Kiểm toán rất quan trọng, nhưng chúng không phải là lá chắn thần kỳ. Đó là kết luận thẳng thắn từ một bài đăng gần đây của nền tảng phân tích dữ liệu blockchain Sentora, kèm theo biểu đồ cột thể hiện số tiền hàng tỷ đô la bị mất trong các vụ tấn công và khai thác DeFi . Dữ liệu bao gồm giai đoạn từ năm 2020 đến năm 2025 (không bao gồm sự sụp đổ của Terra ) và đưa ra một điểm rõ ràng, khó chịu: ngay cả những dự án đã trả tiền cho việc đánh giá bảo mật cũng đã mất một khoản tiền lớn.
“Kiểm toán là điều cần thiết cho DeFi, nhưng không phải là sự đảm bảo,” Sentora viết. “Các dự án được kiểm toán đã ghi nhận khoản lỗ hơn 3,3 tỷ đô la trong giai đoạn 2020-2025, do các vụ gian lận, rò rỉ khóa riêng tư và những thay đổi sau kiểm toán. Kiểm toán DeFi là tiêu chuẩn cơ bản, nhưng quản lý rủi ro hiệu quả vẫn đòi hỏi phải chủ động theo dõi rủi ro.”
Biểu đồ kèm theo, phân loại tổn thất theo đơn vị kiểm toán, cho thấy các dự án chưa được kiểm toán chịu thiệt hại lớn nhất, ước tính khoảng 5 tỷ đô la, nhưng nó cũng cho thấy các dự án đã được kiểm toán và các công ty nổi tiếng như Certik, NCC Group và Trail of Bits cũng không tránh khỏi ảnh hưởng.
Một vấn đề nhiều lớp
Nhìn chung, hình ảnh và bản tóm tắt của Sentora phác họa một vấn đề đa tầng. Một phần là điều hiển nhiên: các dự án bỏ qua hoặc làm tắt các bước kiểm toán đã phải trả giá. Một phần khác, cũng quan trọng không kém, là bản thân các cuộc kiểm toán chỉ là những bức ảnh chụp nhanh, thường được thực hiện trước khi chỉnh sửa mã vào phút cuối, thay đổi quản trị hoặc giới thiệu các khóa quản trị mới.
Những sửa đổi sau kiểm toán đó, cùng với các cuộc tấn công kỹ thuật xã hội nhằm đánh cắp khóa riêng tư và các hành vi rút rug bất chính từ nội bộ, chiếm một phần lớn trong số 3,3 tỷ đô la tổn thất mà Sentora đã cảnh báo cho các dự án được kiểm toán. Biểu đồ cũng nêu bật một hạng mục trung gian, một nhóm dài các kiểm toán viên nhỏ hơn được nhóm lại là “Khác (68)”, chiếm một phần đáng kể trong tổng số tổn thất.
Điều đó cho thấy vấn đề không chỉ nằm ở việc dự án có được kiểm toán hay không, mà còn ở chất lượng và tính toàn diện của cuộc kiểm toán, phạm vi của người kiểm toán và những gì xảy ra sau khi báo cáo được ban hành. Một cuộc kiểm toán bỏ sót các giả định thiết kế quan trọng, hoặc một nhóm kiểm toán bỏ qua các biện pháp giảm thiểu rủi ro được khuyến nghị, sẽ tạo ra kẽ hở cho các vấn đề khác.
Các chuyên gia bảo mật đã nói từ nhiều năm nay rằng một cuộc kiểm tra duy nhất nên được coi là sự khởi đầu của một chương trình bảo mật, chứ không phải là đích đến. Giám sát liên tục, triển khai theo từng giai đoạn, kiểm soát Đa chữ ký , khóa thời gian cho các chức năng đặc quyền, chương trình tìm lỗi chủ động và các sản phẩm bảo hiểm đều là một phần của phương pháp tiếp cận toàn diện hơn.
Thông điệp của Sentora nhấn mạnh rằng các cuộc kiểm toán đặt ra tiêu chuẩn tối thiểu, nhưng các nhóm và nhà đầu tư phải tăng cường các biện pháp bảo vệ và tiếp tục giám sát. Đối với một hệ sinh thái DeFi coi trọng khả năng kết hợp và sự lặp lại nhanh chóng, sự căng thẳng là có thật. Các nhà phát triển muốn tung ra các tính năng và thay đổi hướng đi nhanh chóng; các nhà kiểm toán cần phạm vi và thời gian để kiểm tra kỹ lưỡng; những kẻ tấn công tìm kiếm những khoảng thời gian ngắn ngủi giữa hai bên.
Kết luận từ dữ liệu rất đơn giản nhưng cũng đầy khó khăn: chi tiêu cho kiểm toán vẫn sẽ cần thiết, nhưng cộng đồng cũng cần kỷ luật sau kiểm toán tốt hơn và các biện pháp bảo vệ hoạt động hiệu quả hơn nếu muốn giảm thiểu tổn thất một cách đáng kể.
Bài đăng và biểu đồ của Sentora nhắc nhở chúng ta rằng bảo mật trong DeFi là một quy trình, không phải là một chứng chỉ. Kiểm toán giúp tìm ra vấn đề, nhưng không ngăn chặn được vấn đề xảy ra. Cho đến khi các nhóm coi bảo mật là một công việc liên tục chứ không phải là một việc chỉ cần đánh dấu vào ô kiểm, thì các con số thống kê về lỗ hổng bảo mật có thể sẽ tiếp tục tăng lên.
