Giới thiệu: Ví OKX Web3 đã lên kế hoạch đặc biệt cho cột "Vấn đề bảo mật đặc biệt" để cung cấp câu trả lời đặc biệt cho các loại vấn đề bảo mật trên chuỗi khác nhau. Thông qua những trường hợp thực tế nhất xảy ra xung quanh người dùng, chúng tôi hợp tác với các chuyên gia hoặc tổ chức trong lĩnh vực bảo mật để chia sẻ và giải đáp các câu hỏi từ các góc độ khác nhau, từ đó sàng lọc và tóm tắt các quy tắc giao dịch an toàn từ nông cạn đến sâu hơn, nhằm tăng cường an toàn cho người dùng. giáo dục và giúp Người dùng học cách bảo vệ tính bảo mật của khóa riêng và tài sản ví khỏi chính họ.

Điểm hấp dẫn lớn nhất của thế giới DeFi là ai cũng có tiềm năng trở thành “cá voi khổng lồ”

Nhưng ngay cả “cá voi khổng lồ” cũng không thể dũng cảm dù ăn thịt nhưng cũng có lúc bị “đánh”.

Vì thế khi chơi trên dây chuyền an toàn được đặt lên hàng đầu

Nếu không chúng ta phải bắt đầu lại từ đầu~

Số này là số thứ 05 của số đặc biệt về bảo mật. Những người tiên phong về bảo mật Blockchain BlockSec và nhóm bảo mật ví OKX Web3 được mời đặc biệt để chia sẻ vấn đề này dưới góc độ hướng dẫn thực tế cho tất cả người dùng và các bên dự án sắp trở thành hoặc đã trở thành. "cá voi khổng lồ" Hướng dẫn phòng ngừa rủi ro DeFi. Ví dụ: cách đọc báo cáo kiểm toán, các chỉ số và thông số thường được sử dụng để đánh giá sơ bộ rủi ro của dự án DeFi, các bên tham gia dự án hoặc người dùng cá voi, cách xây dựng khả năng nhận thức giám sát, quy tắc bảo vệ bảo mật DeFi, v.v... Đừng bỏ lỡ!

Nhóm bảo mật BlockSec: BlockSec là nhà cung cấp dịch vụ bảo mật blockchain "full stack" hàng đầu thế giới. Hiện tại, công ty đã phục vụ hơn 300 khách hàng, bao gồm các bên dự án nổi tiếng như MetaMask, Composite, Uniswap Foundation, Forta, PancakeSwap, Puffer, v.v., nhờ chiếc mũ trắng Cuộc giải cứu đã thu hồi được hơn 20 triệu USD thiệt hại tài chính.

Giám đốc điều hành & Đồng sáng lập BlockSec Chu Yajin là giáo sư máy tính tại Đại học Chiết Giang và là học giả có ảnh hưởng nhất thế giới do Aminer bình chọn. Ông đã xuất bản hơn 50 bài báo hàng đầu và nhận được hơn 10.000 trích dẫn. CTO & Đồng sáng lập Wu Lei là giáo sư máy tính tại Đại học Chiết Giang và là cựu đồng sáng lập của Paidun. Ông đã lãnh đạo nhóm phát hiện hàng chục lỗ hổng zero-day trong nhiều dự án nổi tiếng. Giám đốc sản phẩm Raymond từng chịu trách nhiệm về các sản phẩm bảo mật tại Tencent và 360.

Nhóm bảo mật ví OKX Web3: Xin chào mọi người, tôi rất vui được chia sẻ điều này. Nhóm Bảo mật OKX Web3 chịu trách nhiệm chính trong việc xây dựng các khả năng bảo mật khác nhau của OKX trong lĩnh vực Web3, chẳng hạn như kiểm tra bảo mật hợp đồng thông minh, xây dựng khả năng bảo mật ví, giám sát bảo mật dự án trên chuỗi, v.v., để cung cấp cho người dùng nhiều khía cạnh chẳng hạn như bảo mật sản phẩm, bảo mật quỹ và bảo mật giao dịch góp phần duy trì hệ sinh thái bảo mật của toàn bộ chuỗi khối.

Q1: Chia sẻ một số trường hợp rủi ro DeFi mà người dùng thực tế đã gặp phải

Nhóm bảo mật BlockSec: DeFi đã thu hút nhiều nhà đầu tư lớn tham gia vì nó mang lại lợi nhuận tương đối ổn định và cao cho tài sản. Để cải thiện tính thanh khoản, nhiều bên dự án cũng sẽ tích cực mời các nhà đầu tư lớn đến định cư. Ví dụ: chúng ta thường thấy các bản tin cho rằng một số nhà đầu tư lớn gửi số lượng lớn tài sản vào DeFi. Tất nhiên, ngoài việc thu về lợi nhuận ổn định, những chú cá voi khổng lồ này cũng sẽ gặp phải một số rủi ro khi tham gia vào các dự án DeFi. Tiếp theo, chúng tôi chia sẻ một số trường hợp rủi ro DeFi công khai trong ngành:

Trường hợp 1: Trong sự cố bảo mật PolyNetwork năm 2022, tổng tài sản trị giá hơn 600 triệu USD đã bị tấn công. Người ta nói rằng Shenyu cũng có 100 triệu đô la Mỹ trong đó. Mặc dù kẻ tấn công sau đó đã trả lại tiền và sự việc đã được giải quyết thành công nhưng Shenyu cũng tuyên bố sẽ xây dựng một tượng đài trên dây chuyền để tưởng nhớ vụ việc, nhưng quá trình này phải xảy ra. đã rất đau đớn. Mặc dù một số ít sự cố an ninh hiện nay có kết quả tốt nhưng phần lớn lại không may mắn như vậy.

Trường hợp 2: DEX SushiSwap nổi tiếng đã bị tấn công vào năm 2023. Người dùng lớn 0x Sifu đã mất hơn 3,3 triệu đô la Mỹ, riêng khoản lỗ của anh ta đã chiếm khoảng 90% tổng số tiền thua lỗ.

Trường hợp 3: Trong sự cố bảo mật Prisma vào tháng 3 năm nay, tổng thiệt hại là 14 triệu USD. Những tổn thất này đến từ 17 địa chỉ ví, với mức tổn thất trung bình là 820.000 USD mỗi ví, nhưng 4 người dùng chiếm 80% tổng số tổn thất. Phần lớn tài sản bị đánh cắp này vẫn chưa được thu hồi.

