OKX Web3 ví đặc biệt lên kế hoạch một chuyên đề “Chuyên mục an ninh”, giải đáp các vấn đề an ninh trên chuỗi khác nhau trong các kỳ đặc biệt. Thông qua các trường hợp thực tế xảy ra xung quanh người dùng, cùng các chuyên gia hoặc tổ chức trong lĩnh vực an ninh, chia sẻ và giải đáp từ nhiều góc nhìn khác nhau, từ dễ đến khó để sắp xếp và tổng hợp quy tắc giao dịch an toàn, nhằm tăng cường giáo dục an ninh cho người dùng, đồng thời giúp người dùng bắt đầu từ chính mình để học cách bảo vệ khóa riêng và an toàn tài sản ví.
Điểm đặc biệt lớn nhất của thế giới DeFi là, mỗi người đều có tiềm năng trở thành một “cá mập”.
Nhưng ngay cả “cá mập” cũng không thể tự tin quá, dù ăn thịt, nhưng cũng có lúc “bị đánh”.
Vì vậy, khi chơi trên chuỗi, an ninh là thứ đầu tiên.
Nếu không, sẽ phải “bắt đầu từ đầu”.
Kỳ này là kỳ đặc biệt thứ 05, đặc biệt mời đến nhóm an ninh BlockSec và nhóm an ninh ví Web3 của OKX, bắt đầu từ góc nhìn hướng dẫn thực hành, chia sẻ một chiến lược tránh rủi ro DeFi cho tất cả người dùng đang trở thành hoặc đã trở thành “cá mập” cũng như các bên dự án. Ví dụ như, làm thế nào để xem báo cáo kiểm toán, các chỉ số và tham số thường dùng để đánh giá rủi ro dự án DeFi sơ bộ, các bên dự án hoặc người dùng cá mập, làm thế nào để xây dựng khả năng giám sát nhận thức, quy tắc bảo vệ an ninh DeFi vv… Đừng bỏ lỡ!
Nhóm an ninh BlockSec: BlockSec là nhà cung cấp dịch vụ an ninh trên chuỗi “tất cả các tầng” hàng đầu thế giới, hiện nay công ty đã phục vụ hơn 300 khách hàng, bao gồm các bên dự án nổi tiếng như MetaMask, Compound, Uniswap Foundation, Forta, PancakeSwap, Puffer v.v, đã cứu lại hơn 20 triệu đô la thông qua sự giúp đỡ của mũ trắng.
Giám đốc điều hành & đồng sáng lập của BlockSec, Châu Á Kim là giáo sư máy tính của Đại học Chiết Giang, học giả có ảnh hưởng lớn nhất thế giới do Aminer bình chọn, đã đăng tải hơn 50 bài báo hàng đầu và được trích dẫn hơn 10.000 lần. CTO & đồng sáng lập Ngô Lỗi là giáo sư máy tính của Đại học Chiết Giang, đồng sáng lập của Phai Đọng trước đây, đã dẫn dắt nhóm phát hiện ra nhiều lỗ hổng zero-day của nhiều dự án nổi tiếng. Giám đốc sản phẩm Raymond từng phụ trách sản phẩm an ninh tại Tencent, 360.
OKX Web3 ví bảo mật: Xin chào tất cả, tôi rất vui được chia sẻ với các bạn. Đội ngũ Bảo mật Web3 của OKX chủ yếu chịu trách nhiệm xây dựng các khả năng an ninh trong lĩnh vực Web3 của OKX, như kiểm toán an ninh hợp đồng thông minh, xây dựng khả năng bảo mật ví, giám sát an ninh các dự án trên chuỗi, v.v., cung cấp cho người dùng nhiều lớp bảo vệ như sản phẩm an toàn, tiền tệ an toàn, giao dịch an toàn, đóng góp sức mạnh vào việc duy trì toàn bộ sinh thái an ninh chuỗi khối.
Câu hỏi 1: Chia sẻ một số trường hợp rủi ro DeFi thực tế mà người dùng đã phải đối mặt.
Đội ngũ Bảo mật BlockSec: Do DeFi mang lại lợi suất cao tương đối ổn định cho tài sản, đã thu hút rất nhiều người lớn tham gia. Nhiều bên dự án để nâng cao tính lưu động, cũng chủ động mời những người lớn vào. Ví dụ, chúng ta thường thấy trong tin tức, một số người lớn gửi vào DeFi một số tài sản lớn. Tất nhiên, khi những cá mập này tham gia vào các dự án DeFi, ngoài việc nhận được lợi suất ổn định, họ cũng phải đối mặt với một số rủi ro. Dưới đây, chúng tôi chia sẻ một số trường hợp rủi ro DeFi công khai trong ngành:
Trường hợp 1: Trong sự kiện an ninh PolyNetwork năm 2022, tổng cộng hơn 600 triệu USD tài sản bị tấn công. Theo đồn, Thần Ngư cũng có 100 triệu USD trong đó, mặc dù sau đó kẻ tấn công đã trả tiền, sự kiện được giải quyết hoàn hảo, Thần Ngư cũng tuyên bố sẽ xây dựng một đài tưởng niệm trên chuỗi để nhớ lại sự việc này, nhưng chắc chắn quá trình này rất khó khăn. Mặc dù hiện tại một số sự kiện an ninh nhỏ được kết quả tốt, nhưng phần lớn các sự kiện an ninh không may mắn như vậy.
Trường hợp 2: DEX nổi tiếng SushiSwap bị tấn công vào năm 2023, người lớn 0xSifu mất hơn 3,3 triệu USD, thiệt hại của một người này đã chiếm khoảng 90% tổng thiệt hại.
Trường hợp 3: Sự kiện an ninh Prisma vào tháng 3 năm nay, tổng thiệt hại là 14 triệu USD, những thiệt hại này đến từ 17 địa chỉ ví, mỗi ví trung bình mất 820.000 USD, nhưng trong đó 4 người dùng mất nhiều nhất chiếm tới 80%. Phần lớn tài sản bị đánh cắp vẫn chưa được truy hồi.
Truly, DeFi, especially the mainnet DeFi, due to the non-negligible Gas Fee, only assets of a certain scale can truly yield profits (excluding airdrop rewards), hence, the main TVL of DeFi projects is generally contributed by whales, and in some projects, 2% of the whales contribute 80% of the TVL. When security incidents occur, these whales inevitably bear the vast majority of the losses. “You can’t just see the whales feasting, they also have times of being beaten.”
OKX Web3 Wallet Security Team: With the prosperous development of the on-chain world, the DeFi risk cases encountered by users are also increasing day by day, on-chain security is always the most basic and important demand for users.
