Bảo mật chuỗi khối: Làm thế nào để hiểu kiểm toán chuỗi khối để giữ an toàn trong DeFi

Năm vừa qua là một khoảng thời gian khá đen tối đối với tiền điện tử. Chúng ta không chỉ chứng kiến ​​sự sụp đổ thảm khốc của Luna, sự xuống cấp của 3 Arrows Capital, tình trạng mất khả năng thanh toán và phá sản với BlockFi, Celsius, Voyager, VAULD, v.v., các điều kiện kinh tế vĩ mô đã đẩy chúng ta vào sâu trong mùa đông tiền điện tử, mà còn đó cũng là một năm thảm khốc đối với các vụ hack và khai thác blockchain và DeFi, dẫn đến việc mọi người chạy trốn khỏi DeFi nhanh hơn những người bơi lội chạy trốn khỏi vùng nước có cá mập.

Bây giờ có lẽ bạn đang nghĩ cho chính mình, “wow, cảm ơn vì phần giới thiệu buồn. Tiền điện tử giống như một bãi mìn!”

Và bạn không sai ở đó, tiền điện tử chắc chắn có những rủi ro tương đối. Nhưng trước khi để tất cả sự diệt vong và u ám này khiến bạn muốn từ bỏ tiền điện tử mãi mãi và trốn dưới gầm giường của mình, đừng sợ, vì bài viết này sẽ giúp hướng dẫn bạn cách điều hướng vùng biển DeFi theo cách an toàn nhất có thể và cho bạn thấy những gì bạn cần biết về kiểm toán bảo mật blockchain.

Mặc dù điều này sẽ không giúp bảo vệ trước mọi rủi ro trong tiền điện tử, nhưng không có cách nào bảo vệ người quyết định “YOLO” tiền tiết kiệm cả đời của họ thành memecoin tiếp theo, nhưng thông tin trong bài viết này ít nhất sẽ giúp trang bị cho bạn thêm một mũi tên nữa trong ống tên của mình mà bạn có thể triển khai để cải thiện đáng kể khả năng điều hướng an toàn tổng thể của bạn trong không gian DeFi.

Chỉ để xoa dịu một số nỗi sợ hãi ngay từ đầu, đừng lo lắng về việc bài viết này quá kỹ thuật. Hướng dẫn hữu ích này sẽ rất dễ hiểu đến nỗi ngay cả bố tôi, người gọi toàn bộ ngành công nghiệp tiền điện tử là “Thứ Bitcoin đó” cũng có thể hiểu được.

Và bởi vì tôi gần như thành thạo các kỹ năng phát triển chuỗi khối giống như cắt tóc, nên tôi đã quyết định nhờ một số trợ giúp chuyên nghiệp và lời khuyên nội bộ cho bài viết này. Tôi đã liên hệ với bạn bè của chúng tôi tại Ackee chuỗi khối để giúp dạy cho bản thân tôi và Joe bình thường biết tất cả những cuộc kiểm toán blockchain này là về cái quái gì.

Tôi muốn gửi lời cảm ơn sâu sắc tới nhóm Ackee vì đã dành thời gian giúp đỡ chúng tôi và cộng đồng của chúng tôi bằng cách dạy chúng tôi các nguyên tắc cơ bản về kiểm toán chuỗi khối và cộng tác với chúng tôi trong bài viết này. Báo cáo kiểm tra chuỗi khối và DeFi là một khía cạnh cực kỳ quan trọng của tiền điện tử và là điều mà rất ít người trong chúng ta thực sự hiểu.

Khi thực hiện thẩm định của mình trong việc xác định mức độ an toàn và bảo mật của giao thức DApp hoặc DeFi, nhiều người trong chúng ta sẽ tìm kiếm thứ gì đó cho biết nền tảng đã được kiểm tra và có thể nghĩ, “được thôi, đủ tốt rồi”. Tôi biết tôi đã từng phạm tội đó trong quá khứ, nhưng việc đã được kiểm toán thực sự có nghĩa là gì? Làm thế nào chúng ta có thể xác minh điều này? Và như bạn sẽ tìm hiểu trong bài viết này, chỉ vì một thứ gì đó đã được kiểm toán, điều đó không có nghĩa là nó sẽ tự động được bật đèn xanh.

Để bắt đầu, hãy xem các công ty kiểm toán blockchain thực sự làm gì.

Các công ty kiểm toán Blockchain làm gì?

Khi chúng ta nghe đến thuật ngữ “kiểm toán”, nhiều người trong chúng ta tự động hình dung ra một ông già xuề xòa trong bộ vest làm việc cho chính phủ, người sẽ đến gõ cửa và xem xét tất cả các báo cáo tài chính và ngân hàng của chúng ta bằng một chiếc lược chải chuốt. Trong ngành tài chính truyền thống, bạn có thể đúng, nhưng các kiểm toán viên chuỗi khối không thể xa hơn thế.

