Kiểm toán cộng đồng tiền điện tử có không đồng đều? Điểm qua 8 công ty bảo mật bạn cần biết
Gần đây, công ty kiểm toán bảo mật CertiK đã bị phát hiện về vụ hack mũ đen nội bộ và đánh cắp 3 triệu đô la từ sàn giao dịch Kraken , gây sốc cho toàn bộ cộng đồng tiền điện tử. Việc kiểm toán không báo cáo các lỗ hổng mã và hành vi tự đánh cắp của nội bộ một lần nữa khiến uy tín của các công ty kiểm toán trở thành tâm điểm của thị trường.
Theo DeFiLlama , đã có tổng cộng hơn 8,29 tỷ USD trong các vụ hack lớn kể từ năm 2016 (thống kê không bao gồm các sự cố riêng lẻ) và chỉ một tỷ lệ rất nhỏ có thể được phục hồi sau đó. Điều này cho thấy các dự án có rủi ro về hợp đồng là không thể. được thị trường tin cậy, sẽ ảnh hưởng hơn nữa đến tổng vị thế khóa vị thế(TVL), khối lượng giao dịch và các nguyên tắc cơ bản.
Bài viết này sẽ giới thiệu phương pháp kiểm tra nhanh các công ty kiểm toán và cung cấp cái nhìn tổng quan về 8 công ty bảo mật quan trọng trong ngành crypto.
Làm cách nào để đánh giá chất lượng kiểm toán bảo mật của dự án DeFi?
Theo Số 05 về Bảo mật Ví OKX Web3, 5 tiêu chí kiểm tra sau đây có thể được sử dụng để giúp các bên dự án tìm được công ty kiểm toán lý tưởng. Người dùng cũng có thể sử dụng phương pháp này để kiểm tra xem mỗi dự án đã tìm được công ty kiểm toán an toàn hay chưa.
Bối cảnh chuyên môn của nhân sự cốt lõi là gì?
Bạn đã kiểm toán các dự án có tiếng chưa?
Có hồ sơ nào về các dự án kiểm toán bị tấn công trước đó không?
Công ty kiểm toán có lịch sử đen tối?
Báo cáo kiểm toán để đánh giá chất lượng an toàn
Bốn điểm đầu tiên có thể được thực hiện nhanh hơn điểm thứ năm dựa vào kinh nghiệm đọc báo cáo kiểm toán lâu năm và chi phí thời gian cao hơn. Tuy nhiên, chỉ cần đánh giá bối cảnh nhân sự cốt lõi là đủ. của công ty kiểm toán an ninh, các dự án kiểm toán, lịch sử đen tối… Việc tìm kiếm đủ những hiểu biết sâu sắc sẽ giúp xác định được ưu nhược điểm của từng kiểm toán trong thời gian ngắn.
Tổng quan về 8 công ty kiểm toán bảo mật phải biết
Dấu vết của Bit
Được thành lập vào năm 2012, Trail of Bit là đội ngũ bảo mật thông tin Cấp 1 có phạm vi kiểm toán bao gồm trí tuệ nhân tạo, học máy, mật mã, blockchain và công nghệ bảo mật. Nhấn mạnh rằng những gì họ làm không phải là " kiểm toán bảo mật" mà là "định giá bảo mật", đội ngũ cho rằng bắt đầu từ góc độ định giá có thể trình bày toàn diện hơn giá trị của dự án từ góc độ lập trình. Ngoài các dịch vụ định giá bảo mật, các sản phẩm của Trail of Bit còn có phần mềm diệt virus di động iVerify.