Case One: PlayDapp Privileged Account Private Key Leakage Incident. From February 9 to 12, 2024, the Ethereum-based PlayDapp gaming platform suffered an attack due to the leakage of private keys. The attacker minted and stole 1.79 billion PLA tokens without authorization, with a loss of about 32.35 million USD. The attacker added a new minter to the PLA tokens, minted a large number of PLA, and dispersed them to multiple on-chain addresses and exchanges.
Case Two: Hedgey Finance Attack Incident. On April 19, 2024, Hedgey Finance encountered a major security vulnerability on Ethereum and Arbitrum, resulting in a loss of about 44.7 million USD. The attacker exploited the contract’s lack of user input verification vulnerability, obtained authorization for the vulnerable contract, and thus stole assets from the contract.
Q2: Can you summarize the main types of risks currently existing in the DeFi field?
OKX Web3 Wallet Security Team: Combining real cases, we have sorted out the 4 common types of risks in the current DeFi field.
The first type: Phishing attacks. Phishing attacks are a common type of network attack, by disguising as legitimate entities or individuals, to deceive victims into providing sensitive information, such as private keys, passwords, or other personal data. In the DeFi field, phishing attacks are usually carried out in the following ways:
1) Fake websites: Attackers create phishing websites similar to real DeFi projects, to deceive users into signing authorization or transfer transactions.
2)Giả mạo xã hội: Trên Twitter, kẻ tấn công sử dụng tài khoản giả mạo cấp cao hoặc chiếm quyền truy cập vào tài khoản Twitter hoặc Discord của bên dự án để công bố các chương trình khuyến mãi hoặc thông tin thảm kí giả (thực chất là liên kết lừa đảo), thực hiện tấn công lừa đảo đối với người dùng.
3)Hợp đồng thông minh độc hại: Kẻ tấn công công bố các hợp đồng thông minh hoặc dự án DeFi có vẻ hấp dẫn, lừa dối người dùng cấp phép truy cập, từ đó đánh cắp tiền bạc.
Lớp thứ hai: Rugpull. Rugpull là một loại lừa đảo đặc biệt trong lĩnh vực DeFi,指甲是在吸引到大量投资后突然撤资消失,导致投资者的资金全部被卷走。Rugpull thường xảy ra trong các dự án giao dịch phi tập trung (DEX) và khai thác thanh khoản. Các biểu hiện chính bao gồm:
1)Rút thanh khoản: Nhà phát triển cung cấp một lượng lớn thanh khoản trong bể thanh khoản để thu hút người dùng đầu tư, sau đó đột ngột rút ra tất cả thanh khoản, dẫn đến giá token sụp đổ, người đầu tư chịu tổn thất nặng.
2)Dự án giả mạo: Nhà phát triển tạo ra một dự án DeFi có vẻ hợp pháp, lừa dối người dùng đầu tư bằng các hứa hẹn giả và lợi suất cao, nhưng thực tế không có bất kỳ sản phẩm hoặc dịch vụ thực tế nào.
3)Thay đổi quyền hạn hợp đồng: Nhà phát triển sử dụng các cửa sau hoặc quyền hạn trong hợp đồng thông minh, có thể thay đổi quy tắc của hợp đồng hoặc rút tiền bất cứ lúc nào.
Lớp thứ ba: Lỗ hổng hợp đồng thông minh. Hợp đồng thông minh là mã tự động thực thi, chạy trên blockchain, một khi triển khai thì không thể thay đổi. Nếu hợp đồng thông minh có lỗ hổng, sẽ dẫn đến vấn đề an ninh nghiêm trọng. Các lỗ hổng hợp đồng thông minh phổ biến bao gồm:
1)Lỗ hổng tái nhập: Kẻ tấn công gọi lại hợp đồng lỗ hổng trước khi cuộc gọi trước đó hoàn thành, dẫn đến tình trạng có vấn đề trong trạng thái nội bộ của hợp đồng.
2)Lỗi logic: Lỗi logic trong thiết kế hoặc thực hiện hợp đồng, dẫn đến hành vi không mong muốn hoặc lỗ hổng.
3)Tràn số nguyên: Hợp đồng không xử lý đúng toán tử số nguyên, dẫn đến tràn hoặc dở ra.
4)Thao túng giá cả: Kẻ tấn công thực hiện tấn công bằng cách thao túng giá cả của oracle.
5)Mất độ chính xác: Do vấn đề độ chính xác của số thực hoặc số nguyên, dẫn đến lỗi tính toán.
6)Thiếu xác thực đầu vào: Không xác thực đầy đủ đầu vào người dùng, dẫn đến các vấn đề an ninh tiềm năng.
第四类:治理风险。治理风险涉及到项目的核心决策和控制机制,如果被恶意利用,可能会导致项目偏离预期目标,甚至导致严重的经济损失和信任危机。常见的风险类型包括:
1)私钥泄露
某些 DeFi 项目的特权账户由 EOA(ExternallyOwned Accounts)或者多签钱包控制,如果这些私钥被泄露或盗取,攻击者可以随意操纵合约或资金。
2)治理攻击
某些 DeFi 项目虽然采用了去中心化的治理方案,但仍然存在以下风险:
· 借用治理代币:攻击者通过借用大量治理代币,在短时间内操纵投票结果。
· 控制多数投票权:如果治理代币高度集中在少数人手中,这些人可以通过集中投票权控制整个项目的决策。
Q3:有哪些维度或者参数,可以初步评估 DeFi 项目的安全性和风险等级?
BlockSec 安全团队:在参与一个 DeFi 项目之前,对项目进行一个整体的安全评估非常有必要的。特别是对于资金体量比较大的参与者来说,必要的安全尽职调查可以最大程度保障资金安全。
首先,建议对项目的代码安全进行全面评估,包括项目方是否经过审计以及是否具有良好安全声誉的审计公司审计,是否有多家审计公司参与,最新的代码是否经过审计等。通常来说,如果线上运行的代码经过多家具有良好安全声誉的安全公司的审计,会大幅降低被安全攻击的风险。
其次,要看项目方是否部署实时的安全监控系统。安全审计保证的安全是静态的,并不能解决项目上线后引发的动态安全问题。比如,项目方不适当地调整了项目的关键运行参数、增加了新的 Pool 等。项目方如果采用了一些实时的安全监控系统,那么其运行时的安全系数比没有采用这样方案的协议会更高一些。
Ba, cần xem xét liệu bên dự án có khả năng tự động phản ứng trong trường hợp khẩn cấp hay không. Khả năng này đã bị cộng đồng bỏ qua trong thời gian dài. Chúng tôi phát hiện rằng trong nhiều sự kiện an ninh, bên dự án không thể tự động thực hiện chức năng ngắt mạch (hoặc ngắt mạch các hoạt động nhạy cảm về tiền tệ). Trong các tình huống khẩn cấp, bên dự án thường xử lý các sự kiện an ninh bằng cách thủ công, và phương pháp này đã được chứng minh là hiệu quả thấp hoặc thậm chí là vô hiệu.