Trong phân tích cuối cùng, DeFi, đặc biệt là DeFi trên mạng chính, vì Gas Fee không thể bỏ qua, chỉ khi tài sản đạt đến một quy mô nhất định thì bạn mới thực sự nhận được lợi ích (ngoại trừ phần thưởng airdrop). thường được đóng góp bởi những con cá voi khổng lồ và thậm chí trong một số dự án, 2% cá voi đóng góp 80% TVL. Khi xảy ra sự cố an ninh, những con cá voi khổng lồ này chắc chắn sẽ chịu phần lớn tổn thất. “Bạn không thể chỉ nhìn thấy những con cá voi khổng lồ ăn thịt mà đôi khi chúng còn bị đánh đập”.

Nhóm bảo mật ví OKX Web3: Với sự thịnh vượng và phát triển của thế giới on-chain, các trường hợp rủi ro DeFi mà người dùng gặp phải cũng ngày càng gia tăng. Bảo mật trên on-chain sẽ luôn là nhu cầu cơ bản và quan trọng nhất đối với người dùng.

Trường hợp 1: Sự cố rò rỉ khóa riêng của tài khoản đặc quyền PlayDapp. Từ ngày 9 đến ngày 12 tháng 2 năm 2024, nền tảng chơi game PlayDapp dựa trên Ethereum đã bị tấn công do rò rỉ khóa riêng. Những kẻ tấn công đã đúc và đánh cắp 1,79 tỷ mã thông báo PLA mà không được phép, dẫn đến thiệt hại khoảng 32,35 triệu USD. Kẻ tấn công đã thêm một công cụ đào tiền mới vào mã thông báo PLA và đúc một lượng lớn PLA, lan truyền nó trên nhiều địa chỉ và sàn giao dịch trên chuỗi.

Trường hợp 2: Tấn công Hedgey Finance. Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một vụ vi phạm an ninh nghiêm trọng trên Ethereum và Arbitrum, dẫn đến khoản lỗ khoảng 44,7 triệu USD. Kẻ tấn công khai thác việc hợp đồng thiếu xác thực đầu vào của người dùng để giành được quyền đối với hợp đồng dễ bị tấn công, từ đó đánh cắp tài sản từ hợp đồng.

Câu 2: Bạn có thể tóm tắt các loại rủi ro chính hiện đang tồn tại trong lĩnh vực DeFi không?

Nhóm bảo mật ví OKX Web3: Dựa trên các trường hợp thực tế, chúng tôi đã phân loại 4 loại rủi ro phổ biến trong lĩnh vực DeFi hiện tại

Loại 1: Tấn công lừa đảo. Tấn công lừa đảo là một loại tấn công mạng phổ biến nhằm lừa nạn nhân cung cấp thông tin nhạy cảm như khóa riêng, mật khẩu hoặc dữ liệu cá nhân khác bằng cách giả vờ là một thực thể hoặc cá nhân hợp pháp. Trong không gian DeFi, các cuộc tấn công lừa đảo thường được thực hiện theo các cách sau:

1) Trang web giả mạo: Kẻ tấn công tạo các trang web lừa đảo tương tự như các dự án DeFi thật để lừa người dùng ký ủy quyền hoặc giao dịch chuyển khoản.

2) Tấn công kỹ thuật xã hội: Trên Twitter, kẻ tấn công sử dụng các tài khoản giả mạo cao hoặc chiếm đoạt tài khoản Twitter hoặc Discord của nhóm dự án để đăng các quảng cáo sai sự thật hoặc thông tin airdrop (thực chất là các liên kết lừa đảo) để thực hiện các cuộc tấn công lừa đảo nhằm vào người dùng.

3) Hợp đồng thông minh độc hại: Những kẻ tấn công xuất bản các hợp đồng thông minh hoặc dự án DeFi có vẻ hấp dẫn để lừa người dùng cấp quyền truy cập của họ, từ đó đánh cắp tiền.

Loại 2: Rugpull. Rugpull là một trò lừa đảo độc nhất vô nhị trong lĩnh vực DeFi, nó đề cập đến việc nhà phát triển dự án đột ngột rút tiền và biến mất sau khi thu hút được một lượng đầu tư lớn, khiến toàn bộ tiền của nhà đầu tư bị cuốn trôi. Rugpull thường xảy ra trong các sàn giao dịch phi tập trung (DEX) và các dự án khai thác thanh khoản. Các biểu hiện chính bao gồm:

1) Rút thanh khoản: Các nhà phát triển cung cấp một lượng lớn thanh khoản trong nhóm thanh khoản để thu hút người dùng đầu tư, sau đó đột ngột rút toàn bộ thanh khoản, khiến giá token giảm mạnh và nhà đầu tư chịu tổn thất nặng nề.

2) Dự án giả mạo: Các nhà phát triển tạo ra một dự án DeFi có vẻ hợp pháp để thu hút người dùng đầu tư thông qua những lời hứa hão huyền và lợi nhuận cao, nhưng trên thực tế không có sản phẩm hoặc dịch vụ thực tế.

3) Thay đổi quyền của hợp đồng: Nhà phát triển có thể sử dụng cửa hậu hoặc quyền trong hợp đồng thông minh để thay đổi các quy tắc của hợp đồng hoặc rút tiền bất cứ lúc nào.

Loại 3: Lỗ hổng hợp đồng thông minh. Hợp đồng thông minh là các mã tự thực thi chạy trên blockchain và không thể thay đổi sau khi triển khai. Nếu có lỗ hổng trong hợp đồng thông minh, nó sẽ dẫn đến các vấn đề bảo mật nghiêm trọng. Các lỗ hổng hợp đồng thông minh phổ biến bao gồm:

1) Lỗ hổng Reentrancy: Kẻ tấn công liên tục gọi hợp đồng dễ bị tổn thương trước khi lệnh gọi cuối cùng hoàn thành, gây ra vấn đề với trạng thái nội bộ của hợp đồng.

2) Lỗi logic: Lỗi logic trong thiết kế hoặc thực hiện hợp đồng, dẫn đến hành vi hoặc lỗ hổng không mong muốn.

3) Tràn số nguyên: Hợp đồng không xử lý chính xác các phép toán số nguyên, dẫn đến tràn hoặc tràn số nguyên.

4) Thao túng giá: Kẻ tấn công thực hiện cuộc tấn công bằng cách thao túng giá của máy oracle.

5) Mất độ chính xác: lỗi tính toán do vấn đề về độ chính xác của dấu phẩy động hoặc số nguyên.