Kiểm toán viên chuỗi khối không phải là kế toán theo bất kỳ cách tưởng tượng nào, họ là chuyên gia về kỹ năng mã hóa và nhà phát triển, những người tìm kiếm lỗi, sai sót và mã độc hại trong mã nguồn của dự án chuỗi khối, hợp đồng thông minh hoặc mã thông báo tiền điện tử.

Các công ty kiểm toán khác nhau cũng có thể chuyên về các lĩnh vực khác nhau, đó là lý do tại sao bạn nên xem một nền tảng đã được nhiều công ty kiểm toán. Mọi cuộc kiểm toán được thực hiện đều làm giảm rủi ro và một công ty có thể phát hiện ra điều gì đó mà công ty kia đã bỏ sót.

1inch là một ví dụ tuyệt vời về điều này. 1inch là công cụ tổng hợp DEX đã được kiểm tra bởi nhiều công ty khác nhau, điều này giúp nâng cao niềm tin của người dùng đối với nền tảng và nhấn mạnh rằng nhóm 1inch có cam kết mạnh mẽ để đảm bảo an toàn cho cộng đồng của mình.

Các công ty kiểm toán chuỗi khối sẽ có một đội ngũ kỹ sư có thể thực hiện các nhiệm vụ như:

• Kiểm toán an ninh
• Phân tích công cụ
• Đánh giá mã thủ công
• Chạy và viết kiểm thử tự động
• Tiến hành cuộc thi Bug Bounty

Trong khi các công ty kiểm toán khác như Ackee Blockchain cũng có thể đáp ứng các yêu cầu “đầy đủ dịch vụ” hơn và trợ giúp trong các lĩnh vực bổ sung như:

• Tạo hợp đồng thông minh an toàn trên Solidity hoặc Rust
• Hỗ trợ Xây dựng một hệ sinh thái đầy đủ, xử lý UX, thiết kế, giao diện người dùng, phụ trợ và DevOps

Ackee Blockchain cũng đóng góp cho toàn bộ ngành công nghiệp blockchain, điều này thật tuyệt. Họ đã phát triển các công cụ bảo mật nguồn mở mà bất kỳ ai cũng có thể sử dụng và đam mê giảng dạy cũng như tạo cơ hội cho các nhà phát triển blockchain đầy tham vọng. Trước đây, họ đã tổ chức các khóa học trực tuyến cho các nhà phát triển muốn làm việc trong lĩnh vực blockchain và thậm chí đã nhận được tài trợ từ Quỹ Solana để điều hành một trường hè cho Solana.

Nhóm cung cấp các trường học hè trực tuyến nơi họ dạy Solidity và vào mùa thu năm 2022, Giám đốc điều hành và đồng sáng lập của Ackee Blockchain, Josef Gattermayer, Ph.D. sẽ giảng dạy các chủ đề xung quanh phát triển chuỗi khối tại Đại học kỹ thuật Séc tại Prague. Rất đáng để liên hệ với nhóm Ackee, đăng ký các khóa học trên trang web của họ và theo dõi họ nếu bạn quan tâm đến tương lai phát triển và bảo mật chuỗi khối.

Như bạn có thể thấy, kiểm toán chuỗi khối có thể không chỉ đơn thuần là mò mẫm trong phòng tối và lướt qua mã, có toàn bộ hệ sinh thái được gói gọn trong phân khúc thích hợp.

Tại sao Kiểm tra Blockchain lại quan trọng?

Nếu con người là hoàn hảo, thì sẽ không cần các công ty kiểm toán blockchain vì mọi dòng mã sẽ được viết hoàn hảo và hoàn toàn không bị khai thác, lỗi và tấn công.

Điều thậm chí còn tồi tệ hơn việc con người phạm sai lầm, đó là con người có thể tham nhũng và hiểm độc. Một điều khá thường xuyên xảy ra là những kẻ xấu sẽ cố tình nhập mã độc vào giao thức của họ để cho phép họ khai thác nền tảng mà họ đã tạo để đánh cắp tiền của người dùng.

Giữa lỗi của con người và mục đích xấu, hợp đồng thông minh và ứng dụng chuỗi khối/DApp dễ gặp phải các rủi ro sau:

• Tấn công từ chối dịch vụ khiến giao thức không sử dụng được.
• Rug pull/trộm cửa sau nơi những người sáng lập nhập mã độc cho phép họ rút tiền được đặt vào một hợp đồng thông minh.
• Khai thác mã theo cách có lợi cho tin tặc và gây hại cho người dùng, chẳng hạn như đúc mã thông báo mới ngoài các phương pháp dự định hoặc rút tiền của khách hàng từ hợp đồng thông minh.
• Một số tin tặc chỉ đơn giản là muốn “ngắm thế giới bùng cháy” và sẽ khai thác bất kỳ lỗi nào mà chúng có thể tìm thấy để làm hỏng nền tảng.

Nhiều người dùng DeFi coi một trong những điều quan trọng nhất cần tìm kiếm trong nền tảng DeFi là liệu mã có phải là mã nguồn mở hay không. Đây là bước đầu tiên tuyệt vời vì nhiều dự án sẽ xuất bản mã trên trang web công khai như Github, nơi mọi người có thể truy cập và kiểm tra/xác minh mã cho chính họ.