Bốn, cần xem xét sự phụ thuộc bên ngoài của dự án và tính mạn tính của sự phụ thuộc bên ngoài. Một dự án DeFi sẽ phụ thuộc vào thông tin được cung cấp bởi các dự án bên thứ ba, như giá cả, tính lưu động, v.v. Do đó, cần đánh giá tính an toàn của dự án từ số lượng sự phụ thuộc bên ngoài, tính an toàn của các dự án phụ thuộc bên ngoài, và liệu có hay không giám sát và xử lý thời gian thực cho dữ liệu bất thường từ các dự án phụ thuộc bên ngoài. Thông thường, dự án phụ thuộc bên ngoài là các dự án hàng đầu và có khả năng chịu lỗi và xử lý thời gian thực cho dữ liệu bất thường từ các dự án bên ngoài sẽ an toàn hơn.
Năm, liệu bên dự án có cấu trúc quản trị cộng đồng tốt hay không. Điều này bao gồm liệu bên dự án có cơ chế bỏ phiếu cộng đồng cho các sự kiện quan trọng, các hoạt động nhạy cảm có được hoàn thành bằng đa ký, ví đa ký có đưa ra sự tham gia trung lập từ cộng đồng hay không, có hay không một ủy ban an ninh cộng đồng, v.v. Các cấu trúc quản trị này có thể nâng cao tính minh bạch của dự án, giảm thiểu khả năng tiền của người dùng bị rugpull trong dự án.
Cuối cùng, lịch sử trước đây của bên dự án cũng rất quan trọng. Cần tiến hành kiểm tra nền tảng cho đội ngũ dự án và các thành viên cốt lõi của dự án. Nếu các thành viên cốt lõi của bên dự án có lịch sử trước đây trong các dự án bị tấn công hoặc rugpull nhiều lần, thì rủi ro an toàn của dự án này cũng tương đối cao hơn.
Tóm lại, trước khi tham gia vào các dự án DeFi, người dùng đặc biệt là những người tham gia với số tiền lớn cần phải thực hiện công việc nghiên cứu, từ việc kiểm toán an toàn mã nguồn trước khi dự án ra mắt đến việc giám sát an toàn thời gian thực và xây dựng khả năng tự động phản ứng sau khi dự án ra mắt, đánh giá sự đầu tư an toàn và tính an toàn của bên dự án, và cần phải thực hiện công việc điều tra từ các góc độ phụ thuộc bên ngoài, cấu trúc quản trị và lịch sử trước đây của bên dự án, để đảm bảo tiền được đầu tư vào dự án an toàn.
Nhóm An ninh ví Web3 của OKX: Mặc dù không thể đảm bảo 100% an toàn cho các dự án DeFi, nhưng người dùng có thể đánh giá ban đầu an toàn và mức độ rủi ro của các dự án DeFi bằng cách kết hợp các chiều sau:
I. An ninh kỹ thuật của dự án
- Kiểm toán hợp đồng thông minh:
- Kiểm tra liệu dự án đã được kiểm toán bởi nhiều công ty kiểm toán, và các công ty này có uy tín và kinh nghiệm hay không.
- Kiểm tra số lượng và mức độ nghiêm trọng của các vấn đề báo cáo trong báo cáo kiểm toán, đảm bảo rằng tất cả các vấn đề đã được sửa chữa.
- Kiểm tra liệu mã được triển khai của dự án có khớp với phiên bản mã đã được kiểm toán hay không.
- Mã nguồn mở:
- Kiểm tra liệu mã nguồn của dự án đã được mở, mã nguồn mở cho phép cộng đồng và các chuyên gia an ninh kiểm tra, giúp phát hiện các vấn đề an ninh tiềm ẩn.
- Nền tảng và kinh nghiệm của nhóm phát triển: Hiểu về nền tảng và kinh nghiệm của nhóm phát triển dự án, đặc biệt là kinh nghiệm của họ trong lĩnh vực blockchain và an ninh, cũng như mức độ minh bạch và thông tin công khai của nhóm.
- Chương trình thưởng lỗ hổng: Kiểm tra liệu dự án có chương trình thưởng lỗ hổng để khuyến khích các nhà nghiên cứu an ninh báo cáo các lỗ hổng.
II. An ninh tài chính và kinh tế
- Lượng tiền khóa: Kiểm tra số tiền được khóa trong hợp đồng thông minh, số tiền khóa cao có thể ngụ ý rằng dự án có mức độ tin tưởng cao.
- Lượng giao dịch và tính lưu động: Đánh giá lượng giao dịch và tính lưu động của dự án, tính lưu động thấp có thể tăng rủi ro thao túng giá.
- Mô hình kinh tế token: Đánh giá mô hình kinh tế token của dự án, bao gồm phân phối token, cơ chế khuyến khích và mô hình lạm phát. Ví dụ: Có tình trạng nắm giữ token tập trung quá mức không?
III. An ninh vận hành và quản lý
- Cơ chế quản trị: Hiểu về cơ chế quản trị của dự án, liệu có cơ chế quản trị phi tập trung và cộng đồng có thể bỏ phiếu về các quyết định quan trọng hay không, cũng như phân phối và độ tập trung của quyền biểu quyết của token quản trị.
- Biện pháp quản lý rủi ro: Kiểm tra liệu dự án có biện pháp quản lý rủi ro và kế hoạch khẩn cấp, cách đối phó với các mối đe dọa an ninh tiềm năng và tấn công kinh tế. Ngoài ra, về mặt minh bạch dự án và giao tiếp cộng đồng, có thể kiểm tra liệu bên dự án có thường xuyên công bố báo cáo tiến độ dự án và cập nhật an ninh, cũng như có chủ động tương tác và giải quyết các vấn đề của người dùng hay không.
1)Cộng đồng hoạt động: Đánh giá mức độ hoạt động và cơ sở người dùng của dự án, một cộng đồng hoạt động thường có nghĩa là dự án có sự hỗ trợ rộng rãi.
2)Phản hồi truyền thông và mạng xã hội: Phân tích nhận xét về dự án trên truyền thông và mạng xã hội, tìm hiểu quan điểm của người dùng và các chuyên gia ngành về dự án.
3)Đối tác và nhà đầu tư: Kiểm tra liệu dự án có được hỗ trợ bởi các đối tác và nhà đầu tư nổi tiếng, các đối tác và nhà đầu tư có uy tín có thể tăng tính đáng tin cậy của dự án, nhưng điều này không thể trở thành yếu tố quyết định an toàn của dự án.