6) Thiếu xác thực đầu vào: Đầu vào của người dùng không được xác thực đầy đủ, dẫn đến các vấn đề bảo mật tiềm ẩn.

Loại 4: Rủi ro quản trị. Rủi ro quản trị liên quan đến các cơ chế ra quyết định và kiểm soát cốt lõi của dự án. Nếu sử dụng sai mục đích, nó có thể khiến dự án đi chệch khỏi mục tiêu dự kiến, thậm chí dẫn đến thiệt hại nghiêm trọng về kinh tế và khủng hoảng lòng tin. Các loại rủi ro phổ biến bao gồm:

1) Rò rỉ khóa riêng

Các tài khoản đặc quyền của một số dự án DeFi được kiểm soát bởi EOA (Tài khoản thuộc sở hữu bên ngoài) hoặc ví đa chữ ký. Nếu các khóa riêng này bị rò rỉ hoặc bị đánh cắp, kẻ tấn công có thể tùy ý thao túng hợp đồng hoặc tiền.

2) Tấn công quản trị

Mặc dù một số dự án DeFi áp dụng các giải pháp quản trị phi tập trung nhưng chúng vẫn có những rủi ro sau:

·Mượn mã thông báo quản trị: Những kẻ tấn công thao túng kết quả bỏ phiếu trong một khoảng thời gian ngắn bằng cách vay số lượng lớn mã thông báo quản trị.

·Kiểm soát quyền biểu quyết của đa số: Nếu mã thông báo quản trị tập trung nhiều vào tay một số ít người, những người này có thể kiểm soát việc ra quyết định của toàn bộ dự án thông qua quyền biểu quyết tập trung.

Câu hỏi 3: Những thứ nguyên hoặc tham số nào có thể được sử dụng để đánh giá ban đầu mức độ bảo mật và rủi ro của các dự án DeFi?

Nhóm bảo mật BlockSec: Trước khi tham gia dự án DeFi, việc tiến hành đánh giá bảo mật tổng thể của dự án là rất cần thiết. Đặc biệt đối với những người tham gia có số tiền tương đối lớn, việc thẩm định bảo mật cần thiết có thể đảm bảo an toàn cho tiền ở mức độ lớn nhất.

Đầu tiên, nên tiến hành đánh giá toàn diện về tính bảo mật quy tắc của dự án, bao gồm cả việc bên dự án đã được kiểm toán chưa và liệu dự án đó có được kiểm toán bởi một công ty kiểm toán có danh tiếng bảo mật tốt hay không, liệu có nhiều công ty kiểm toán tham gia hay không, liệu mã mới nhất đã được kiểm tra, v.v. Nói chung, nếu mã chạy trực tuyến đã được kiểm tra bởi nhiều công ty bảo mật có danh tiếng bảo mật tốt thì nguy cơ bị tấn công bảo mật sẽ giảm đi rất nhiều.

Thứ hai, nó phụ thuộc vào việc bên dự án có triển khai hệ thống giám sát an ninh thời gian thực hay không. Bảo mật được đảm bảo bởi kiểm tra bảo mật là tĩnh và không thể giải quyết các vấn đề bảo mật động gây ra sau khi dự án trực tuyến. Ví dụ: bên dự án đã điều chỉnh không đúng các thông số vận hành chính của dự án, thêm Pool mới, v.v. Nếu bên dự án áp dụng một số hệ thống giám sát an ninh thời gian thực, hệ số an toàn trong quá trình hoạt động sẽ cao hơn so với các giao thức không áp dụng giải pháp đó.

Thứ ba, nó phụ thuộc vào việc bên dự án có khả năng ứng phó tự động trong các tình huống khẩn cấp hay không. Khả năng này từ lâu đã bị cộng đồng bỏ qua. Chúng tôi nhận thấy rằng trong nhiều sự cố bảo mật, phía dự án đã không triển khai được chức năng ngắt mạch tự động (hoặc bộ ngắt mạch cho các hoạt động nhạy cảm với quỹ). Các bên tham gia dự án chủ yếu sử dụng các phương pháp thủ công để xử lý các sự cố bảo mật trong trường hợp khẩn cấp và phương pháp này đã được chứng minh là không hiệu quả, thậm chí không hiệu quả.

Thứ tư, nó phụ thuộc vào sự phụ thuộc bên ngoài của bên tham gia dự án và mức độ vững chắc của những phụ thuộc bên ngoài đó. Dự án DeFi sẽ dựa vào thông tin được cung cấp bởi các dự án bên thứ ba, chẳng hạn như giá cả, tính thanh khoản, v.v. Do đó, cần đánh giá tính bảo mật của các dự án từ góc độ số lượng phụ thuộc bên ngoài, tính bảo mật của các dự án phụ thuộc bên ngoài và liệu có giám sát và xử lý theo thời gian thực dữ liệu bất thường của các phụ thuộc bên ngoài hay không. Nói chung, các dự án mà bên dự án phụ thuộc bên ngoài là bên đứng đầu dự án và có khả năng chịu lỗi cũng như xử lý dữ liệu bất thường theo thời gian thực từ các dự án bên ngoài sẽ an toàn hơn.

Thứ năm, bên dự án có cơ cấu quản trị cộng đồng tương đối tốt hay không. Điều này bao gồm liệu bên dự án có cơ chế bỏ phiếu cộng đồng cho các sự kiện lớn hay không, liệu các hoạt động nhạy cảm có được hoàn thành với nhiều chữ ký hay không, liệu ví đa chữ ký có giới thiệu sự tham gia trung lập của cộng đồng hay không và liệu có ủy ban an toàn cộng đồng hay không, v.v. Các cấu trúc quản trị này có thể cải thiện tính minh bạch của dự án và giảm khả năng tiền của người dùng trong dự án bị thu hồi.

Cuối cùng, lịch sử quá khứ của bên dự án cũng rất quan trọng. Nhóm dự án và các thành viên cốt lõi của dự án cần phải kiểm tra lý lịch. Nếu các thành viên cốt lõi của nhóm dự án đã bị tấn công nhiều lần hoặc có hồ sơ lịch sử không tốt như rugpull trong các dự án trước đây thì rủi ro bảo mật của dự án đó sẽ tương đối cao.