Khi xem trang GitHub của dự án, đây thường là một trong những điều mà người dùng đang cân nhắc sử dụng DApp tìm kiếm, sử dụng lại 1inch làm ví dụ:

Đây là một cách tiếp cận ban đầu tốt để thực hiện khi xác minh tính xác thực của một giao thức vì đây là nơi các thành viên cộng đồng hoặc bất kỳ ai có thể truy cập và xác minh không có mã độc nào ẩn trong đó.

Cũng rất hữu ích khi biết rằng bất kỳ ai cũng có thể đăng bất kỳ thứ gì lên GitHub. Mã được đăng trong GitHub không tự động xác nhận rằng đó là cùng mã chạy hợp đồng thông minh. May mắn thay, người dùng có thể xác minh điều này bằng cách truy cập trình khám phá khối như Etherscan và kiểm tra xem mã trong GitHub có thực sự được triển khai và sử dụng hay không. Đây là Mã thông báo 1 inch trong Etherscan, Ví dụ. Tôi có xu hướng đồng ý với quan điểm rằng xuất bản nguồn mở lên GitHub là một dấu hiệu tốt, nhưng với tôi, khi tôi nhấp vào GitHub để xem, tất cả những gì tôi thấy là:

Vì vậy, thay vì bộ não của tôi rán như một quả trứng trên vỉa hè nóng để cố gắng tìm ra điều này, tôi muốn thấy rằng một nhóm các chuyên gia từ một công ty kiểm toán blockchain đã tìm hiểu kỹ tất cả những điều này và đã đồng ý với nó.

Điều quan trọng là phải làm rõ một điều, đó là chỉ vì một giao thức đã được kiểm tra, điều đó không có nghĩa là giao thức đó an toàn 100%. Không có mã nào có thể được coi là hoàn toàn không bị tấn công bởi các nỗ lực hack vì các công cụ và kỹ năng của tin tặc ngày càng tinh vi hơn. Giống như các hacker mũ trắng (tốt) và các nhà phát triển blockchain ngày càng trở nên tốt hơn và không ngừng phát triển, thì những kẻ xấu cũng vậy.

Bạn có thể coi nó giống như trò chơi mèo vờn chuột, viết mã về cơ bản giống như xây dựng một câu đố sáng tạo và giải quyết vấn đề, và tin tặc đang tìm cách giải hoặc tấn công câu đố theo những cách ngày càng thông minh và tinh vi, vì vậy sẽ có luôn luôn là một yếu tố của rủi ro.

Tại sao năm 2022 lại đặc biệt tồi tệ đối với việc khai thác tiền điện tử

Khi chúng ta thấy những tiêu đề như thế này:

Nó có thể khá đau lòng. Ngành công nghiệp tiền điện tử đã bị coi thường nghiêm trọng vì dường như mỗi tuần lại có một vụ hack hoặc khai thác lớn khác dẫn đến hàng triệu đô la bị mất.

Điều này không chỉ đáng buồn vì đây là những người bình thường bị mất tiền, mà còn đáng lo ngại vì những cuộc tấn công này đang khiến toàn bộ ngành công nghiệp tiền điện tử phải hứng chịu những chỉ trích ngày càng gay gắt, làm chậm quá trình áp dụng, khiến các nhà đầu tư tránh xa và cung cấp cho các chính phủ những lý do mà họ cần để tăng cường thẩm quyền. kiểm soát để “bảo vệ” các nhà đầu tư, thường áp đặt các biện pháp hà khắc khiến nhiều người trong chúng ta chuyển sang tiền điện tử để trốn thoát.

Lý do chính cho điều này là do kỹ thuật của nhà phát triển cẩu thả.

Khi tôi ngồi xuống với Josef từ Ackee, tôi đã hỏi anh ấy về lý do tại sao lại có số lượng khai thác kỷ lục, lời giải thích của anh ấy rất có lý.

Diễn giải một cách nặng nề, Josef tiếp tục giải thích với tôi rằng ngành công nghiệp tiền điện tử đang phát triển nhanh chóng và có một cuộc đua khốc liệt để các nhóm tung ra sản phẩm của họ. Thiếu các nhà phát triển blockchain có kỹ năng và kinh nghiệm có thể đáp ứng nhu cầu, dẫn đến nhiều dự án thuê các nhà phát triển mới làm quen và có thái độ “đủ tốt”, khởi chạy DApps mà không thực hiện kiểm tra và kiểm toán thích hợp.

Josef cũng tiếp tục giải thích rằng nhu cầu về dịch vụ kiểm toán blockchain đang tăng vọt và không có đủ công ty kiểm toán blockchain để đáp ứng nhu cầu từ các dự án. Điều này dẫn đến việc các nhóm dự án không muốn đợi nhóm kiểm toán sẵn sàng, vì vậy họ tiếp tục và khởi chạy hoặc phát hành bản nâng cấp mà không cần kiểm tra hoặc dựa vào kiểm tra lỗi thời không bao gồm phiên bản mới hoặc lặp đi lặp lại của một nền tảng.