Câu 4: Người dùng nên xem xét báo cáo kiểm toán như thế nào, và tình trạng mã nguồn mở?
Đội ngũ an ninh BlockSec: Dự án đã được kiểm toán, bên dự án thường chủ động công bố báo cáo kiểm toán trên các kênh chính thức với cộng đồng. Những báo cáo kiểm toán này thường có trên các kênh tài liệu của bên dự án, kho mã nguồn Github, v.v. Ngoài ra, cũng cần kiểm tra sự thật và giả mạo của báo cáo kiểm toán, các phương pháp kiểm tra bao gồm kiểm tra chữ ký số của báo cáo kiểm toán, liên hệ với công ty kiểm toán để xác nhận lại.
Với một báo cáo kiểm toán như vậy, nhà đầu tư nên đọc và hiểu như thế nào?
Đầu tiên, cần xem xét liệu báo cáo kiểm toán đã được kiểm toán bởi một số công ty an ninh có uy tín cao, như Open Zeppelin, Trail of Bits, BlockSec v.v.
Thứ hai, cần xem xét liệu các vấn đề nêu trong báo cáo kiểm toán đã được sửa chữa hay chưa, nếu chưa sửa, cần xem xét lý do của bên dự án tại sao không sửa chữa có đầy đủ hay không. Ở đây cũng cần phân biệt giữa các báo cáo lỗ hổng hiệu quả và không hiệu quả trong báo cáo kiểm toán. Do báo cáo kiểm toán chưa có tiêu chuẩn ngành thống nhất, do đó các công ty kiểm toán an ninh sẽ dựa trên nhận thức an ninh của mình để phân loại rủi ro lỗ hổng và báo cáo. Do đó, đối với các lỗ hổng phát hiện trong báo cáo kiểm toán, cần tập trung vào các báo cáo lỗ hổng hiệu quả. Quá trình này tốt nhất là có một đội ngũ tư vấn an ninh của riêng mình để đưa ra đánh giá độc lập từ bên thứ ba.
第三,需要检查项目方公布的审计报告中的审计时间是否与项目最近的升级更新时间一致(或接近),同时还需注意审计报告中的代码是否涵盖了项目方当前在线的所有代码。由于经济成本和时间成本的考虑,项目方通常会只审计部分代码。因此,在这种情况下,需要判断经过审计的代码是否为核心协议代码。
第四,需要检查项目方在线运行的代码是否经过验证(开源),以及这些经过验证的代码是否与审计报告中的代码一致。通常审计是基于项目方在Github上的代码(而非已经部署在线上的代码)。如果项目最终部署到链上的代码没有开源,或者与被审计的代码存在较大差异,这些都是需要引起注意的问题。
总之,阅读审计报告是一项专业性较强的工作,建议在此过程中引入独立的第三方安全专家提供咨询意见。
OKX Web3 钱包安全团队:用户可以通过DeFi项目的官网或第三方网站,例如OKLink,查看智能合约的审计报告和开源状态。下面介绍常见的查看项目审计报告和开源状态的步骤:
第一,查找官方公告或网站。大多数可信的DeFi项目都会在其官方网站展示相关的文档信息,在项目文档页面,通常会有一个「安全」、「审计」或「合约地址」等页面链接到审计报告及项目方部署的合约地址。除了在项目方官方网站,通常其还会在官方的社交媒体如Medium、Twitter等展示审计报告和部署的合约地址信息。
第二,在阅读项目方官方网站后,可以通过OKLink浏览器查询项目方给出的部署合约地址信息,并在「合约」一栏中查看该地址部署合约的开源代码信息。
2)Trong quá trình đọc các nội dung giới thiệu, chúng ta cần chú ý đến phạm vi và mục tiêu của báo cáo kiểm toán, thường thì báo cáo kiểm toán sẽ ghi rõ Github Commit Id của các tài liệu được kiểm toán, chúng ta cần so sánh liệu các tài liệu được kiểm toán trong báo cáo kiểm toán có khớp với mã nguồn mở được triển khai trên chuỗi hay không.
3)Khi đọc phần phát hiện vấn đề, giải pháp và đề xuất, và kết quả kiểm toán, chúng ta cần tập trung quan tâm liệu đội ngũ dự án đã sửa chữa các lỗ hổng phát hiện theo các đề xuất hay không, cũng như liệu bên dự án đã thực hiện kiểm toán tiếp sau các thay đổi để đảm bảo tất cả các vấn đề đều được xử lý một cách thích đáng.
4)So sánh nhiều báo cáo. Nếu dự án đã trải qua nhiều lần kiểm toán, hãy xem xét sự khác biệt giữa các báo cáo kiểm toán khác nhau, hiểu rõ tình hình cải tiến an ninh của dự án.
Q5:Lịch sử tấn công của hacker, chương trình thưởng, giá trị tham khảo về tính an toàn của dự án DeFi?
Nhóm an ninh ví Web3 của OKX: Lịch sử tấn công của hacker và chương trình thưởng, cung cấp một giá trị tham khảo nhất định cho đánh giá tính an toàn của dự án DeFi, chủ yếu thể hiện trong một số khía cạnh sau:
Đầu tiên, lịch sử tấn công của hacker
1)Bày tỏ lỗ hổng lịch sử:Lịch sử tấn công có thể trình bày các lỗ hổng an ninh cụ thể mà dự án đã từng có, giúp người dùng hiểu những vấn đề an ninh nào đã bị khai thác trong quá khứ, cũng như liệu những vấn đề này đã được sửa chữa hoàn toàn hay chưa.
2)Đánh giá khả năng quản lý rủi ro:Làm thế nào dự án phản ứng với các sự kiện an ninh lịch sử, có thể thể hiện khả năng quản lý rủi ro và xử lý khẩn cấp của nó. Một dự án đáp ứng tích cực, sửa chữa lỗ hổng kịp thời và bồi thường người dùng bị ảnh hưởng thường được coi là một lựa chọn đầu tư đáng tin cậy và chín chắn hơn.
3)Uy tín dự án:Các vấn đề an ninh thường xuyên có thể làm suy giảm niềm tin của người dùng đối với dự án, nhưng nếu dự án có thể chỉ ra khả năng học hỏi từ sai sót và tăng cường biện pháp an ninh, điều này cũng có thể xây dựng uy tín dài hạn của nó.