Các dự án đánh giá có tiếng :
Công nghệ điện toán đám mây sở hữu tư nhân(PCC) của Apple
Chuỗi công khai/hệ sinh thái: Solana, Cosmos SDK, Starknet, Polkadot
Rollups EVM: Starknet, Arbitrum, Optimism
DeFi: Giao thức Elixir, Uniswap V3, Aave, khao khát, Cân bằng
Oracle: Chainlink
ChuỗiAn Ninh
ChainSecurity là một công ty Thụy Sĩ được thành lập vào năm 2017. Công ty này đã kiểm toán một số lượng lớn các dự án DeFi hàng đầu trong quá khứ. Những người đồng sáng lập đều tốt nghiệp Học viện Kỹ thuật Điện hoặc Tài chính tại ETH Zürich. Kể từ khi thành lập, công ty này đã duy trì một hợp tác xã. mối quan hệ với công ty kế toán PwC Thụy Sĩ, trong đó báo cáo kiểm toán bên ngoài từ Tezos Foundation và các tổ chức khác, cho đến khi PwC tài trợ cho việc mua lại ChainSecurity vào năm 2020.
Sau khi Curve bị hack vào tháng 7 năm 2023, ChainSecurity ngay lập tức đưa ra đề xuất sửa đổi Curve và đưa ra báo cáo kiểm toán bảo mật hoàn chỉnh vào tháng 12 năm 2023 cho Curve và ngôn ngữ lập trình Vyper (nguồn gốc của lỗ hổng trong vụ việc này).
Các dự án kiểm toán có tiếng bao gồm:
Quỹ Ethereum EIP-4788
Cầu nối xuyên chuỗi : WBTC, Layer Zero, Cầu chính thức Polygon , Polkadot
DeFi: 1inch, Uniswap, Aave , MAKER, Curve Sanchi, khao khát
Gần đây, một báo cáo kiểm toán bảo mật đã được phát hành về dự án RWA stUSDT của hệ sinh thái TRON và chức năng oracle của SparkLend.
SlowMist
SlowMist là công ty bảo mật blockchain hàng đầu trong ngành kể từ khi thành lập vào năm 2018, công ty này đã dẫn đầu nhiệm vụ điều tra về lượng lớn sàn giao dịch và các bên tham gia dự án bị hack. Vào tháng 8 năm 2021, Poly Network đã bị hack với số tiền lên tới 610 triệu USD. Chưa đầy một ngày, mặc dù chính thức đã chỉ ra lý do cụ thể nhưng một số tin tức chỉ ra rằng đó là do SlowMist đã nhanh chóng lấy được email và vị trí IP của hacker sau vụ việc.
Người sáng lập Yu Xian (tên thật là Zhong Chenming) rất tích cực chia sẻ kiến thức liên quan đến bảo mật thông tin trên các nền tảng cộng đồng. Trước khi thành lập SlowMist, ông từng là phó chủ tịch công nghệ của công ty bảo mật thông tin Zhichuangyu, người đứng đầu phòng thí nghiệm bảo mật 404. , và một công ty tìm kiếm không gian mạng có tiếng. Người sáng lập công cụ Zhong Kui Eye (ZoomEye), đã dẫn đầu lượng lớn vụ bắt lỗi và chữa cháy trong quá khứ. Ông cũng là biên tập viên của "Blockchain Dark Forest Self". -Sách hướng dẫn cứu hộ" , dạy các kỹ thuật tương tác trên Chuỗi an toàn ngay từ đầu.
Ngoài các dịch vụ kiểm toán bảo mật và truy tìm quỹ, SlowMist Technology còn cung cấp công cụ theo dõi dòng tiền hiệu quả và dễ sử dụng MistTrack để người dùng phân tích nhanh các địa chỉ.
Chứng nhận
CertiK được thành lập vào năm 2018. Những người đồng sáng lập đều là giáo sư người Trung Quốc tại Khoa Khoa học Máy tính tại Đại học Columbia hoặc Yale. Các thành viên đội ngũ và đội ngũ tài trợ đều có bối cảnh từ Trung Quốc. Mức định giá mới nhất được tiết lộ là lên tới 2 tỷ USD. đô la. Nó đã nhận được tài trợ từ Tiger Global, SoftBank Viễn cảnh mong đợi Fund, Goldman Sachs, Sequoia China, v.v. Điều đáng chú ý là CertiK đã từng phát hành token$CTK, nhưng kinh tế học token tiếp theo đã không được thực hiện. Kết quả là những người đầu tư vào quyền tiền tệ đã bị lừa. Các tổ chức đầu tư vào vốn cổ phần cũng hoạt động tốt. vì việc phát hành tiền tệ của CertiK Quá xấu để xuất hiện.