Chủ đề này đặc biệt xuất hiện trong đợt tăng giá năm 2021, nhưng hiện tại mọi thứ đã thoải mái hơn nhiều khi chúng ta đang ở trong một thị trường giá xuống. Các dự án không quá vội vàng để khởi động và có ít dự án trong nút cổ chai kiểm toán hơn. Đúng là thị trường giá xuống là thời điểm để xây dựng và các nhóm có xu hướng áp dụng cách tiếp cận cẩn trọng hơn trong thời gian thị trường chậm hơn.

Chúng tôi đã xem xét hai cuộc tấn công thành công cụ thể đã xảy ra để điều tra chính xác những gì đã xảy ra, để giúp đưa tất cả những điều này vào quan điểm.

Vụ hack Ethereum DAO năm 2016

Về cơ bản, những gì đã xảy ra ở đây được gọi là lỗi vào lại. Nói một cách đơn giản, mã này thực thi hai hướng dẫn:

1. Thu hồi
2. Cập nhật số dư

Nếu được thực hiện theo trình tự thời gian, nó sẽ hoạt động như bình thường. Nhưng vì Ethereum là một hệ thống phân tán (không giống như các chương trình web2), hợp đồng có thể được gọi từ một hợp đồng khác mang đến tùy chọn triển khai chức năng gọi lại tùy chỉnh được gọi từ lệnh rút tiền.

Và chức năng gọi lại này do tin tặc thực hiện sẽ gọi lại hợp đồng nhiều lần trước khi lệnh cập nhật số dư cuối cùng được thực thi. Điều này cho phép kẻ tấn công rút tiền nhiều lần.

Đây là một sai lầm thường xuyên được thực hiện bởi các nhà phát triển web3 mới làm quen. Thậm chí 5 năm sau cuộc tấn công này, vấn đề vẫn phát sinh từ việc các nhà phát triển không dành thời gian để học hỏi từ trường hợp này. Giải pháp khá đơn giản trong trường hợp này, đó là chỉ cần đặt hai dòng mã đó theo thứ tự ngược lại. Cập nhật đầu tiên, sau đó rút tiền.

Kiểm toán viên tìm kiếm các sự cố đã biết như thế này khi kiểm tra một giao thức.

Cuộc Tấn Công Lỗ Sâu Solana 2022

Năm 2022 đã không có một khởi đầu thuận lợi với cuộc tấn công lớn đầu tiên xảy ra vào Solana vào đầu tháng Hai. Kẻ tấn công đã bỏ qua xác minh chữ ký trong chương trình Rust nên có vẻ như những người bảo vệ đã ký vào khoản tiền gửi 120 nghìn ETH vào Wormhole trên Solana, mặc dù họ không làm như vậy. Kẻ tấn công sau đó đúc ETH được gói trị giá 120 nghìn trên Solana.

Trước cuộc tấn công lỗ sâu này, nhiều người trong cộng đồng tiền điện tử cho rằng việc phát triển Solana và Rust quá khó học để thu hút các nhà phát triển nghiệp dư. Điều này dẫn đến niềm tin rằng chỉ những nhà phát triển giỏi nhất mới làm việc trên Solana, nghĩa là không cần phải kiểm tra nhiều. Sau cuộc tấn công này, Josef đã đề cập rằng anh ấy và nhóm của mình đã nhận thấy sự gia tăng đáng kể các yêu cầu kiểm tra đối với các giao thức và DApp Solana.

Sau tất cả những điều này, bạn có thể nghĩ rằng nếu con người là nguồn gốc của lỗi và mục đích gây hại, thì sẽ không hợp lý nếu chỉ có máy tính và máy Trí tuệ nhân tạo không có khả năng mắc lỗi và không có ý định xấu chỉ viết tất cả mã này cho chúng tôi?

Đó là một câu hỏi hay, và vì những bài báo như bài báo trên, đây cũng là điều mà tôi đã nghĩ đến. Chúng tôi sẽ đề cập đến điều đó trong phần tiếp theo.

Tương lai của bảo mật chuỗi khối

Rõ ràng là chúng ta đang hướng tới một tương lai nơi nhiều công việc của chúng ta sẽ được giao cho máy tính và các chương trình AI có thể thực hiện công việc của con người tốt hơn nhiều so với khả năng của chúng ta.

Chúng ta đã thấy điều này với các nhân viên thu ngân tự động và các nhà máy sản xuất ô tô có nhiều robot hơn con người. Máy tính thậm chí còn đảm nhận những công việc chuyên môn cao như bác sĩ và dược sĩ, vì rô-bốt có thể sử dụng dao mổ chính xác hơn và chương trình máy tính có thể quét toàn bộ cơ sở dữ liệu về thuốc và chỉ trong vài giây đưa ra các báo cáo về những loại thuốc có thể và không thể trộn lẫn với các hóa chất khác và thuốc, một nhiệm vụ bất khả thi đối với con người.