Thứ hai, chương trình thưởng
Chương trình thưởng được thực hiện trong các dự án DeFi và các dự án phần mềm khác, là một chiến lược quan trọng để nâng cao tính an toàn và khai thác các lỗ hổng tiềm năng. Các chương trình này mang lại nhiều giá trị tham khảo cho đánh giá tính an toàn của dự án:
1)Tăng cường kiểm toán bên ngoài:Chương trình thưởng khuyến khích các nhà nghiên cứu an ninh toàn cầu tham gia vào kiểm toán an ninh của dự án. Phương pháp kiểm tra an ninh “dịch vụ đám mây” này có thể phơi bày các vấn đề mà kiểm toán nội bộ có thể bỏ lỡ, từ đó tăng cơ hội phát hiện và giải quyết các lỗ hổng tiềm năng.
2)Xác minh hiệu quả của biện pháp an ninh:Bằng cách thực hiện chương trình thưởng, dự án có thể kiểm tra hiệu quả của biện pháp an ninh trong thực tế. Nếu một dự án có chương trình thưởng kéo dài nhưng báo cáo các lỗ hổng nghiêm trọng ít, đây có thể là một chỉ số cho thấy dự án tương đối chín chắn và an toàn.
3)Cải tiến an ninh liên tục:Chương trình thưởng cung cấp một cơ chế cải tiến liên tục. Với xuất hiện của các công nghệ mới và các phương pháp tấn công mới, chương trình thưởng giúp nhóm dự án cập nhật và tăng cường biện pháp an ninh kịp thời, đảm bảo dự án có thể đối phó với những thách thức an ninh mới nhất.
4)Xây dựng văn hóa an ninh:Việc một dự án có thiết lập chương trình thưởng hay không, và tính nghiêm túc và hoạt động của chương trình, có thể phản ánh thái độ của nhóm dự án đối với an ninh. Một chương trình thưởng tích cực cho thấy cam kết của dự án trong việc xây dựng một văn hóa an ninh vững chắc.
5)Tăng cường lòng tin của cộng đồng và nhà đầu tư:Vị trí và hiệu quả của chương trình thưởng có thể chứng minh với cộng đồng và nhà đầu tư tiềm năng về sự coi trọng an ninh của dự án. Điều này không chỉ có thể tăng cường sự tin tưởng của người dùng, mà còn có thể thu hút thêm vốn đầu tư, vì nhà đầu tư thường thiên về những dự án đã chỉ ra trách nhiệm an ninh cao độ.
Q6:Khi tham gia DeFi, người dùng làm thế nào để xây dựng khả năng giám sát nhận thức
Nhóm an ninh BlockSec: Lấy ví dụ về người dùng cá mập, cá mập chủ yếu chỉ các nhà đầu tư cá nhân hoặc tổ chức đầu tư nhỏ, những người dùng này có quy mô vốn lớn, nhưng thường không có một nhóm an ninh mạnh mẽ, cũng không có khả năng tự nghiên cứu công cụ an ninh. Do đó, cho đến nay, phần lớn cá mập thực tế không có đủ khả năng nhận thức rủi ro, nếu không họ sẽ không chịu tổn thất lớn như vậy.
Do rủi ro về việc chịu tổn thất lớn, một số người dùng cá mập bắt đầu ý thức đến việc dựa vào một số công cụ an ninh công khai để giám sát và nhận thức rủi ro. Hiện nay, có nhiều nhóm đang làm sản phẩm giám sát, nhưng việc lựa chọn là rất quan trọng. Dưới đây là một số điểm quan trọng:
Trước hết, là chi phí sử dụng công cụ. Nhiều công cụ dù rất mạnh mẽ nhưng cần lập trình, chi phí sử dụng không hề thấp. Đối với người dùng, hiểu cấu trúc hợp đồng, thậm chí thu thập địa chỉ đều không phải là những việc dễ dàng.
Tiếp theo, là độ chính xác. Không ai muốn khi ngủ đêm liên tục nhận được mấy cảnh báo, và sau đó phát hiện ra là nhầm lẫn, điều này sẽ khiến tâm trạng người ta trở nên tồi tệ. Vì vậy, độ chính xác cũng rất quan trọng.
Cuối cùng, là vấn đề an ninh. Đặc biệt trong trường hợp quy mô vốn như vậy, không thể bỏ qua rủi ro an ninh phát triển công cụ và đội ngũ. Sự kiện tấn công Gala Game gần đây, theo tin đồn là do đưa vào một nhà cung cấp dịch vụ không an toàn. Vì vậy, một đội ngũ đáng tin cậy và một sản phẩm đáng tin cậy là vô cùng quan trọng.
Tính đến thời điểm này, cũng đã có nhiều cá nhân giàu có tìm đến chúng tôi, chúng tôi sẽ giới thiệu cho họ các giải pháp quản lý tài chính chuyên nghiệp, từ đó giúp người dùng cá nhân giàu có既能保证资金的安全 (bảo đảm an toàn của vốn), cũng có thể chi phối quản lý vốn hàng ngày như “đào, trích, bán”, nhận biết rủi ro, thậm chí là rút tiền trong tình trạng khẩn cấp.
Q7: Lời khuyên an ninh tham gia DeFi, cũng như cách xử lý rủi ro an ninh
Đội ngũ an ninh BlockSec: Đối với người tham gia với vốn lớn, việc tham gia vào giao thức DeFi đầu tiên là phải đảm bảo an toàn của vốn gốc, sau khi đã nghiên cứu khá đầy đủ về các rủi ro an ninh có thể, mới tiến hành đầu tư. Thông thường có thể đảm bảo an toàn của vốn từ một số khía cạnh sau:
Trước hết, cần đánh giá đa phương位 về mức độ quan tâm và đầu tư vào an ninh của bên phát triển dự án. Bao gồm những gì đã nói ở trên về việc có được một kiểm toán an ninh đầy đủ hay không, bên phát triển có khả năng giám sát và phản hồi tự động rủi ro an toàn của dự án hay không, có một cơ chế quản trị cộng đồng tốt hay không. Những điều này đều phản ánh liệu bên phát triển có coi vấn đề an toàn của vốn của người dùng là quan trọng, có có một thái độ chịu trách nhiệm cao độ với an toàn của vốn của người dùng hay không.
Thứ hai, những người tham gia với vốn lớn cũng cần xây dựng hệ thống giám sát an ninh và phản ứng tự động của riêng họ. Sau khi xảy ra sự kiện an ninh trong thỏa thuận đầu tư, những nhà đầu tư có vốn lớn nên có thể nhận biết ngay lập tức và rút vốn ra, cố gắng thu hồi các khoản mất mát, thay vì đặt mọi hy vọng vào bên dự án. Trong năm 2023, chúng ta có thể thấy nhiều dự án nổi tiếng đã bị tấn công, bao gồm Curve, KyberSwap, Euler Finance, v.v. Thật đáng tiếc là, chúng tôi phát hiện rằng khi tấn công xảy ra, những nhà đầu tư có vốn lớn thường thiếu thông tin kịp thời và hiệu quả, cũng không có hệ thống giám sát an ninh và rút lui khẩn cấp của riêng mình.
