Công bố: Các quan điểm và ý kiến được thể hiện ở đây thuộc về tác giả và không đại diện cho quan điểm và ý kiến của biên tập viên của crypto.news.
Các cuộc kiểm toán bảo mật là rất quan trọng—nhưng các kết quả của chúng thường không bị thách thức, trong khi một cuộc đánh giá duy nhất không thể luôn phát hiện tất cả các lỗ hổng. Các cuộc kiểm toán công, thúc đẩy các hacker mũ trắng kiểm tra lại kết quả của cuộc kiểm toán thông qua các động lực DeFi, có thể tăng cường bảo mật cho toàn bộ web3—vì chúng sẽ làm cho các phần thưởng lỗi trở nên dễ tiếp cận ngay cả với các dự án quy mô nhỏ.
Bạn cũng có thể thích: Ví tiền điện tử có thể bảo vệ dữ liệu cá nhân của bạn | Ý kiến
Tại sao các cuộc kiểm toán thông thường không phải lúc nào cũng đủ
Theo Báo cáo Bảo mật Q3 của Hacken, ngành web3 đã mất một số tiền khổng lồ là 1,8 tỷ đô la chỉ trong năm 2024. Gần 40% trong số những thiệt hại này là do các vấn đề có thể ngăn chặn như lỗ hổng hợp đồng thông minh và các cuộc tấn công tái nhập. Đáng báo động, 90% các dự án bị hack chưa từng trải qua bất kỳ cuộc kiểm toán nào, nhấn mạnh một thiếu sót nghiêm trọng trong bảo mật.
Các cuộc kiểm toán bảo mật truyền thống rất cần thiết—chúng cung cấp các đánh giá sâu sắc, do chuyên gia thực hiện tại các điểm quan trọng trong vòng đời của một dự án, đảm bảo an toàn cho quỹ của người dùng. Tuy nhiên, do tính chất tập trung của những cuộc kiểm toán này, thường không có cơ hội nào để thách thức các phát hiện của họ—trừ khi một dự án đầu tư vào một cuộc kiểm toán thứ hai, điều này rất hiếm khi xảy ra. Mong đợi một cuộc đánh giá đơn lẻ phát hiện tất cả mọi thứ là không thực tế, vì ngay cả những kiểm toán viên tận tâm nhất cũng có thể mắc phải lỗi của con người.
Giải pháp cho vấn đề này nằm trong tinh thần phi tập trung của web3. Các dự án tiền điện tử có thể thu hút một cộng đồng hacker mũ trắng rộng lớn hơn cho các cuộc kiểm toán công, do đó cung cấp các đánh giá bảo mật phi tập trung, liên tục và do cộng đồng dẫn dắt.
Kiểm toán bảo mật phi tập trung: Nguyên tắc & lợi ích
Vấn đề số một trong việc thiết kế các cuộc kiểm toán phi tập trung là cung cấp động lực mạnh mẽ cho các kiểm toán viên độc lập trong khi đảm bảo rằng chúng không phát sinh chi phí bổ sung cho các dự án. Hãy để tôi phác thảo một cách có thể để đạt được sự cân bằng này thông qua các công cụ DeFi.
Hãy tưởng tượng nền tảng bảo mật ra mắt một quỹ phần thưởng dựa trên hợp đồng thông minh mỗi khi có một khách hàng mới yêu cầu kiểm toán. Công ty sẽ lấp đầy quỹ này bằng một phần chi phí kiểm toán trong khi các chủ sở hữu token của nó thêm nhiều hơn bằng cách staking token của nền tảng. Sau khi nền tảng hoàn thành kiểm toán của riêng mình, các nhà nghiên cứu bảo mật độc lập tham gia vào trò chơi—và kiểm tra lại mã của khách hàng. Khi cuộc kiểm toán cộng đồng hoàn thành, các kiểm toán viên độc lập và những người staking thu thập phần thưởng từ quỹ.
Đây là cách mà DualDefense Flash Pools hoạt động trong Hacken. Mỗi khách hàng trả tiền cho một cuộc kiểm toán riêng tư sẽ nhận được một cuộc kiểm toán công cộng bổ sung, tạo ra một mô hình bảo mật hai lớp. Và trong tinh thần thực sự của DeFi, sự tham gia của cộng đồng được khuyến khích bằng các phần thưởng staking.