Tóm lại, trước khi tham gia vào một dự án DeFi, người dùng, đặc biệt là những người tham gia có vốn lớn, phải thực hiện tốt công việc nghiên cứu, từ kiểm tra bảo mật mã trước khi dự án lên mạng đến giám sát bảo mật thời gian thực và xây dựng khả năng phản hồi tự động sau khi dự án đi vào hoạt động. trực tuyến, để kiểm tra tính bảo mật của Đầu tư và bảo mật của bên dự án, đồng thời công việc điều chỉnh phải được thực hiện từ góc độ phụ thuộc bên ngoài, cơ cấu quản trị và lịch sử trong quá khứ của bên dự án để đảm bảo an toàn cho vốn đầu tư vào dự án.

Nhóm bảo mật ví OKX Web3: Mặc dù tính bảo mật của các dự án DeFi không thể được đảm bảo 100%, nhưng ban đầu người dùng có thể đánh giá mức độ bảo mật và rủi ro của các dự án DeFi thông qua sự kết hợp chéo của các khía cạnh sau.

1. An toàn kỹ thuật công trình

1. Kiểm toán hợp đồng thông minh:

1) Kiểm tra xem dự án đã được kiểm toán bởi nhiều công ty kiểm toán chưa và liệu công ty kiểm toán đó có danh tiếng và kinh nghiệm tốt hay không.

2) Kiểm tra số lượng và mức độ nghiêm trọng của các vấn đề được báo cáo trong báo cáo kiểm toán để đảm bảo rằng tất cả các vấn đề đã được khắc phục.

3) Kiểm tra xem mã được dự án triển khai có phù hợp với phiên bản mã đã được kiểm tra hay không.

2. Mã nguồn mở:

1) Kiểm tra xem mã của dự án có phải là mã nguồn mở hay không. Mã nguồn mở cho phép cộng đồng và các chuyên gia bảo mật xem xét nó, giúp phát hiện các vấn đề bảo mật tiềm ẩn.

2) Nền tảng của nhóm phát triển: Hiểu nền tảng và kinh nghiệm của nhóm phát triển dự án, đặc biệt là kinh nghiệm của họ trong lĩnh vực blockchain và bảo mật, cũng như mức độ minh bạch và thông tin cởi mở của nhóm.

3) Chương trình thưởng lỗi: Dự án có chương trình thưởng lỗi để khuyến khích các nhà nghiên cứu bảo mật báo cáo các lỗ hổng không?

3. An ninh tài chính và kinh tế

1) Số tiền bị khóa: Kiểm tra số tiền bị khóa trong hợp đồng thông minh. Mức độ khóa cao hơn có thể có nghĩa là dự án có mức độ tin cậy cao hơn.

2) Khối lượng giao dịch và tính thanh khoản: Đánh giá khối lượng giao dịch và tính thanh khoản của dự án. Tính thanh khoản thấp có thể làm tăng nguy cơ thao túng giá.

3) Mô hình kinh tế mã thông báo: Đánh giá mô hình kinh tế mã thông báo của dự án, bao gồm phân phối mã thông báo, cơ chế khuyến khích và mô hình lạm phát. Ví dụ: liệu có sự tập trung quá mức vào việc nắm giữ mã thông báo hay không, v.v.

4. Bảo mật vận hành và quản lý

1) Cơ chế quản trị: Hiểu cơ chế quản trị của dự án, liệu có cơ chế quản trị phi tập trung hay không và liệu cộng đồng có thể bỏ phiếu cho các quyết định quan trọng hay không, đồng thời phân tích việc phân phối mã thông báo quản trị và tập trung quyền biểu quyết, v.v.

2) Các biện pháp quản lý rủi ro: Dự án có các biện pháp quản lý rủi ro và kế hoạch khẩn cấp cũng như cách đối phó với các mối đe dọa an ninh và tấn công kinh tế tiềm ẩn hay không. Ngoài ra, về tính minh bạch của dự án và giao tiếp với cộng đồng, bạn có thể xem liệu bên dự án có thường xuyên xuất bản báo cáo tiến độ dự án và cập nhật bảo mật hay không và liệu họ có tích cực giao tiếp với cộng đồng và giải quyết các vấn đề của người dùng hay không, v.v.

5. Đánh giá thị trường và cộng đồng

1) Hoạt động cộng đồng: Đánh giá hoạt động cộng đồng và cơ sở người dùng của dự án. Một cộng đồng tích cực thường có nghĩa là dự án có sự hỗ trợ rộng rãi.

2) Đánh giá phương tiện truyền thông và mạng xã hội: Phân tích đánh giá dự án trên các phương tiện truyền thông và mạng xã hội để hiểu ý kiến của người dùng và các chuyên gia trong ngành về dự án.

3) Đối tác và nhà đầu tư: Kiểm tra xem dự án có được hỗ trợ bởi các đối tác và nhà đầu tư nổi tiếng hay không. Đối tác và nhà đầu tư uy tín có thể tăng độ tin cậy cho dự án nhưng không thể là yếu tố quyết định tính an toàn của dự án.

Câu hỏi 4: Người dùng nên xem báo cáo kiểm toán, trạng thái nguồn mở, v.v. như thế nào?

Nhóm bảo mật BlockSec: Đối với các dự án đã được kiểm toán, nhóm dự án thường sẽ chủ động công bố báo cáo kiểm toán tới cộng đồng thông qua các kênh chính thức. Các báo cáo kiểm tra này thường có trong tài liệu của nhóm dự án, kho lưu trữ mã Github và các kênh khác. Ngoài ra, cũng cần xác định tính xác thực của báo cáo kiểm toán. Các phương pháp nhận dạng bao gồm kiểm tra chữ ký số của báo cáo kiểm toán, liên hệ với công ty kiểm toán để xác nhận thứ cấp, v.v.

Vậy nhà đầu tư nghiên cứu báo cáo kiểm toán đó như thế nào sau khi nhận được?

Đầu tiên, nó phụ thuộc vào việc báo cáo kiểm toán đã được kiểm toán bởi một số công ty bảo mật có danh tiếng bảo mật tương đối cao hay chưa, chẳng hạn như Open Zeppelin, Trail of Bits, BlockSec và các công ty kiểm toán hàng đầu khác.

Thứ hai, nó phụ thuộc vào việc các vấn đề nêu trong báo cáo kiểm toán đã được khắc phục hay chưa. Còn chưa, còn phụ thuộc vào lý do bên dự án không sửa chữa đã đủ hay chưa. Cũng cần phân biệt giữa báo cáo lỗ hổng hợp lệ và báo cáo lỗ hổng không hợp lệ trong báo cáo kiểm toán. Do không có tiêu chuẩn ngành thống nhất cho báo cáo kiểm toán, các công ty kiểm toán bảo mật sẽ tiến hành xếp hạng và báo cáo rủi ro về lỗ hổng bảo mật của dự án dựa trên nhận thức về bảo mật của chính họ. Do đó, hãy tập trung vào việc báo cáo lỗ hổng hiệu quả đối với các lỗ hổng được tìm thấy trong báo cáo kiểm tra. Tốt nhất là nên nhờ nhóm tư vấn bảo mật của riêng bạn tiến hành đánh giá độc lập của bên thứ ba trong quá trình này.