Ngoài dịch vụ kiểm toán, CertiK còn xây dựng các trang web dữ liệu và thông tin để người dùng nghiên cứu điểm bảo mật của dự án, bối cảnh thành viên đội ngũ , Hệ số bảo mật sàn giao dịch , dự trữ tài sản và các chức năng khác. Những công cụ này rất hiệu quả trong việc tăng cường khả năng hiển thị của CertiK đối với người dùng DeFi. Tuy nhiên, sau đó, cộng đồng bắt đầu chỉ trích CertiK vì đã trở thành “một công ty có tem đắt tiền được bao bọc trong hào quang”.
Vào tháng 6 năm 2024, CertiK đã phát hiện ra một lỗ hổng mã trong sàn giao dịch Kraken và sau đó báo cáo nó đầu tiên. Sau khi bị hack, 3 triệu nhân dân tệ tiền thu được từ tội phạm đã được chuyển sang Tornado Cash. không được trả lại, không thể giải thích tại sao tiền được đầu tư vào máy trộn tiền xu, v.v., niềm tin của thị trường vào nó đã giảm đáng kể.
Các dự án kiểm toán có tiếng :
Web2: Apple iOS 17, LINE Blockchain
Lớp 1: Sui, TON, Chuỗi BNB, Cronos
Các dự án bị hack sau khi kiểm toán :
MERLIN DEX của hệ sinh thái kỷ nguyên zkSync đã bị hack 1,8 triệu USD
Swaprum kiếm được 3 triệu USD tiền mặt chỉ vài tuần sau khi nhận được báo cáo kiểm toán của CertiK
Nhóm hacker Lazarus đã xâm phạm nhiều giao thức kiểm toán Certik hơn bất kỳ giao thức nào khác
KhốiSec
BlockSec là một đội ngũ ở Trung Quốc đại lục được thành lập vào năm 2021. Các thành viên cốt lõi của đội ngũ kỹ sư, chẳng hạn như người đồng sáng lập Chu Yajin và giám đốc công nghệ Lei Wu , đều có bối cảnh rất giống nhau, tức là họ đang theo học chương trình tiến sĩ tại trường Đại học của Bắc Carolina, nhà nghiên cứu tại Đội bảo vệ 360 và là nhà nghiên cứu tại Khoa Đại học Chiết Giang.
Theo Linkedin , hầu hết nhân viên an toàn thông tin hiện nay đều tốt nghiệp Đại học Chiết Giang hoặc theo học chương trình tiến sĩ của trường.
Người đồng sáng lập Chu Yajin có bằng Tiến sĩ khoa học máy tính tại Đại học Bắc Carolina. Sau khi tốt nghiệp, anh gia nhập phần mềm chống vi-rút 360 Security Guard với tư cách là nhà nghiên cứu bảo mật cấp cao và sau đó thành lập BlockSec. Anh hiện cũng là giáo sư và đồng sáng lập. hướng dẫn tiến sĩ tại Đại học Chiết Giang.
Ngoài các dịch vụ kiểm toán, các sản phẩm của nó còn bao gồm plug-in nhận dạng địa chỉ MetaSuites (trước đây là MetaDock) , công cụ trực quan hóa theo dõi dòng tiền tệ MetaSleuth , đội ngũ hacker Mũ trắng Phalcon và các công cụ khác. Bạn có thể tận dụng tốt plug-in này để xác định Phishing., gian lận và giao dịch kim cương từ etherscan, các thẻ như người chơi lớn của các loại tiền tệ cụ thể, thực hiện theo dõi dòng tiền trực quan và theo dõi các sự kiện hack của nhóm dự án. Các chức năng rất toàn diện và ngưỡng sử dụng thấp. Nó được nhiều người dùng và nhà phát triển dự án ưa chuộng. Ví dụ: Symbiotic gần đây đã tweet rằng ai đó đã cố gắng sử dụng Milady để reStake, tức là sử dụng trình duyệt Phalcon.