Tôi đã nghĩ chắc chắn rằng lập trình và phát triển sẽ là một trong những công việc đầu tiên bị máy tính thay thế. Nếu đó là tất cả các chữ cái và số trên màn hình được xây dựng theo cách để hoàn thành một số tác vụ nhất định, thì chắc chắn máy tính có thể làm điều đó tốt hơn con người, với ít lỗi hơn phải không?

Tôi đã nghĩ rằng các công ty kiểm toán blockchain sẽ đi theo con đường của loài chim Dodo (đã tuyệt chủng), vì một khi máy tính bắt đầu phát triển tự chủ, sẽ không có lỗi nào để tìm ra. Điều này cho thấy tôi biết rất ít về việc phát triển khi nhóm Ackee giải thích một số khái niệm mà tôi không đánh giá cao.

Phần lớn quá trình phát triển chuỗi khối là giải quyết vấn đề và xem xét góc nhìn 360 độ về một vấn đề. Nó đòi hỏi rất nhiều sự sáng tạo và suy nghĩ “ngoài khuôn khổ” mà máy tính không thể làm được. Nó không đơn giản như “khi 'X' xảy ra, hãy thực hiện 'Y'.”

Chúng ta cũng cần cân nhắc rằng nhiều DApp và ứng dụng này đang cố gắng giải quyết các vấn đề “con người” và cách chúng ta tương tác với các hệ thống, giao thức và quy trình. Xin lỗi Bot Bơ nhỏ, nhưng bạn không thể hiểu được các vấn đề của con người và đưa ra các giải pháp của con người.

Các công việc trong lĩnh vực phát triển chuỗi khối và bảo mật không chỉ tăng vọt mà có vẻ như sẽ có nhu cầu về những vai trò này trong nhiều năm tới.

Điều đó không có nghĩa là không có tự động hóa xảy ra trong không gian phát triển web3. Có rất nhiều công cụ miễn phí dành cho nhà phát triển cung cấp cho họ một số phản hồi về bảo mật và giúp giảm tải một số công việc để nhà phát triển có thể tập trung vào các nhiệm vụ khác.

Ví dụ: trên Ethereum, có một trình phân tích mã tĩnh tốt tên là Trợt rất phổ biến và Ackee Blockchain đang làm việc trên bộ phân tích tĩnh mã nguồn mở của riêng họ có tên là Tỉnh dậy, phát hiện những thứ khác với Slither, giảm bớt gánh nặng phải phân tích mã theo cách thủ công.

Nhóm Ackee cũng đã phát hiện ra một xu hướng trên Solana liên quan đến vấn đề với các bài kiểm tra. Các nhà phát triển đã không viết đủ chúng vì nó khá tốn công sức, với nhu cầu viết rất nhiều mã soạn sẵn. Vì vậy, Ackee Blockchain đã dẫn đầu một dự án nơi họ viết một khung thử nghiệm mã nguồn mở cho Solana có tên là Trdelnik điều đó sẽ cho phép các nhà phát triển viết bài kiểm tra dễ dàng hơn. Đội đã nhận được một đề cập danh dự và đã giành được giải thưởng Marinade trong một cuộc thi hackathon ở Praha cho Trdelnik.

Tất cả điều này cho chúng ta thấy rằng có khả năng tự động hóa và máy tính sẽ đóng vai trò ngày càng quan trọng trong việc hỗ trợ các nhà phát triển chuỗi khối và kiểm toán viên bảo mật, nhưng không có khả năng sẽ sớm thay thế chúng.

Tâm lý chung của các nhà phát triển blockchain là nhiều vụ hack và khai thác này là kết quả của việc đây vẫn là một ngành công nghiệp non trẻ và thiếu kinh nghiệm. Khi ngành công nghiệp blockchain tiếp tục phát triển và trưởng thành, sẽ ngày càng có ít hành vi khai thác hơn, dẫn đến không gian tiền điện tử tổng thể trở nên an toàn và thân thiện hơn với người dùng.

Được rồi, bây giờ chúng ta hãy đi vào nội dung hay, điểm chính của bài viết này.

Cách xác minh một nền tảng đã được kiểm toán

Bước đầu tiên là thực sự đảm bảo rằng có một cuộc kiểm toán được tìm thấy. Chúng có thể được tìm thấy trong kho lưu trữ GitHub của dự án và bất kỳ cuộc kiểm toán nào được tiến hành phải được đề cập rõ ràng trong tài liệu của dự án hoặc trên chính trang web của nền tảng. Nếu bạn không thể tìm thấy bất kỳ đề cập nào về kiểm toán, tôi sẽ tránh xa.