Thứ ba, nó phụ thuộc vào việc thời gian kiểm tra trong báo cáo kiểm toán do bên dự án công bố có phù hợp với (hoặc gần) với thời gian nâng cấp, cập nhật dự án mới nhất hay không. Ngoài ra, cũng cần chú ý xem mã bên dự án có phù hợp hay không. trong báo cáo kiểm tra bao gồm tất cả mã hiện đang trực tuyến của bên dự án. Vì lợi ích kinh tế và chi phí thời gian, các bên tham gia dự án thường tiến hành kiểm tra mã từng phần. Vì vậy, trong trường hợp này, cần xác định xem mã được kiểm tra có phải là mã giao thức cốt lõi hay không.

Thứ tư, nó phụ thuộc vào việc mã chạy trực tuyến của phía dự án đã được xác minh chưa (nguồn mở) và liệu mã được xác minh có nhất quán với báo cáo kiểm tra hay không. Thông thường việc kiểm tra sẽ dựa trên code của dự án trên Github (chứ không phải code đã được triển khai trực tuyến). Nếu mã mà dự án cuối cùng triển khai vào chuỗi không phải là mã nguồn mở hoặc khác biệt đáng kể so với mã đang được kiểm tra thì đây là điểm cần chú ý.

Tóm lại, bản thân việc đọc báo cáo kiểm toán là một vấn đề tương đối chuyên nghiệp và nên giới thiệu các chuyên gia bảo mật độc lập bên thứ ba để đưa ra ý kiến tư vấn trong quá trình này.

Nhóm bảo mật ví OKX Web3: Người dùng có thể kiểm tra báo cáo kiểm tra và trạng thái nguồn mở của hợp đồng thông minh thông qua trang web chính thức của dự án DeFi hoặc trang web của bên thứ ba, chẳng hạn như OKLink. Sau đây mô tả các bước phổ biến để kiểm tra kiểm tra dự án. báo cáo và trạng thái nguồn mở:

Đầu tiên, hãy tìm thông báo hoặc trang web chính thức. Hầu hết các dự án DeFi đáng tin cậy sẽ hiển thị thông tin tài liệu có liên quan trên trang web chính thức của họ. Trên trang tài liệu dự án, thường có trang "Bảo mật", "Kiểm tra" hoặc "Địa chỉ hợp đồng" liên kết đến báo cáo kiểm tra và hợp đồng triển khai nhóm dự án. Địa chỉ. Ngoài trang web chính thức của dự án, nó thường hiển thị các báo cáo kiểm toán và thông tin địa chỉ hợp đồng đã triển khai trên các phương tiện truyền thông xã hội chính thức như Medium và Twitter.

Thứ hai, sau khi đọc trang web chính thức của bên dự án, bạn có thể truy vấn thông tin địa chỉ hợp đồng đã triển khai do bên dự án cung cấp thông qua trình duyệt OKLink và xem thông tin mã nguồn mở của hợp đồng được triển khai tại địa chỉ này trong cột "Hợp đồng" .

Thứ ba, sau khi nhận được báo cáo kiểm tra của bên dự án và thông tin mã nguồn mở của hợp đồng triển khai, bạn có thể bắt đầu đọc báo cáo kiểm toán của bên dự án. Khi đọc báo cáo kiểm tra, bạn nên chú ý đến các điểm sau:

1) Hiểu cấu trúc của báo cáo kiểm toán và có khái niệm tổng thể về nội dung của báo cáo kiểm toán. Báo cáo kiểm toán được chia đại khái thành phần giới thiệu, các vấn đề phát hiện, giải pháp và đề xuất và kết quả kiểm toán.

2) Khi đọc phần giới thiệu, chúng ta cần chú ý đến phạm vi và mục tiêu của báo cáo kiểm toán. Thông thường, báo cáo kiểm toán sẽ đánh dấu ID Cam kết Github của việc gửi tệp kiểm toán. Chúng ta cần so sánh xem các tệp đã được kiểm toán trong báo cáo kiểm toán hay chưa. phù hợp với mã nguồn mở được triển khai trên chuỗi.

3) Khi đọc các vấn đề, giải pháp và đề xuất được phát hiện cũng như kết quả kiểm tra, chúng ta cần tập trung vào việc liệu nhóm dự án có khắc phục các lỗ hổng được phát hiện theo khuyến nghị hay không và liệu bên dự án có tiến hành kiểm tra tiếp theo đối với nội dung đã sửa đổi để đảm bảo rằng tất cả các vấn đề đã được xử lý đúng cách.

4) So sánh nhiều báo cáo. Nếu dự án đã được kiểm tra nhiều lần, hãy xem xét sự khác biệt giữa mỗi báo cáo kiểm tra để hiểu các cải tiến về bảo mật của dự án.

Câu hỏi 5: Giá trị tham chiếu của lịch sử tấn công của hacker và chương trình tiền thưởng đối với tính bảo mật của các dự án DeFi là bao nhiêu?

Nhóm bảo mật ví OKX Web3: Lịch sử tấn công của hacker và chương trình tiền thưởng cung cấp giá trị tham khảo nhất định cho việc đánh giá bảo mật của các dự án DeFi, chủ yếu được phản ánh ở các khía cạnh sau:

Đầu tiên là lịch sử tấn công của hacker

1) Tiết lộ các lỗ hổng lịch sử: Lịch sử tấn công có thể hiển thị các lỗ hổng bảo mật cụ thể đã tồn tại trong dự án, cho phép người dùng hiểu những vấn đề bảo mật nào đã bị khai thác trong quá khứ và liệu những vấn đề này đã được khắc phục hoàn toàn hay chưa.

2) Đánh giá khả năng quản lý rủi ro: Cách một dự án ứng phó với các sự cố bảo mật trước đây có thể phản ánh khả năng quản lý rủi ro và xử lý khủng hoảng của dự án đó. Một dự án phản hồi chủ động, khắc phục các lỗ hổng kịp thời và đền bù cho những người dùng bị ảnh hưởng thường được coi là một lựa chọn đầu tư trưởng thành và đáng tin cậy hơn.