Gần đây, Manta đã công bố hợp tác với Phalcon để kết hợp Công cụ phát hiện tấn công của Phalcon vào sắp xếp của riêng Manta nhằm cải thiện khả năng phục hồi tổng hợp.
Các dự án kiểm toán có tiếng :
DeFi: PancakeSwap, Giao thức LiNEAR
LRT: Giao thức êm dịu, Tài chính Puffer, Magpie
reStake: Tái lập Octopus (GẦN dự án reStake sinh thái)
Chuỗi : PolyNetwork, Multichain , XY Finance, Radiant V2
Quỹ Mạng EOS
Điều đáng chú ý là trong báo cáo kiểm toán của BlockSec về Multichain vào tháng 4 năm 2022, có thể thấy rằng BlockSec đã khuyến nghị Multichain không nên tập trung quá mức vào quyền kiểm soát tiền. Sau đó, đề xuất này cuối cùng đã không được cải thiện. Multichain thất bại vào tháng 7 năm 2023 do private key riêng tư của người sáng lập bị rò rỉ khiến toàn bộ quỹ bị hack.
Dấu lượng tử
Quantstamp có trụ sở chính tại Los Angeles, Hoa Kỳ. Đội ngũ nhân sự cốt lõi đến từ khắp nơi trên thế giới và rất đa dạng. Họ đã tích lũy kinh nghiệm bảo mật thông tin phong phú trước khi công ty được thành lập và có bối cảnh về Smart Contract Alliance và Tower Research Capital.
CEO Richard Ma tốt nghiệp Khoa Kỹ thuật Máy tính Cornell và tham gia Y Combinator vào năm 2018. Ông đã tham gia lần dự án như Ondo Finance, Astar, Spectral, v.v.
Giám đốc điều hành Don Ho cũng là người đồng sáng lập OrangeDAO. OrangeDAO là một DAO bao gồm các doanh nhân blockchain. Nó có một quỹ đầu tư mạo hiểm độc lập và một vườn ươm khởi nghiệp mới. Trước đây, ông đã tham gia đầu tư vào Hinkal Protocol, 0G, Dự án Analog, Mezo, Toku, v.v.
Martinet Lee, Trưởng phòng Quan hệ Nhà phát triển, cũng là người sáng lập ETH Đài Bắc.
Ngoài kiểm toán bảo mật, Quantstamp cũng đã tham gia vào một số khoản đầu tư thị trường sơ cấp, đầu tư vào 0G, Analog, Hinkan Protocol, v.v...
Điều đáng chú ý là TVL cao tới 2,3 tỷ đô la Mỹ. Đội ngũ cốt lõi của zk Rollup Zircuit, đứng thứ 15 trong số các dự án DeFi, có nguồn gốc từ Quantstamp. Những người đồng sáng lập Martin Derka và Jan Gorzny ban đầu là Giám đốc mới. Phòng Dự án Quantstamp tương ứng) và Trưởng bộ phận L2 Scaling.
Zircuit hiện được xếp hạng đầu tiên trong phân loại DeFillama Farm , tiếp theo là Swell, AlLayer, Pencils và các giao thức khác.
https://defillama.com/protocols/farm
Các dự án kiểm toán có tiếng :
L1/L2: ETH 2.0 , Solana , TON, Avalanche , Chuỗi BNB
Chơi game & NFT: OpenSea , Parallel, Sandbox
DeFi: Maker, Curve, Lido , Ethena , Pendle , Puffer Finance
Cơ sở hạ tầng: ssv.network, Luganodes , Galxe
Web 2: VISA , Revolut, Sequoia, BitGo
PeckShield
Đội ngũ PeckShield chủ yếu đến từ Trung Quốc đại lục. Người sáng lập của nó, Jiang Xuxian, ban đầu là nhà khoa học trưởng của Đội bảo vệ 360 và là giáo sư tại Đại học Bắc Carolina. Các báo cáo chỉ ra rằng Jiang Xuxian là giáo viên của Chu Yajin tại trường. Từ các đối tượng kiểm toán được cung cấp trên trang web chính thức, chúng ta có thể thấy rằng hầu hết khách hàng của PeckShield đều đến từ Châu Á .