Không có cuộc kiểm toán công khai nào có thể có nghĩa là:

• Không có cuộc kiểm toán nào được tiến hành
• Đã có một cuộc kiểm toán thất bại mà dự án không muốn được biết đến
• Cuộc kiểm toán đã phát hiện ra các vấn đề mà nhóm đã không giải quyết
• Mã này chứa các tuyến cửa hậu độc hại có thể dẫn đến hành vi trộm cắp

Như đã đề cập trước đó, thật tuyệt khi thấy rằng mã này là mã nguồn mở bằng cách được gắn nhãn “công khai” trên GitHub. Đây không phải là một yêu cầu, nhưng nó vẫn là một phần thưởng. Tuy nhiên, có những lý do để không mã nguồn mở, vì vậy đó không phải lúc nào cũng là một công cụ phá vỡ thỏa thuận. Lý do không sử dụng mã nguồn mở có thể là những thứ như:

• Các công ty muốn duy trì lợi thế cạnh tranh. Ngay sau khi một công ty mở nguồn mã của họ, bất kỳ ai cũng có thể tạo cùng một giao thức và cạnh tranh. Đây là lý do tại sao Coca-Cola giữ bí mật công thức của họ và KFC nổi tiếng với “11 loại thảo mộc và gia vị tuyệt mật”.
• Sau khi mã được công khai, tin tặc có thể sử dụng thông tin để tìm cách khai thác. Mặc dù thông lệ tốt thì ngược lại, nhưng nếu một dự án tự tin vào mã của mình, họ sẽ xuất bản nó.
• Các dự án ban đầu có thể không muốn mã nguồn mở của họ ngay lập tức cho đến khi họ xây dựng được một cộng đồng lớn và đủ người dùng, tạo ra một rào cản đối với các đối thủ cạnh tranh tiềm năng.

Gần đây, tôi đã gặp một nhóm dự án, họ đã hối hận ngay khi mở nguồn nền tảng của họ, vì một công ty cạnh tranh chỉ cần sao chép mã và mô hình kinh doanh của họ, đồng thời có nhiều tiền hơn để trả cho những người có ảnh hưởng và trả tiền cho những người theo dõi. Điều này cho thấy rằng công ty cạnh tranh là nền tảng tốt hơn ngay từ khi ra mắt vì nó tạo ấn tượng về nhiều người dùng hơn và lượng người theo dõi lớn hơn. Công ty cạnh tranh hiện đang đi trước đáng kể so với nhóm sáng lập ban đầu, những người đã chọn phát triển một cách có tổ chức và có đạo đức hơn.

Đây là một hình ảnh tuyệt vời từ cầu toàn cầu tóm tắt một số khác biệt chung giữa phần mềm nguồn mở và nguồn đóng:

Có thể tìm thấy hai cách tiếp cận thú vị đối với mã nguồn mở và mã nguồn đóng bằng cách so sánh các ví phần cứng phổ biến Trezor và Ledger. Trezor đã chọn xuất bản 100% mã nguồn của mình ra công chúng để bất kỳ ai cũng có thể xác minh, trong khi Ledger chọn cách chơi bài gần gũi hơn và cung cấp nguồn mở một số mã, nhưng vẫn giữ nguồn phần sụn đóng.

Điều này dẫn đến việc nhiều người theo chủ nghĩa ưu tú blockchain chọn Trezor thay vì Ledger vì họ cảm thấy rằng Ledger nên mã nguồn mở cho mã của họ, tự hỏi họ đang cố che giấu điều gì. Cá nhân tôi không coi đây là một nguyên nhân đáng lo ngại vì Ledger đã chứng minh thành tích và sự cống hiến của họ cho không gian, đồng thời đã phát triển trở thành một trong những nhà cung cấp ví phần cứng lớn nhất trên thế giới, tạo ra một số kho lưu trữ tiền điện tử an toàn cao nhất thiết bị.

Khi một cuộc kiểm toán đã được tiến hành và định vị, miễn là nó đã được công khai, bất kỳ ai cũng có thể mở tài liệu và tìm thấy kết quả của cuộc kiểm toán. Thay vì cuộn qua toàn bộ tài liệu kiểm toán, vì mục đích đơn giản của chúng tôi, tất cả những gì chúng tôi cần tìm là trang “Tóm tắt điều hành”, trang này thường trông giống như sau:

Trang này sẽ được đặt ở đầu hoặc cuối báo cáo. Đó là một trang hiển thị kết quả kiểm toán ở định dạng đơn giản mà người bình thường có thể hiểu được. Hãy đi sâu vào những thông tin này đang hiển thị cho chúng ta.

Là kiểm toán gần đây? Kiểm tra phải là một dịch vụ liên tục và chắc chắn phải có một đợt kiểm tra mới được thực hiện cho MỌI bản cập nhật, phiên bản hoặc tính năng/chức năng mới được giới thiệu. Nếu đã có một tính năng hoặc phiên bản mới được khởi chạy, kết quả kiểm tra trước đó không còn hợp lệ vì cơ sở mã có thể đã thay đổi.

Điều này có thể được xác minh bằng cách xem phiên bản dự án và/hoặc hàm băm cam kết. Phiên bản giống như khi bạn nhìn thấy Unwwap “V2” (phiên bản 2) và hàm băm cam kết xác định một bản sửa đổi trong kho lưu trữ mã nguồn. Khi xem phiên bản hoặc hàm băm cam kết được hiển thị trong quá trình kiểm tra, có thể thấy trong hình ảnh ở trên trong bảng có tiêu đề “kho lưu trữ”, người dùng có thể kiểm tra để đảm bảo rằng nó trùng khớp với phiên bản hoặc hàm băm cam kết được hiển thị trong GitHub.