3) Độ tin cậy của dự án: Các vấn đề bảo mật thường xuyên có thể làm suy yếu niềm tin của người dùng đối với dự án, nhưng nếu dự án có thể chứng minh khả năng học hỏi từ những sai lầm và tăng cường các biện pháp bảo mật thì điều này cũng có thể xây dựng độ tin cậy lâu dài của dự án.

Thứ hai, chương trình tiền thưởng

Việc triển khai các chương trình tiền thưởng trong DeFi và các dự án phần mềm khác là một chiến lược quan trọng để cải thiện tính bảo mật và phát hiện ra các lỗ hổng tiềm ẩn. Các phương án này mang lại nhiều giá trị tham khảo khác nhau cho việc đánh giá an toàn của dự án:

1) Tăng cường kiểm tra bên ngoài: Chương trình tiền thưởng khuyến khích các nhà nghiên cứu bảo mật trên khắp thế giới tham gia kiểm tra bảo mật dự án. Cách tiếp cận “nguồn lực cộng đồng” này để kiểm tra bảo mật có thể tiết lộ các vấn đề có thể đã bị kiểm toán nội bộ bỏ qua, do đó làm tăng cơ hội phát hiện và giải quyết các lỗ hổng tiềm ẩn.

2) Xác minh tính hiệu quả của các biện pháp an ninh: Thông qua các chương trình tiền thưởng thực tế, các dự án có thể kiểm tra tính hiệu quả của các biện pháp an ninh của họ trong chiến đấu thực tế. Nếu một dự án có chương trình tiền thưởng dài hơn nhưng ít lỗ hổng nghiêm trọng hơn được báo cáo thì đây có thể là dấu hiệu cho thấy dự án đó tương đối hoàn thiện và an toàn.

3) Cải thiện bảo mật liên tục: Chương trình tiền thưởng cung cấp cơ chế cải tiến liên tục. Khi các công nghệ mới và phương thức tấn công mới xuất hiện, chương trình tiền thưởng giúp các nhóm dự án cập nhật và tăng cường các biện pháp bảo mật của họ một cách kịp thời để đảm bảo rằng các dự án có thể ứng phó với những thách thức bảo mật mới nhất.

4) Thiết lập văn hóa an toàn: Việc dự án có chương trình tiền thưởng hay không cũng như mức độ nghiêm túc và hoạt động của chương trình có thể phản ánh thái độ của nhóm dự án đối với an toàn. Một chương trình tiền thưởng đang hoạt động thể hiện cam kết của dự án trong việc xây dựng văn hóa bảo mật vững chắc.

5) Cải thiện niềm tin của cộng đồng và nhà đầu tư: Sự tồn tại và hiệu quả của chương trình tiền thưởng có thể chứng minh cho cộng đồng và các nhà đầu tư tiềm năng rằng dự án rất coi trọng vấn đề bảo mật. Điều này không chỉ nâng cao niềm tin của người dùng mà còn có thể thu hút nhiều đầu tư hơn vì các nhà đầu tư có xu hướng chọn những dự án thể hiện trách nhiệm bảo mật cao.

Câu 6: Người dùng xây dựng khả năng giám sát và nhận thức khi tham gia DeFi như thế nào?

Nhóm bảo mật BlockSec: Lấy người dùng cá voi làm ví dụ. Cá voi khổng lồ chủ yếu đề cập đến các nhà đầu tư cá nhân hoặc tổ chức đầu tư với các nhóm nhỏ. Những người dùng này có số vốn lớn hơn nhưng thường không có đội ngũ bảo mật mạnh hoặc khả năng bảo mật tự phát triển. Vì vậy, cho đến nay, hầu hết cá voi khổng lồ thực sự không có đủ nhận thức về rủi ro, nếu không chúng sẽ không chịu tổn thất lớn như vậy.

Đối mặt với nguy cơ thua lỗ lớn, một số người dùng cá voi bắt đầu có ý thức dựa vào một số công cụ an ninh công cộng để theo dõi và cảm nhận rủi ro. Hiện nay có rất nhiều đội ngũ sản xuất sản phẩm giám sát nhưng việc lựa chọn như thế nào là rất quan trọng. Dưới đây là một số điểm chính:

Đầu tiên, đó là chi phí sử dụng công cụ. Nhiều công cụ, mặc dù rất mạnh mẽ nhưng đòi hỏi phải lập trình và chi phí sử dụng không hề rẻ. Người dùng không dễ dàng tìm ra cấu trúc của hợp đồng và thậm chí thu thập địa chỉ.

Thứ hai, là độ chính xác. Không ai muốn nhận được nhiều báo thức liên tiếp khi đang ngủ vào ban đêm, chỉ để phát hiện ra rằng đó là những báo động sai, điều này có thể gây khó chịu. Vì vậy, độ chính xác cũng rất quan trọng.

Cuối cùng, có an ninh. Đặc biệt ở quy mô tài trợ này, không thể bỏ qua các rủi ro bảo mật khác nhau trong quá trình phát triển công cụ và các nhóm phát triển. Vụ tấn công Gala Game gần đây được cho là do sự ra đời của các nhà cung cấp dịch vụ bên thứ ba không an toàn. Vì vậy, một đội ngũ đáng tin cậy và một sản phẩm đáng tin cậy là rất quan trọng.

Cho đến nay, nhiều cá voi đã đến với chúng tôi và chúng tôi sẽ đề xuất cho họ các giải pháp quản lý tài sản chuyên nghiệp, để người dùng cá voi không chỉ đảm bảo an toàn cho tiền mà còn tính đến việc quản lý quỹ hàng ngày như "đào, huy động và bán" và nhận thức được rủi ro. Ngay cả việc rút tiền trong tình trạng khẩn cấp.

Câu 7: Khuyến nghị bảo mật khi tham gia DeFi và cách xử lý rủi ro bảo mật

Nhóm bảo mật BlockSec: Đối với những người tham gia có số tiền lớn, điều đầu tiên khi tham gia giao thức DeFi là đảm bảo an toàn cho tiền gốc và đầu tư sau khi tiến hành nghiên cứu tương đối kỹ lưỡng về các rủi ro bảo mật có thể xảy ra. Sự an toàn của quỹ thường có thể được đảm bảo từ các khía cạnh sau.