Ngoài ra, nhà đầu tư cần chọn các đối tác an ninh tốt để theo dõi an ninh của các mục tiêu đầu tư. Cho dù là nâng cấp mã nguồn của bên dự án, thay đổi các tham số quan trọng, đều cần có thể nhận biết kịp thời và đánh giá rủi ro. Việc này không thể hoàn thành mà không có sự tham gia của nhóm an ninh chuyên nghiệp và công cụ.
Cuối cùng, cần bảo vệ an toàn khóa riêng. Đối với những tài khoản cần giao dịch thường xuyên, tốt nhất là kết hợp phương pháp đa ký trực tuyến và giải pháp an ninh khóa riêng ngoại tuyến để loại trừ rủi ro điểm đơn sau khi mất một địa chỉ hoặc một khóa riêng.
Nếu một khi dự án đầu tư của bạn đối mặt với rủi ro an ninh, làm thế nào để xử lý?
Tôi tin rằng đối với bất kỳ cá mập hay nhà đầu tư nào, phản ứng đầu tiên khi phải đối mặt với sự kiện an ninh chắc chắn là bảo vệ vốn, rút vốn càng nhanh càng tốt là hành động ưu tiên. Tuy nhiên, tốc độ của kẻ tấn công thường rất nhanh, thao tác thủ công thường không kịp, do đó tốt nhất là có thể rút vốn tự động dựa trên rủi ro. Hiện tại, chúng tôi cung cấp các công cụ liên quan, có thể tự động rút vốn sau khi phát hiện giao dịch tấn công, giúp người dùng rút lui ưu tiên.
Cuối cùng, nếu là chủ đầu tư lớn, bạn cũng có thể yêu cầu các công ty an ninh kiểm tra các dự án đầu tư khác của mình để xem có vấn đề tương tự hay không. Nhiều cuộc tấn công có Root cause giống nhau, ví dụ như vấn đề mất độ chính xác của Compound V2, nhiều dự án đều có vấn đề tương tự và bị tấn công liên tục trong năm ngoái. Do đó, bạn có thể yêu cầu các công ty an ninh phân tích rủi ro của các dự án khác trong bộ đầu tư của bạn, nếu phát hiện rủi ro, nên liên lạc nhanh chóng với bên dự án hoặc rút vốn ra.
Nhóm an ninh ví Web3 của OKX: Khi tham gia vào các dự án DeFi, người dùng có thể thông qua nhiều biện pháp khác nhau để tham gia an toàn hơn vào các dự án DeFi, giảm thiểu rủi ro mất tiền và tận hưởng lợi ích từ tài chính phi tập trung. Chúng tôi sẽ phân tích từ hai khía cạnh: cấp độ người dùng và ví Web3 của OKX.
Thứ nhất, đối với người dùng:
1) Chọn các dự án đã được kiểm toán: ưu tiên chọn các dự án đã được kiểm toán bởi các công ty kiểm toán độc lập nổi tiếng (như ConsenSys Diligence, Trail of Bits, OpenZeppelin, Quantstamp, ABDK v.v.), xem xét báo cáo kiểm toán công khai của họ, hiểu rõ rủi ro tiềm năng và tình hình sửa chữa lỗ hổng.
2) Hiểu về nền tảng và nhóm của dự án: bằng cách nghiên cứu whitepaper, trang web chính thức và nền tảng của nhóm phát triển, đảm bảo dự án có tính minh bạch và đáng tin cậy. Theo dõi hoạt động của nhóm trên các phương tiện truyền thông xã hội và cộng đồng phát triển để hiểu về khả năng kỹ thuật và sự hỗ trợ từ cộng đồng.
3) Lựa chọn đa dạng: không nên đầu tư tất cả tiền vào một dự án DeFi hoặc tài sản duy nhất, đa dạng hóa đầu tư có thể giảm thiểu rủi ro. Chọn nhiều loại dự án DeFi khác nhau, như vay mượn, DEX, Farming v.v., để phân tán rủi ro.
4) Thử nghiệm với số tiền nhỏ: trước khi thực hiện giao dịch lớn, hãy thử nghiệm với số tiền nhỏ để đảm bảo tính an toàn của thao tác và nền tảng.
5) Theo dõi tài khoản thường xuyên và xử lý khẩn cấp: kiểm tra thường xuyên tài khoản DeFi và tài sản của bạn, phát hiện nhanh chóng các giao dịch hoặc hoạt động bất thường. Sử dụng các công cụ (như Etherscan) để theo dõi các bản ghi giao dịch trên chuỗi, đảm bảo an toàn tài sản. Sau khi phát hiện bất thường, cần thực hiện các biện pháp khẩn cấp kịp thời, ví dụ như thu hồi tất cả các ủy quyền tài khoản, liên hệ nhóm an ninh ví để nhận được hỗ trợ v.v.
6)Cẩn trọng sử dụng các dự án mới: Đối với các dự án mới chỉ mới ra mắt hoặc chưa được xác thực, hãy duy trì thái độ thận trọng. Bạn có thể đầu tư một số vốn nhỏ để thử nghiệm, quan sát tình hình hoạt động và tính an toàn của chúng.
7)Sử dụng ví Web3 chính chủ để thực hiện giao dịch: Chỉ sử dụng các ví Web3 chính chủ để tương tác với các dự án DeFi, các ví Web3 chính chủ cung cấp bảo vệ an toàn tốt hơn.
8)Phòng ngừa tấn công lừa đảo: Hãy cẩn trọng khi nhấp vào các liên kết lạ và các email không rõ nguồn gốc, không nhập khóa riêng tư hoặc cụm từ ghi nhớ vào các trang web không đáng tin cậy, đảm bảo rằng các liên kết bạn truy cập là các trang web chính thức. Sử dụng các kênh chính thức để tải xuống ví và ứng dụng, đảm bảo tính thực của phần mềm.
Thứ hai, từ khía cạnh ví Web3 của OKX:
Chúng tôi đã cung cấp nhiều cơ chế an ninh để bảo vệ sự an toàn của vốn của người dùng:
1)Kiểm tra tên miền rủi ro: Khi người dùng truy cập DAPP, ví Web3 của OKX sẽ tiến hành kiểm tra phân tích ở cấp độ tên miền, nếu người dùng truy cập vào một DAPP độc hại, nó sẽ chặn hoặc cảnh báo để ngăn người dùng bị lừa.
2)Kiểm tra token của bể貔貅: Ví Web3 của OKX hỗ trợ khả năng kiểm tra token của bể貔貅 hoàn chỉnh, chủ động chặn token của bể貔貅 trong ví, tránh người dùng cố gắng tương tác với token của bể貔貅.