Nó sẽ trông giống như thế này:

Đây là một cái nhìn khác từ một trong các Kiểm toán Chuỗi khối của Ackee:

Mặc dù nếu hàm băm cam kết không khớp, điều đó không nhất thiết có nghĩa là có cờ đỏ. Hàm băm cam kết trên GitHub của dự án sẽ thay đổi bất cứ khi nào thực hiện điều chỉnh hoặc lặp lại mới. Mọi điều chỉnh sẽ thay đổi hàm băm cam kết và không phải là nguyên nhân gây lo ngại nếu chỉ có một điều chỉnh nhỏ.

Nếu bạn không nhìn thấy hàm băm cam kết từ quá trình kiểm tra trên trang GitHub chính, bạn có thể truy cập vào “Lịch sử cam kết” và tìm kiếm hàm băm cam kết và tự mình xem có bao nhiêu thay đổi kể từ khi quá trình kiểm tra được tiến hành.

Điều đó có thể được thực hiện bằng cách nhấp vào đây:

Sau đó thực hiện tìm kiếm tại đây:

Vì hàm băm cam kết mới được điền cho mỗi thay đổi, mỗi thay đổi có dấu ngày và giờ, nếu có một số lượng đáng kể các lần xác nhận mới trong khoảng thời gian tiến hành kiểm tra và hàm băm cam kết mà dự án hiện đang thực hiện, bạn có thể muốn xem xét đợi cho đến khi một cuộc kiểm toán khác được tiến hành trước khi tham gia.

Nếu bạn có con mắt phân tích và muốn tìm hiểu sâu hơn, bạn có thể nhấp vào từng hàm băm cam kết mới và so sánh mã cũ được hiển thị màu đỏ với mã mới được hiển thị màu xanh lá cây và tự xác minh chính xác những gì đã thay đổi:

Nếu bạn nhận thấy một hàm băm cam kết mới khác với khi quá trình kiểm tra được tiến hành và thấy nội dung như sau:

Đó là một trong những thay đổi không đáng kể mà tôi đã đề cập và mặc dù nó tạo ra một hàm băm cam kết mới, nhưng không có gì đáng lo ngại vì đây chỉ là một lần đổi tên tệp đơn giản. Hình ảnh GitHub ở trên hiển thị 0 bổ sung và 0 xóa.

Bây giờ, điều tiếp theo cần tìm trong Tóm tắt điều hành:

Vấn đề - Bản tóm tắt điều hành cho thấy tất cả các vấn đề đã được phát hiện trong quá trình kiểm toán và quan trọng hơn là liệu nhóm có giải quyết được các vấn đề đó hay không. Bạn có thể nhìn thấy phần này ở gần cuối, nơi hiển thị “Tổng số vấn đề”, sau đó chia nhỏ chúng thành mức độ nghiêm trọng và liệu chúng đã được giải quyết hay chưa. Trước tiên, công ty kiểm toán xác định các vấn đề, gắn cờ chúng cho nhóm phát triển và sau đó kiểm tra lại mã sau khi các nhà phát triển giải quyết các vấn đề trước khi nhóm kiểm toán đánh dấu vấn đề là “đã giải quyết”.

Rõ ràng, bất kỳ vấn đề nào được đánh dấu là “Nghiêm trọng” hoặc “Rủi ro cao” đều phải được giải quyết. Ngay cả khi báo cáo cho thấy rằng tất cả các vấn đề quan trọng hoặc rủi ro cao đã được giải quyết, điều này vẫn nên được lưu ý với một số hoài nghi về dự án. Nếu nhóm kiểm toán phát hiện ra nhiều vấn đề quan trọng ngay từ đầu, điều đó có thể làm nổi bật rằng nhóm nhà phát triển đằng sau dự án có thể còn khá mới, dẫn đến các vấn đề khác và bổ sung trong tương lai.

Các vấn đề rủi ro trung bình hoặc thấp là phổ biến và thường không phải là nguyên nhân gây lo ngại. Nhóm kiểm toán thậm chí có thể đánh dấu vấn đề nào đó là vấn đề có rủi ro thấp nếu họ chỉ đơn giản đề xuất một giải pháp thay thế hoặc có sự khác biệt về quan điểm về cách tiếp cận vấn đề nào đó.

Dưới đây là tóm tắt về ý nghĩa của từng loại:

Quan trọng – Bất kỳ thứ gì được đánh dấu là quan trọng có nghĩa là thứ gì đó có thể bị khai thác ngay bây giờ.