Trước hết, cần đánh giá mức độ chú trọng đến an toàn và đầu tư của bên dự án từ nhiều khía cạnh. Bao gồm những điều đã đề cập ở trên liệu nó có trải qua kiểm toán bảo mật tương đối kỹ lưỡng hay không, liệu bên dự án có khả năng giám sát rủi ro bảo mật và phản ứng tự động của dự án hay không, liệu nó có cơ chế quản trị cộng đồng tương đối tốt hay không, v.v. Tất cả những điều này có thể phản ánh liệu bên dự án có coi trọng việc bảo mật tiền của người dùng hay không và liệu họ có thái độ có trách nhiệm cao đối với việc bảo mật tiền của người dùng hay không.

Thứ hai, những người tham gia có số tiền lớn cũng cần xây dựng hệ thống giám sát an ninh và phản hồi tự động của riêng mình. Sau khi xảy ra sự cố bảo mật trong thỏa thuận đầu tư, các nhà đầu tư có số tiền lớn có thể cảm nhận được ngay lập tức và rút tiền để bù lỗ càng nhiều càng tốt, thay vì đặt hết hy vọng vào bên dự án. Vào năm 2023, chúng ta có thể thấy nhiều dự án nổi tiếng đã bị tấn công, bao gồm Curve, KyberSwap, Euler Finance, v.v. Thật không may, chúng tôi nhận thấy rằng khi các cuộc tấn công xảy ra, các nhà đầu tư lớn thường thiếu thông tin tình báo kịp thời và hiệu quả, đồng thời không có hệ thống giám sát an ninh và sơ tán khẩn cấp của riêng họ.

Ngoài ra, nhà đầu tư cần lựa chọn đối tác bảo mật tốt hơn để liên tục chú ý đến vấn đề bảo mật cho mục tiêu dự án đầu tư. Cho dù đó là nâng cấp mã của nhóm dự án, thay đổi tham số quan trọng, v.v., các rủi ro cần được nhận biết và đánh giá kịp thời. Thật khó để thực hiện được điều đó nếu không có sự tham gia của các đội và công cụ bảo mật chuyên nghiệp.

Cuối cùng, khóa riêng cần được bảo vệ. Đối với các tài khoản yêu cầu giao dịch thường xuyên, tốt nhất nên sử dụng kết hợp các giải pháp bảo mật khóa riêng đa chữ ký trực tuyến và ngoại tuyến để loại bỏ rủi ro một điểm sau khi mất một địa chỉ và một khóa riêng.

Bạn nên làm gì nếu dự án đầu tư của bạn gặp rủi ro về an toàn?

Tôi tin rằng đối với bất kỳ cá voi và nhà đầu tư khổng lồ nào, phản ứng đầu tiên khi gặp sự cố bảo mật phải là bảo vệ vốn trước, và việc thoái vốn càng sớm càng tốt là ưu tiên hàng đầu. Nhưng những kẻ tấn công thường rất nhanh và các thao tác thủ công thường quá muộn nên tốt nhất là có thể tự động rút tiền dựa trên rủi ro. Hiện tại, chúng tôi cung cấp các công cụ liên quan có thể tự động rút tiền sau khi phát hiện các giao dịch bị tấn công, giúp người dùng sơ tán trước.

Thứ hai, nếu thiệt hại thực sự xảy ra, ngoài việc rút ra bài học kinh nghiệm, bên dự án cũng nên tích cực khuyến khích bên dự án tìm kiếm sự trợ giúp từ các công ty chứng khoán để truy tìm, giám sát số tiền bị thiệt hại. Do toàn bộ ngành công nghiệp tiền điện tử rất coi trọng vấn đề bảo mật nên tỷ lệ số tiền thu hồi được đang dần tăng lên.

Cuối cùng, nếu bạn là một nhà đầu tư lớn, bạn cũng có thể yêu cầu một công ty chứng khoán kiểm tra xem các dự án khác mà bạn đầu tư vào có gặp vấn đề tương tự hay không. Nguyên nhân sâu xa của nhiều cuộc tấn công là giống nhau, chẳng hạn như vấn đề mất độ chính xác của Hợp chất V2. Năm ngoái, nhiều dự án cũng gặp vấn đề tương tự và liên tục bị tấn công. Vì vậy, bạn có thể yêu cầu công ty bảo mật phân tích rủi ro của các dự án khác trong danh mục đầu tư. Nếu phát hiện rủi ro, bạn nên liên hệ với bên dự án hoặc rút lui càng sớm càng tốt.

Nhóm bảo mật ví OKX Web3: Khi tham gia các dự án DeFi, người dùng có thể thực hiện nhiều biện pháp khác nhau để tham gia vào các dự án DeFi an toàn hơn, giảm rủi ro mất vốn và tận hưởng các lợi ích của tài chính phi tập trung. Chúng tôi bắt đầu từ hai cấp độ: cấp độ người dùng và ví OKX Web3.

Đầu tiên, đối với người dùng:

1) Chọn các dự án được kiểm toán: Ưu tiên các dự án đã được kiểm toán bởi các công ty kiểm toán bên thứ ba nổi tiếng (như ConsenSys Diligence, Trail of Bits, OpenZeppelin, Quantstamp, ABDK), xem xét các báo cáo kiểm toán công khai của họ và hiểu các rủi ro và lỗ hổng tiềm ẩn sửa chữa.

2) Hiểu nền tảng và nhóm dự án: Đảm bảo rằng dự án minh bạch và đáng tin cậy bằng cách nghiên cứu sách trắng, trang web chính thức và thông tin nền tảng của nhóm phát triển. Theo dõi các hoạt động của nhóm trên mạng xã hội và trong cộng đồng phát triển để tìm hiểu về năng lực kỹ thuật và hỗ trợ cộng đồng của nhóm.

3) Đầu tư đa dạng: Không đầu tư tất cả số tiền của bạn vào một dự án hoặc tài sản DeFi duy nhất. Đầu tư đa dạng có thể giảm thiểu rủi ro. Chọn từ nhiều loại dự án DeFi khác nhau, chẳng hạn như Lending, DEX, Farming, v.v., để đa dạng hóa mức độ rủi ro của bạn.

4) Thử nghiệm số lượng nhỏ: Trước khi giao dịch số lượng lớn, hãy thực hiện các giao dịch thử nghiệm số lượng nhỏ để đảm bảo tính bảo mật cho hoạt động và nền tảng.

