Làm thế nào kiểm toán viên phát hiện một trò lừa đảo kéo thảm DeFi: Bạn có thể tự làm được không?

Tin tặc đã đánh cắp nhiều tiền điện tử hơn từ các nền tảng tài chính phi tập trung (DeFi) hơn bao giờ hết vào năm 2022. Gần 98% tất cả các mã thông báo được tung ra trên DEX Uniswap của DeFi được xác định là hành vi kéo thảm.

Cái mới nhất, Defrost Finance, đến như một cơn ác mộng Giáng sinh đối với các nhà đầu tư tiền điện tử, xóa sạch 12 triệu đô la tiền của họ. 

Hầu hết các vụ hack trên nền tảng DeFi đều xảy ra do vi phạm bảo mật và khai thác mã. Các dự án cuối cùng trở thành trò lừa đảo kéo thảm có các vấn đề bảo mật nghiêm trọng đã được phép trượt hoặc có thể không cố ý bị phát hiện. Để ngăn chặn những rủi ro tương tự, việc kiểm tra bảo mật DeFi là rất quan trọng.

Tại đây, chúng ta sẽ tìm hiểu thêm về các cuộc kiểm tra này, cách chúng được tiến hành và liệu có thể tự mình thực hiện kiểm tra DeFi hay không. 

Các dự án DeFi được triển khai dưới dạng hợp đồng thông minh phức tạp, tự thực hiện, thường minh bạch và có nguồn mở. Họ đóng vai trò là thỏa thuận pháp lý giữa hai bên. Và vì không có thực thể tập trung nào đứng đằng sau chúng nên ngay cả một lỗi nhỏ trong hợp đồng thông minh cũng có thể dẫn đến những hậu quả không thể khắc phục được.

Điều này có nghĩa là không có chỗ cho sai sót trong hợp đồng thông minh. Kiểm toán bảo mật hợp đồng thông minh DeFi nhằm đảm bảo điều đó.

Kiểm toán bảo mật kiểm tra mã của hợp đồng thông minh và cách nó căn cứ vào các điều khoản và điều kiện của hợp đồng. Phân tích chi tiết tìm kiếm các lỗi bảo mật tiềm ẩn, vi phạm và lỗi hệ thống trong mã nên không thể khai thác được. 

Kiểm tra bảo mật, thường do bên thứ ba thực hiện, rất quan trọng để đảm bảo tính bảo mật và độ tin cậy của các dự án cũng như duy trì hệ sinh thái DeFi lành mạnh.

Thảm kéo là một loại lừa đảo thoát hoạt động theo mô hình đơn giản: các nhà phát triển tạo ra một giao thức DeFi có vẻ ngoài hợp pháp, chạy và quảng bá nó cho đến khi dự án thu hút đủ thanh khoản, sau đó rút tiền và biến mất. 

Vâng, không phải lúc nào cũng vậy. Đôi khi, những kẻ lừa đảo kéo thảm đổ lỗi cho tin tặc đã đánh cắp tính thanh khoản và duy trì hoạt động kinh doanh cho đến lần tiếp theo.

Để thực hiện một cuộc tấn công, những kẻ lừa đảo nhúng mã độc vào hợp đồng thông minh. Họ sửa đổi chúng để ngăn các nhà đầu tư bán: đặt phí bán tối đa (100%), đưa chủ sở hữu mã thông báo vào danh sách đen và khóa tiền của người dùng vào hợp đồng.

Một số hợp đồng thông minh liên quan đến việc mã hóa một “cửa sau” độc hại vào chúng, cho phép các nhà phát triển rút thanh khoản.  

Hầu hết thời gian, các hợp đồng thông minh được sửa đổi không được xác minh bởi các kiểm toán viên bảo mật và bị ẩn khỏi mắt công chúng. Vì hầu hết các hợp đồng trên chuỗi đều có sẵn công khai, nên sự thiếu minh bạch về GitHub có thể là một lá cờ đỏ. 

Ngành công nghiệp hợp đồng thông minh và chuỗi khối vẫn còn tương đối non trẻ, và lĩnh vực kiểm toán hợp đồng thông minh cũng vậy. Nhiều công ty chuyên kiểm tra bảo mật hợp đồng thông minh, phát triển các công cụ và định hình bí quyết của họ. 

Các tiêu chuẩn ngành bảo mật hợp đồng thông minh và các phương pháp hay nhất đang phát triển. Mặc dù vậy, một số phương pháp kiểm toán khá tiêu chuẩn được những người trong ngành kiểm toán DeFi sử dụng.

Thông thường, các cuộc điều tra của họ bắt đầu bằng việc đánh giá hợp đồng thông minh. Kiểm toán viên phân tích sách trắng, logic nghiệp vụ và thông số kỹ thuật của giao thức DeFi để ước tính các rủi ro tiềm ẩn và các tính năng bảo mật.

Sau đó, họ chuyển sự chú ý sang mã của hợp đồng thông minh. Đây là lúc bắt đầu xem xét và phân tích mã. 

Kiểm toán viên kiểm tra từng dòng mã, tìm kiếm các lỗ hổng ở các cấp độ khác nhau: lỗ hổng nghiêm trọng có thể dẫn đến rò rỉ thanh khoản; cấp độ trung bình, có thể làm hỏng một phần hợp đồng thông minh; và các vấn đề ở mức độ thấp ít ảnh hưởng đến tính bảo mật của hợp đồng.