Cách tiếp cận này có những lợi ích sâu rộng: cộng đồng có được một công cụ APY thực cao, các kiểm toán viên hoan nghênh việc kiểm tra đồng nghiệp các phát hiện của họ, và các hacker mũ trắng kiếm được phần thưởng cho các phát hiện lỗi hợp lệ—ngay cả khi phát hiện mã sạch. Đối với các dự án tiền điện tử, điều này có nghĩa là sự đảm bảo cao hơn về an toàn của mã của họ. Đối với toàn bộ ngành công nghiệp web3, điều này cung cấp một cách tiếp cận khả thi để tăng cường bảo mật và chống lại tội phạm mạng.
Các cuộc kiểm toán phi tập trung dân chủ hóa quyền truy cập vào bảo mật cho các dự án web3, đặc biệt là những dự án mới. Nhiều startup tiền điện tử có các MVP tuyệt vời nhưng thường thiếu tài nguyên cho các phần thưởng lỗi truyền thống, điều này có thể tốn kém—không ai có thể dự đoán số lượng lỗi mà các hacker đạo đức có thể phát hiện. Mô hình mà chúng tôi đề xuất giải quyết điều này bằng một quỹ phần thưởng cố định, được cộng đồng tài trợ, làm cho bảo mật trở nên dễ tiếp cận và dự đoán từ đầu.
Việc triển khai mô hình này đặt ra một rủi ro khá rõ ràng cho các công ty kiểm toán: nó đặt uy tín của nền tảng vào tình thế nguy hiểm bằng cách cho phép các kiểm toán viên bên ngoài xác minh công việc của mình. Tuy nhiên, theo cách này, công ty có thêm động lực để tiếp cận mỗi cuộc kiểm toán một cách cẩn thận hơn, biết rằng kết quả công việc của mình sẽ công khai—cuối cùng, điều này sẽ có lợi cho toàn bộ ngành công nghiệp. Các kiểm toán viên hợp đồng thông minh không nên rời đi sau một cuộc kiểm toán—đã đến lúc phải táo bạo và chịu trách nhiệm.
Cuối cùng, các quỹ kiểm toán công cộng giới thiệu điều mà DeFi còn thiếu—các phần thưởng được đảm bảo bằng tiền thật. Mô hình này đảm bảo rằng lợi nhuận của người dùng không bị ảnh hưởng bởi việc phát hành token lạm phát, thường dẫn đến tăng trưởng không bền vững và giá trị giảm dần theo thời gian. Thay vào đó, người dùng có được lợi từ hoạt động thị trường thực, tạo ra một bước tiến tới các mô hình tài chính bền vững hơn trong DeFi.
Kết hợp các cuộc kiểm toán truyền thống với các cuộc kiểm toán được cộng đồng hỗ trợ mở đường cho một mô hình bảo mật mạnh mẽ phù hợp với các dự án ở mọi quy mô. Các cuộc kiểm toán công cộng, được hỗ trợ bởi các động lực thúc đẩy DeFi, đánh dấu một bước chuyển mình hướng tới một văn hóa bảo mật tiếp cận, vững chắc và chủ động trong web3.
Đọc thêm: Giáo dục là chìa khóa để mở rộng việc áp dụng tiền điện tử | Ý kiến
Tác giả: Dyma Budorin
Dyma Budorin là đồng sáng lập và Giám đốc điều hành của Hacken, công ty kiểm toán bảo mật blockchain hàng đầu, đồng chủ tịch của EEA DRAMA (một nhóm Đánh giá Rủi ro DeFi và Quản lý Kế toán), và đồng tác giả của các tiêu chuẩn ngành công nghiệp tiền điện tử. Sau hơn tám năm kinh nghiệm kiểm toán tại Deloitte, ông đã làm cố vấn kiểm toán tại Ukrspetsexport và phó giám đốc chiến lược và phát triển tại Ukrinmash (cả hai đều là cơ quan nhà nước của Ukraine). Là một người đam mê tiền điện tử và chuyên gia an ninh mạng, Dyma đã có những ý kiến của mình được đăng tải trên BBC, Wired, Cointelegraph, Coindesk và các phương tiện truyền thông uy tín khác. Ông cũng là Phó Chủ tịch Hiệp hội Blockchain của Ukraine.