Nhóm tại Ackee Blockchain đã kể cho tôi nghe một câu chuyện về cuộc kiểm tra mà họ đang tiến hành khi họ phát hiện ra một vấn đề nghiêm trọng trên một giao thức đã được khởi chạy. Họ đánh thức nhóm Phát triển của dự án lúc 5 giờ sáng trong tình trạng khẩn cấp “tất cả cùng chung tay” để sửa mã càng sớm càng tốt. May mắn thay, họ đã phát hiện ra vấn đề kịp thời trước khi tin tặc có thể xác định được lỗ hổng.

Mức độ nghiêm trọng cao – Các vấn đề hiện không thể khai thác, nhưng có thể khai thác nếu một số trình tự cụ thể được đáp ứng.

Trung bình đến Thấp – Đây thường là những điều chỉnh nhỏ cần thiết hoặc đề xuất và không nhất thiết là mối đe dọa bảo mật.

Các công ty kiểm toán khác nhau cũng sẽ viết các bản tóm tắt điều hành theo các định dạng khác nhau. Tóm tắt điều hành hiển thị ở trên được thực hiện bởi công ty kiểm toán Quantstamp. Ackee Blockchain cung cấp bản PDF kiểm toán và một bản tóm tắt web kết hợp các kết quả ban đầu và kết quả tiếp theo ở định dạng tiểu luận dễ đọc hơn. Bạn có thể tìm thấy một ví dụ về điều đó trong Tóm tắt kiểm toán.

Những điều bổ sung để tìm kiếm:

• Một cuộc kiểm toán đã được hoàn thành bởi nhiều hơn một công ty? Càng nhiều con mắt tìm kiếm các vấn đề, càng ít khả năng có một lỗ hổng tồn tại trong mã.
• Công ty kiểm toán blockchain có chuyên nghiệp và được tôn trọng trong cộng đồng không? Nếu bạn chưa bao giờ nghe nói về công ty kiểm toán trước đây, hãy xem trang web của họ và tìm kiếm các dự án khác mà họ đã thực hiện. Có bất kỳ nền tảng nào họ đã kiểm toán có uy tín không? Kiểm tra xem liệu có nền tảng nào bị khai thác sau khi công ty thực hiện kiểm toán hay không, điều này có thể làm nổi bật hồ sơ theo dõi về kỹ năng kiểm toán kém. Tìm kiếm những thứ như hackathons đã giành được và hỗ trợ/trợ cấp từ các nền tảng mạng lớp 1.

Một ví dụ điển hình về điều này là Ackee Blockchain, đã được chỉ định tài trợ phát triển/cộng đồng chính thức bởi bốn nền tảng chính: Coinbase Giving, Ethereum Foundation, Solana Foundation và Tezos Foundation.

Nếu bạn là người trở nên thiếu tin tưởng trong thời đại thông tin sai lệch này, nếu bạn thấy một tuyên bố chẳng hạn như hình ảnh trên được lấy từ trang web Ackee Blockchain, thay vì tin lời họ, bạn luôn có thể điều hướng đến trang web của các quỹ đã đề cập và xác minh các tuyên bố cho chính mình.

Lý do tôi nói điều này là bởi vì, trong nhiều năm viết bài đánh giá của tôi, số lượng trang web tuyên bố, "Nổi bật trong Forbes hoặc Yahoo Finance," khi chúng chưa bao giờ là quá nhiều. Tôi ước có một số hình thức cảnh sát internet có thể tống các công ty vào tù internet vì những tuyên bố dối trá và gây hiểu lầm như thế. Đó là lý do tại sao trong tiền điện tử có câu nói “đừng tin tưởng, hãy xác minh”. Đừng lo, Ackee kiểm tra và thực sự được tin tưởng bởi các cơ sở trên, tôi đã kiểm tra 😉

Đóng cửa suy nghĩ

Được, bạn đã có nó. Một số thông tin về bảo mật chuỗi khối mà tôi hy vọng bạn thấy hữu ích. Tôi hy vọng bài viết này sẽ giúp bạn cảm thấy tự tin hơn khi mạo hiểm bước vào thế giới tiền điện tử với thêm một lớp áo giáp và có thể điều hướng vùng nước tiền điện tử an toàn hơn trước. Tôi biết rằng tôi sẽ siêng năng xác minh thông tin này vào lần tới khi tôi chọn DApps và giao thức nào mà tôi chọn để tin tưởng với tài sản tiền điện tử của mình.

Như người ta vẫn nói, “trong tiền điện tử, vấn đề không phải là bạn kiếm được bao nhiêu, mà là bạn giữ được bao nhiêu”, thật không may, nhiều người trong số chúng ta, những người kỳ cựu về tiền điện tử, đã mất nhiều hơn số Satoshi chia sẻ công bằng của mình trong vô số vụ hack, lừa đảo, lừa đảo, phá sản, v.v. Càng có nhiều kiến ​​thức, chúng ta càng có thể tự bảo vệ mình khỏi nhiều rủi ro khắc nghiệt tồn tại trong thế giới tiền điện tử mới và đang chớm nở này.

Tuyên bố từ chối trách nhiệm: Đây là những ý kiến ​​của người viết và không nên được coi là lời khuyên đầu tư. Người đọc nên tự nghiên cứu.