Các dự án kiểm toán có tiếng :
L1/L2: Avalanche, Chuỗi BNB, Polygon
DeFi: Maker, Curve, Gearbox, 1inch, dYdX
Cơ sở hạ tầng: Starkware
Liên quan đến chuỗi Chuỗi: Multichain, PolyNetwork
Rái cáSec
Các thành viên cốt lõi của OtterSec có mặt trên khắp thế giới và các thành viên cốt lõi của đội ngũ kỹ thuật, bao gồm cả người sáng lập Robert Chen , đều là những người tham gia tích cực vào nền tảng HackerOne lỗi mã (Bug Bounty) trước đây. Công ty đã tham gia vào nhiều dự án cơ sở hạ tầng và DeFi quan trọng Sui và Solana .
Các dự án kiểm toán có tiếng ( danh mục kiểm toán )
Hệ sinh thái Sui : Navi, Scallop, Cetus, volo, Mysten zk login, Bluefin
Hệ sinh thái Solana : Solayer, Sanctum, Jito, Jupiter, Raydium, Pyth
Cầu nối xuyên chuỗi: Wormhole , LayerZero
Cơ sở hạ tầng: Celestia , Cosmos , NEAR, Solana
Code4rena - Nền tảng chiến dịch tiền thưởng kiểm toán
Code4rena là một nền tảng cạnh tranh kiểm toán bảo mật web3, khác với các dịch vụ kiểm toán truyền thống và phần thưởng lỗi, nó thiết lập một cơ chế đánh giá phần thưởng hoàn thiện, thu hút các bên dự án tạo ra nhóm giải thưởng lỗi, khuyến khích các chuyên gia tư nhân hợp đồng thông minh tham kiểm toán và giành được chiến thắng. -Tình hình có lợi cho cả ba bên.
Được thành lập vào năm 2021, nó đã nhận được khoản tài trợ 6 triệu đô la từ Paradigm vào năm 2023 (được mua bằng tiền mặt $ARENA). Người đồng sáng lập Scott Lewis cũng là một nhà sáng lập nối tiếp và nhà đầu tư thiên thần. Ông là người đồng sáng lập DeFi Pulse, SlingShot và các dự án khác, đồng thời cũng là người đóng góp cốt lõi cho Canto.
Trong nhóm giải thưởng Debug hiện đang hoạt động, kiểm toán tư nhân có thể cùng nhau chia sẻ hàng chục nghìn USDC. Trước đây, zkSync đã thiết lập một nhóm giải thưởng Debug cao ngất ngưởng lên tới 1,1 triệu đô la Mỹ trong Code4rena.
Các dự án tham gia có tiếng:
DeFi: Aave, GMX
Cơ sở hạ tầng: EigenLayer, Optimism siêu Chuỗi quan, Chainlink, ENS
L1/L2: Căn cứ, Polkadot, Starknet, zkSync
DePIN: Biểu đồ
NFT: OpenSea, Blur
bản tóm tắt
Duy trì một công ty kiểm toán tốt không phải là điều dễ dàng. CertiK đã trở nên nổi tiếng vào năm 2021, nhưng chúng tôi không thể lường trước được rằng sẽ có những điều đáng tiếc xảy ra. Cũng trong năm 2024, chúng ta khó có thể tìm ra công ty nào đang gặp phải vấn đề tương tự. Thường phải mất lần sự cố bảo mật mới được xác minh nhiều lần.
Ngoài ra, đánh giá công ty kiểm toán có thất bại trong nhiệm vụ không chỉ dựa vào mối quan hệ về thời gian mà cần phải xem xét chi tiết nội dung báo cáo kiểm toán . Ví dụ: BlockSec đã chỉ ra các vấn đề với Multichain ngay từ một năm trước khi nó bị hack, nhưng phía dự án đã không cải thiện nó.
Phải mất lượng lớn thời gian để xem xét toàn bộ báo cáo kiểm toán , nhưng các nhà đầu tư tập trung vào việc đánh giá dự án có thể cân nhắc hợp tác với nhiều công ty kiểm toán để có được sự tin cậy của thị trường bằng cách đảm bảo an toàn mã chương trình.