3)Thư viện nhãn địa chỉ: Ví Web3 của OKX cung cấp một thư viện nhãn địa chỉ phong phú và hoàn chỉnh, khi người dùng tương tác với địa chỉ đáng ngờ, ví Web3 của OKX sẽ kịp thời đưa ra cảnh báo.
4)Thực hiện trước giao dịch: Trước khi người dùng gửi bất kỳ giao dịch nào, ví Web3 của OKX sẽ mô phỏng thực hiện giao dịch đó, và trình bày kết quả thay đổi tài sản và ủy quyền cho người dùng tham khảo. Người dùng có thể dựa vào kết quả này để đánh giá xem nó có phù hợp với kỳ vọng của mình hay không, để quyết định có tiếp tục gửi giao dịch đó hay không.
5)Tích hợp ứng dụng DeFi: Ví Web3 của OKX đã tích hợp các dịch vụ của các dự án DeFi chính chủ, người dùng có thể yên tâm tương tác với các dự án DeFi tích hợp thông qua ví Web3 của OKX. Ngoài ra, ví Web3 của OKX cũng sẽ đưa ra gợi ý về các dịch vụ DeFi như DEX, cầu nối song song để cung cấp cho người dùng dịch vụ DeFi tốt nhất và giải pháp Gas tối ưu nhất.
Q8:Không chỉ là người dùng, các dự án DeFi cũng phải đối mặt với những loại rủi ro và cách bảo vệ?
Đội ngũ an ninh BlockSec: Các loại rủi ro mà các dự án DeFi phải đối mặt bao gồm rủi ro an ninh mã nguồn, rủi ro an ninh vận hành và rủi ro phụ thuộc bên ngoài.
Đầu tiên, rủi ro an ninh mã nguồn. Tức là các lỗ hổng an ninh có thể tồn tại ở cấp độ mã nguồn trong các dự án DeFi. Đối với các dự án DeFi, hợp đồng thông minh là phần mềm cốt lõi của họ (các quy trình xử lý trước và sau giao diện người dùng thuộc phần phát triển phần mềm truyền thống, tương đối đã chín muồi), cũng là trọng tâm của chúng tôi trong việc quan tâm và thảo luận, bao gồm:
1) Thứ nhất, từ góc độ phát triển, cần tuân thủ các phương pháp phát triển an toàn hợp đồng thông minh công nhận trong ngành, ví dụ như chế độ Checks-Effects-Interactions để ngăn ngừa lỗ hổng tái nhập; ngoài ra, các tính năng thường sử dụng nên chọn các thư viện bên thứ ba đáng tin cậy để thực hiện, tránh rủi ro không xác định do lặp lại phát minh bánh xe.
2) Thứ hai là thực hiện kiểm tra nội bộ, kiểm tra là một bước quan trọng trong phát triển phần mềm, có thể giúp phát hiện nhiều vấn đề. Tuy nhiên, đối với các dự án DeFi, chỉ kiểm tra cục bộ chưa đủ để phơi bày các vấn đề, cần phải kiểm tra thêm trong môi trường triển khai gần như thực tế, có thể sử dụng các công cụ như Phalcon Fork để hỗ trợ thực hiện.
3) Cuối cùng, sau khi kiểm tra hoàn thành, kết nối với dịch vụ kiểm toán của các bên thứ ba có uy tín. Kiểm toán dù không thể đảm bảo 100% không có vấn đề, nhưng công việc kiểm toán hệ thống có thể giúp các bên dự án định vị các vấn đề an ninh thông thường đã biết ở mức lớn, và những vấn đề này thường là những phần mà nhà phát triển không quen thuộc hoặc khó tiếp cận hơn do khác biệt trong tư duy. Tất nhiên, do các công ty kiểm toán khác nhau về chuyên môn và hướng đi, nếu ngân sách cho phép, trong thực tiễn cũng khuyến khích nhiều hơn 2 hoặc nhiều công ty kiểm toán tham gia.
Thứ hai, rủi ro an ninh vận hành. tức là những rủi ro an ninh xuất hiện trong quá trình vận hành sau khi dự án được đưa ra mắt. Một mặt, mã nguồn vẫn có thể chứa những lỗ hổng không biết trước. Ngay cả khi mã nguồn đã được phát triển, kiểm tra và kiểm toán tốt, vẫn có thể tồn tại những vấn đề an ninh chưa được phát hiện, điều này đã được chứng minh rộng rãi trong nhiều thập kỷ của việc thực hành an ninh phát triển phần mềm; Mặt khác, ngoài vấn đề ở cấp độ mã nguồn, sau khi dự án được đưa ra mắt, nó sẽ phải đối mặt với nhiều thách thức hơn, ví dụ như rò rỉ khóa riêng, thiết lập sai tham số quan trọng của hệ thống, v.v., đều có thể gây ra hậu quả nghiêm trọng và tổn thất lớn. Lời khuyên về chiến lược ứng phó với rủi ro an ninh vận hành bao gồm:
1) Xây dựng và hoàn thiện quản lý khóa riêng: Sử dụng phương pháp quản lý khóa riêng đáng tin cậy, như ví phần cứng đáng tin cậy hoặc giải pháp ví dựa trên MPC.
2) Thực hiện giám sát tình trạng vận hành: Giám sát hệ thống để nhận biết các hoạt động đặc quyền và tình trạng an ninh trong quá trình vận hành của dự án.
3) Xây dựng cơ chế phản hồi tự động đối với rủi ro: Ví dụ như sử dụng BlockSec Phalcon, có thể tự động thực hiện ngưỡng cấm khi chịu tấn công, tránh (tổn thất) thêm.
4) Tránh rủi ro điểm đơn của hoạt động đặc quyền: như sử dụng ví đa ký Sure để thực hiện hoạt động đặc quyền.
Thứ ba, rủi ro phụ thuộc bên ngoài là những rủi ro do dự án phụ thuộc vào các yếu tố bên ngoài, ví dụ như phụ thuộc vào các giao thức DeFi khác cung cấp giá trộm, nhưng trộm gặp vấn đề dẫn đến tính toán giá có kết quả sai sót. Lời khuyên đối với rủi ro phụ thuộc bên ngoài bao gồm:
1) Chọn các đối tác bên ngoài đáng tin cậy, như các giao thức hàng đầu được công nhận trong ngành.
2) Thực hiện giám sát tình trạng vận hành: Tương tự như rủi ro an ninh vận hành, nhưng ở đây đối tượng giám sát là phụ thuộc bên ngoài.
