dự án có thiết lập kế hoạch thưởng hay không, cũng như mức độ nghiêm túc và hoạt động của kế hoạch, có thể phản ánh thái độ của đội ngũ dự án đối với an toàn. Một kế hoạch thưởng tích cực thể hiện cam kết của dự án trong việc xây dựng văn hóa an toàn vững chắc.
5) Tăng niềm tin cộng đồng và nhà đầu tư: Sự tồn tại và hiệu quả của kế hoạch thưởng có thể chứng minh với cộng đồng và nhà đầu tư tiềm năng rằng dự án coi trọng an toàn. Điều này không chỉ tăng lòng tin của người dùng mà còn có thể thu hút thêm đầu tư, vì nhà đầu tư thường thiên về các dự án thể hiện trách nhiệm an toàn cao.
Câu hỏi 6: Khi tham gia DeFi, người dùng nên xây dựng khả năng giám sát nhận thức như thế nào?
Đội an toàn BlockSec: Lấy người dùng cá voi làm ví dụ, cá voi chủ yếu chỉ các nhà đầu tư cá nhân hoặc tổ chức đầu tư nhỏ, những người dùng này có quy mô vốn lớn, nhưng thường không có đội an toàn mạnh hoặc khả năng tự phát triển công cụ an toàn. Vì vậy, đến nay thực tế hầu hết các cá voi đều không có đủ khả năng nhận thức rủi ro, nếu không thì đã không chịu tổn thất lớn như vậy.
Do đối mặt với rủi ro tổn thất lớn, một số người dùng cá voi bắt đầu có ý thức dựa vào một số công cụ an toàn công khai để giám sát và nhận thức rủi ro. Hiện nay, có rất nhiều đội đang làm sản phẩm giám sát, nhưng việc lựa chọn như thế nào là rất quan trọng. Dưới đây là một vài điểm then chốt:
Trước hết, là chi phí sử dụng công cụ. Nhiều công cụ tuy rất mạnh mẽ nhưng yêu cầu lập trình, chi phí sử dụng không hề thấp. Đối với người dùng, hiểu rõ kiến trúc hợp đồng, thậm chí thu thập địa chỉ cũng không phải chuyện dễ dàng.
Thứ hai, là độ chính xác. Không ai muốn ban đêm đang ngủ liên tục nhận vài cảnh báo, rồi phát hiện là báo động giả, như vậy sẽ khiến tâm lý nổ tung. Vì vậy, độ chính xác cũng rất quan trọng.
Cuối cùng, là an toàn. Đặc biệt trong quy mô vốn lớn như vậy, không thể bỏ qua các rủi ro an toàn của công cụ phát triển và đội ngũ phát triển. Gần đây sự kiện Gala Game bị tấn công, nghe nói là do đưa vào nhà cung cấp dịch vụ bên thứ ba không an toàn. Vì vậy, đội ngũ đáng tin cậy và sản phẩm đáng tin là rất quan trọng.
Cho đến nay, cũng có nhiều cá voi tìm đến chúng tôi, chúng tôi sẽ giới thiệu giải pháp quản lý tài sản chuyên nghiệp cho họ, giúp người dùng cá voi vừa đảm bảo an toàn tiền bạc, vừa thuận tiện quản lý vốn hàng ngày như "đào-rút-bán", nhận thức rủi ro, thậm chí rút vốn trong tình trạng khẩn cấp.

Câu hỏi 7: Đề xuất an toàn khi tham gia DeFi và cách xử lý rủi ro an toàn
Đội an toàn BlockSec: Đối với người tham gia vốn lớn, tham gia giao thức DeFi trước hết phải đảm bảo an toàn vốn gốc, sau khi nghiên cứu kỹ các rủi ro an toàn có thể xảy ra mới tiến hành đầu tư. Thông thường có thể đảm bảo an toàn vốn từ các khía cạnh sau.
Trước hết, cần đánh giá toàn diện mức độ coi trọng và đầu tư an toàn của bên phát triển dự án. Bao gồm việc đã được kiểm toán an toàn triệt để chưa, bên phát triển dự án có khả năng giám sát rủi ro an toàn và phản ứng tự động, có cơ chế quản trị cộng đồng tốt hay không, v.v. Những điều này đều phản ánh được việc bên phát triển dự án có đặt an toàn vốn người dùng vào vị trí quan trọng, có thái độ trách nhiệm cao đối với an toàn vốn người dùng hay không.
Thứ hai, người tham gia vốn lớn cũng cần xây dựng hệ thống giám sát an toàn và phản ứng tự động cho riêng mình. Sau khi giao thức đầu tư bị sự cố an toàn, nhà đầu tư vốn lớn nên nhận biết và rút vốn ngay lập tức, cố gắng thu hồi tổn thất, chứ không nên đặt tất cả hy vọng vào bên phát triển dự án. Năm 2023 chúng ta có thể thấy nhiều dự án nổi tiếng đã bị tấn công, bao gồm Curve, KyberSwap, Euler Finance, v.v. Rất tiếc, chúng tôi thấy rằng khi xảy ra tấn công, nhà đầu tư lớn thường thiếu thông tin kịp thời và hiệu quả, cũng không có hệ thống giám sát an toàn và rút vốn khẩn cấp cho riêng mình.
Ngoài ra, nhà đầu tư cần chọn đối tác an toàn tốt để theo dõi liên tục tình hình an toàn của dự án đầu tư. Dù là nâng cấp mã code của bên phát triển dự án, thay đổi tham số quan trọng, v.v. đều cần nhận biết kịp thời và đánh giá rủi ro. Việc này không có sự tham gia của đội an toàn chuyên nghiệp và công cụ thì rất khó hoàn thành.
Cuối cùng, cần bảo vệ an toàn khóa riêng. Đối với tài khoản thường xuyên giao dịch, tốt nhất nên kết hợp giải pháp đa ký trực tuyến và giải pháp an toàn khóa riêng ngoại tuyến, loại bỏ rủi ro điểm đơn khi mất một địa chỉ hoặc một khóa riêng.
Nếu một khi dự án đầu tư đối mặt với rủi ro an toàn, nên xử lý như thế nào?
Tôi tin rằng đối với bất kỳ cá voi hay nhà đầu tư nào, phản ứng đầu tiên khi gặp sự cố an toàn chắc chắn là bảo toàn vốn, rút vốn càng
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News