Họ triển khai một số kỹ thuật kiểm toán, bao gồm phân tích tự động và thủ công. Cả hai đều có ưu và nhược điểm của họ.

Kiểm tra bảo mật tự động có nghĩa là quét mã bằng phần mềm phân tích tự động, tìm kiếm lỗi dựa trên cơ sở dữ liệu về các lỗ hổng đã biết và xác định vị trí chính xác của chúng trong mã.

Việc kiểm tra dựa trên phần mềm thường được tiến hành trước khi phân tích thủ công để phát hiện các lỗi mà con người có thể bỏ qua. Nó nhanh hơn và ít tốn thời gian hơn, nhưng đồng thời, nó có thể không phải lúc nào cũng nhận thức được ngữ cảnh và do đó bỏ sót một số lỗ hổng nhất định. 

Phân tích mã thủ công là yếu tố quan trọng nhất trong kiểm tra hợp đồng thông minh và là phần quan trọng nhất trong quá trình kiểm tra bảo mật mã thông minh toàn diện và chính xác. Nó được thực hiện bởi ít nhất hai chuyên gia riêng biệt để kiểm tra từng dòng mã.

Mục tiêu là để xác minh rằng mọi chi tiết trong đặc tả của dự án đều được triển khai trong hợp đồng thông minh và không có gì vi phạm hành vi dự định ban đầu của dự án. 

Kiểm toán viên xem xét kỹ lưỡng mã để phát hiện hành vi ngoài ý muốn, không mong muốn, các vấn đề bảo mật quan trọng và các lỗ hổng như truy cập lại, thao túng dữ liệu, cho vay nhanh và các thao tác khác có thể được thực hiện trong khi hợp đồng thông minh tương tác với những người khác.

Ngoài ra, quá trình kiểm tra thủ công còn chạy mô phỏng để đánh giá mức độ hợp đồng thông minh của dự án DeFi phản ứng với các mối đe dọa không xác định và khả năng tự bảo vệ trước chúng. 

Trong phần cuối cùng của phân tích mã thủ công, kiểm toán viên so sánh logic của hợp đồng thông minh với mô tả của nó trong báo cáo chính thức của dự án. 

Khi tất cả các lỗ hổng đã được xác định và khắc phục, kiểm toán viên sẽ chạy quy trình kiểm tra kỹ lưỡng để đảm bảo mã thông minh chạy như mong đợi.

Cuối cùng, sau khi hoàn thành kiểm toán bảo mật, kiểm toán viên chuẩn bị một báo cáo toàn diện. Đây là nơi họ cung cấp phản hồi chi tiết về những gì họ khám phá được. Thông thường, báo cáo của họ đi kèm với các khuyến nghị về cách khắc phục các điểm yếu mã được phát hiện để giảm thiểu bảo mật của dự án. 

Hợp đồng thông minh là một sự đổi mới tương đối mới. Tiêu chuẩn bảo mật của họ đang phát triển tương ứng. Điều này có nghĩa là không có quy tắc vàng nào đảm bảo an toàn tuyệt đối cho hợp đồng thông minh.

Hơn nữa, không phải tất cả các công ty kiểm toán hợp đồng thông minh đều giống nhau và không phải tất cả các cuộc kiểm toán đều đảm bảo an toàn. Kiểm toán viên có thể có trình độ kỹ năng khác nhau, mục tiêu khác nhau và chi phí khác nhau.

Chưa kể đến việc thị trường đầy rẫy những nhà phát triển sơ sài giả mạo kiểm toán mà vẫn được hưởng lợi từ tên tuổi của một công ty đáng kính. Đây là những gì đã xảy ra với Peckshield, một công ty phân tích dữ liệu và bảo mật blockchain, hơn một năm trước.

Những tình huống như thế này khá phổ biến trong không gian tiền điện tử. Họ lấy tên của một kiểm toán viên hợp pháp và đáng kính và đưa tên đó vào sách trắng của họ, nói rằng giao thức của họ đã được kiểm tra.

Cách duy nhất để tránh những trường hợp như thế này là kiểm tra xác nhận trên các kênh ban đầu của kiểm toán viên. Nếu không có thì rất có thể tên của kiểm toán viên đã bị đánh cắp. 

Luôn kiểm tra danh mục khách hàng của mình để đánh giá xem kiểm toán viên có vững chắc và uy tín hay không. Google các trường hợp để xác minh hồ sơ kinh nghiệm của họ và kiểm tra xem có dự án nào được kiểm toán có bị kéo thảm hoặc các cuộc tấn công khác hay không.

Với rất nhiều vụ hack và thảm họa xảy ra trong không gian tiền điện tử, thật ngây thơ khi tưởng tượng rằng các dự án DeFi là an toàn nếu không xem xét chúng chi tiết hơn. Kiểm toán hợp đồng thông minh cung cấp một lớp an toàn quan trọng. 

Tuy nhiên, ngay cả những người chuyên nghiệp nhất cũng không đảm bảo rằng dự án DeFi hoàn toàn không có lỗi. Hợp đồng thông minh rất phức tạp. Họ yêu cầu phân tích chi tiết và toàn diện, chuyên môn, công cụ và quan trọng nhất là nhiều hơn một cặp mắt.