3) Xây dựng cơ chế phản hồi tự động đối với rủi ro: Tương tự như rủi ro an ninh vận hành, nhưng phương pháp xử lý có thể khác nhau, ví dụ như chuyển sang phụ thuộc dự phòng thay vì trực tiếp tạm ngưng toàn bộ giao thức.
Ngoài ra, đối với các bên dự án mong muốn xây dựng khả năng giám sát, chúng tôi cũng đưa ra một số lời khuyên giám sát.
1)Chính xác thiết lập điểm giám sát: Xác định các trạng thái (biến) quan trọng của giao thức, tại những vị trí nào cần giám sát, đây là bước đầu tiên trong việc xây dựng khả năng giám sát. Tuy nhiên, việc thiết lập điểm giám sát rất khó để phủ nhận toàn diện, đặc biệt trong việc giám sát tấn công, đề nghị sử dụng các công cụ phát hiện tấn công của bên thứ ba chuyên nghiệp bên ngoài, đã qua kiểm nghiệm thực chiến.
2)Đảm bảo tính chính xác và kịp thời của giám sát: Tính chính xác của giám sát có nghĩa là không có quá nhiều báo cáo sai (FP) và thiếu báo cáo (FN), một hệ thống giám sát không chính xác thực sự là không thể sử dụng; Kịp thời là tiền đề để thực hiện phản ứng (ví dụ như có thể phát hiện được sau khi hợp đồng đáng ngờ được triển khai, trước khi giao dịch tấn công được đưa lên chuỗi), nếu không thì chỉ có thể sử dụng cho phân tích sau khi xảy ra, điều này có yêu cầu rất cao về hiệu suất và ổn định của hệ thống giám sát.
3)Cần có khả năng phản ứng tự động: Dựa trên giám sát chính xác và theo thời gian thực, có thể xây dựng phản ứng tự động, bao gồm ngăn chặn tấn công bằng cách tạm dừng giao thức, v.v. Ở đây cần có một khung phản ứng tự động tùy chỉnh, đáng tin cậy hỗ trợ, có thể tùy chỉnh chiến lược phản ứng theo nhu cầu của bên dự án và tự động kích hoạt thực thi.
Tổng thể而言, xây dựng khả năng giám sát cần có sự tham gia của nhà cung cấp an ninh chuyên nghiệp bên ngoài.
Nhóm an ninh ví Web3 OKX: Các bên dự án DeFi đối mặt với nhiều rủi ro, trong đó主要包括 sau đây:
1)Rủi ro kỹ thuật: Bao gồm chủ yếu lỗ hổng hợp đồng thông minh và tấn công mạng. Các biện pháp bảo vệ bao gồm áp dụng các phương pháp phát triển an toàn, thuê các công ty kiểm toán bên thứ ba chuyên nghiệp để kiểm tra toàn diện các hợp đồng thông minh, thiết lập chương trình thưởng lỗ hổng để khuyến khích các hacker trắng phát hiện lỗ hổng, cũng như thực hiện tách tài sản để nâng cao tính an toàn của quỹ, v.v.
2)Rủi ro thị trường: Bao gồm chủ yếu biến động giá cả, rủi ro thanh khoản, thao túng thị trường và rủi ro kết hợp. Các biện pháp bảo vệ bao gồm sử dụng đồng tiền ổn định và đối đầu rủi ro để ngăn ngừa biến động giá cả, tận dụng đào tạo thanh khoản và cơ chế phí động để đối phó với rủi ro thanh khoản, kiểm tra kỹ loại tài sản được hỗ trợ bởi giao thức DeFi và sử dụng oracle phi tập trung để ngăn ngừa thao túng thị trường, cũng như thông qua đổi mới liên tục và tối ưu hóa chức năng giao thức để đối phó với rủi ro cạnh tranh.
3)Rủi ro vận hành: Gồm chủ yếu là sai sót do người và rủi ro cơ chế quản lý. Các biện pháp bảo vệ bao gồm thiết lập các quy trình nội bộ và vận hành chặt chẽ để giảm thiểu sự xảy ra của sai sót do người, sử dụng các công cụ tự động để nâng cao hiệu quả vận hành, cũng như thiết kế các cơ chế quản lý hợp lý, đảm bảo cân bằng giữa phi tập trung và an ninh, như giới thiệu trễ bỏ phiếu và cơ chế đa ký. Đồng thời, cũng cần giám sát và dự án khẩn cấp cho các dự án đã triển khai, nếu có bất thường có thể ngay lập tức áp dụng các biện pháp, giảm thiểu thiệt hại đến mức tối thiểu.
4)Rủi ro quản lý: Yêu cầu pháp lý tuân thủ và nghĩa vụ chống rửa tiền (AML)/ hiểu khách hàng của bạn (KYC). Các biện pháp bảo vệ bao gồm thuê luật sư để đảm bảo dự án tuân thủ các yêu cầu pháp lý và quản lý, thiết lập các chính sách tuân thủ minh bạch và chủ động thực hiện các biện pháp AML và KYC để nâng cao niềm tin của người dùng và cơ quan quản lý.
Q9:Bên DeFi dự án, làm thế nào để đánh giá và chọn lựa một công ty kiểm toán tốt?
Nhóm an ninh BlockSec: Bên DeFi dự án, làm thế nào để đánh giá và chọn lựa một công ty kiểm toán tốt, ở đây có một số tiêu chuẩn đơn giản có thể tham khảo:
1)Có kiểm toán过哪些 known projects không:Điều này cho thấy công ty kiểm toán đó được các dự án nổi tiếng này công nhận.
2)Các dự án đã kiểm toán có bị tấn công không:Dù rằng lý thuyết cho rằng kiểm toán không thể đảm bảo 100% an toàn, nhưng kinh nghiệm thực tế cho thấy các công ty kiểm toán có uy tín kiểm toán phần lớn các dự án chưa từng có kỷ lục bị tấn công.
3)Quán điểm chất lượng kiểm toán thông qua các báo cáo kiểm toán trước đây:Báo cáo kiểm toán là biểu tượng quan trọng để đo lường trình độ chuyên nghiệp của công ty kiểm toán, đặc biệt là trong trường hợp kiểm toán cùng một dự án, cùng phạm vi kiểm toán có thể so sánh, có thể tập trung quan tâm vào chất lượng (mức độ nguy hiểm) và số lượng các lỗ hổng phát hiện, liệu các lỗ hổng phát hiện thường được bên dự án chấp nhận hay không.
4)Nhân viên chuyên nghiệp:Thành phần của nhân viên công ty kiểm toán, bao gồm trình độ học vấn và nền tảng nghề nghiệp, giáo dục hệ thống và kinh nghiệm nghề nghiệp rất hữu ích để đảm bảo chất lượng kiểm toán.