5) Thường xuyên theo dõi tài khoản và ứng phó khẩn cấp: Thường xuyên kiểm tra tài khoản và tài sản DeFi của bạn để phát hiện kịp thời các giao dịch hoặc hoạt động bất thường. Sử dụng các công cụ (chẳng hạn như Etherscan) để giám sát hồ sơ giao dịch trên chuỗi nhằm đảm bảo an toàn tài sản. Sau khi phát hiện bất thường, hãy kịp thời thực hiện các biện pháp khẩn cấp như thu hồi toàn bộ ủy quyền trên tài khoản, liên hệ với nhóm bảo mật ví để được hỗ trợ, v.v.

6) Thận trọng khi sử dụng các dự án mới: Hãy thận trọng với các dự án mới vừa ra mắt hoặc chưa được kiểm chứng. Bạn có thể đầu tư một khoản tiền nhỏ để thử nghiệm trước để quan sát hoạt động và độ an toàn của nó.

7) Sử dụng ví Web3 chính thống để giao dịch: Chỉ sử dụng ví Web3 chính thống để tương tác với các dự án DeFi chính thống để bảo vệ an ninh tốt hơn.

8) Ngăn chặn các cuộc tấn công lừa đảo: Hãy cẩn thận khi nhấp vào các liên kết và email không quen thuộc từ các nguồn không xác định, không nhập khóa riêng tư hoặc cụm từ ghi nhớ trên các trang web không đáng tin cậy và đảm bảo các liên kết bạn truy cập là trang web chính thức. Sử dụng các kênh chính thức để tải xuống ví và ứng dụng nhằm đảm bảo tính xác thực của phần mềm.

Thứ hai, từ góc nhìn của ví OKX Web3:

Chúng tôi cung cấp nhiều cơ chế bảo mật để bảo vệ tiền của người dùng:

1) Phát hiện tên miền rủi ro: Khi người dùng truy cập DAPP, OKX Web3 Wallet sẽ thực hiện phát hiện và phân tích ở cấp độ tên miền. Nếu người dùng truy cập DAPP độc hại, nó sẽ chặn hoặc nhắc nhở người dùng để ngăn chặn người dùng bị lừa. .

2) Phát hiện mã thông báo Pixiu Pan: Ví OKX Web3 hỗ trợ khả năng phát hiện mã thông báo Pixiu Pan hoàn chỉnh và chủ động chặn mã thông báo Pixiu Pan trong ví để ngăn người dùng cố gắng tương tác với mã thông báo Pixiu Pan.

3) Thư viện thẻ địa chỉ: Ví OKX Web3 cung cấp thư viện thẻ địa chỉ phong phú và đầy đủ. Khi người dùng tương tác với các địa chỉ đáng ngờ, ví OKX Web3 sẽ đưa ra cảnh báo kịp thời.

4) Thực hiện trước giao dịch: Trước khi người dùng gửi bất kỳ giao dịch nào, ví OKX Web3 sẽ mô phỏng việc thực hiện giao dịch và hiển thị kết quả của các thay đổi về nội dung và ủy quyền để người dùng tham khảo. Người dùng có thể đánh giá xem kết quả có đáp ứng mong đợi hay không và quyết định có tiếp tục gửi giao dịch hay không.

5) Ứng dụng DeFi tích hợp: Ví OKX Web3 đã tích hợp dịch vụ của nhiều dự án DeFi chính thống khác nhau. Người dùng có thể tương tác một cách an toàn với các dự án DeFi tích hợp thông qua ví OKX Web3. Ngoài ra, OKX Web3 Wallet cũng sẽ đề xuất đường dẫn cho các dịch vụ DeFi như DEX và cầu nối chuỗi chéo, nhằm cung cấp cho người dùng các dịch vụ DeFi tối ưu và giải pháp Gas tối ưu.

6) Nhiều dịch vụ bảo mật hơn: Ví OKX Web3 đang dần bổ sung thêm nhiều chức năng bảo mật hơn và xây dựng các dịch vụ bảo vệ bảo mật nâng cao hơn, điều này sẽ bảo vệ an ninh của người dùng ví OKX tốt hơn và hiệu quả hơn.

Câu 8: Không chỉ người dùng mà các dự án DeFi phải đối mặt với những loại rủi ro nào và làm cách nào để bảo vệ chúng?

Nhóm bảo mật BlockSec: Các loại rủi ro mà các dự án DeFi gặp phải bao gồm: rủi ro bảo mật mã, rủi ro bảo mật hoạt động và rủi ro phụ thuộc bên ngoài.

Đầu tiên, rủi ro bảo mật mã. Tức là những rủi ro bảo mật mà các dự án DeFi có thể gặp phải ở cấp độ mã. Đối với các dự án DeFi, hợp đồng thông minh là logic kinh doanh cốt lõi của chúng (logic xử lý front-end và back-end cũng như các hoạt động kinh doanh phát triển phần mềm truyền thống khác đã tương đối trưởng thành) và cũng là trọng tâm chú ý và thảo luận của chúng tôi, bao gồm:

1) Trước hết, từ góc độ phát triển, cần tuân theo các thực tiễn phát triển bảo mật hợp đồng thông minh đã được công nhận trong ngành, chẳng hạn như chế độ Kiểm tra-Hiệu ứng-Tương tác để ngăn chặn các lỗ hổng tái nhập, v.v., ngoài ra, hãy cố gắng chọn; các công cụ đáng tin cậy của bên thứ ba cho các chức năng thường được sử dụng. Triển khai nó bằng cách sử dụng thư viện của bên thứ ba để tránh những rủi ro chưa biết do việc phát minh lại bánh xe.

2) Bước thứ hai là tiến hành kiểm thử nội bộ. Kiểm thử là một phần quan trọng trong quá trình phát triển phần mềm và có thể giúp tìm ra nhiều vấn đề. Nhưng đối với các dự án DeFI, chỉ thử nghiệm cục bộ là không đủ để phát hiện ra các vấn đề. Cần phải thực hiện thêm thử nghiệm trong môi trường triển khai gần với dây chuyền thực tế. Điều này có thể đạt được bằng cách sử dụng các công cụ như Phalcon Fork để giúp đạt được điều này.

3) Cuối cùng, sau khi hoàn tất quá trình kiểm tra, hãy kết nối với dịch vụ kiểm toán bên thứ ba uy tín. Mặc dù kiểm tra không thể đảm bảo 100% rằng sẽ không có vấn đề gì xảy ra, nhưng kiểm tra hệ thống có thể giúp nhóm dự án ở mức độ lớn xác định các vấn đề bảo mật phổ biến và đã biết khác nhau, thường do các nhà phát triển không quen thuộc với chúng hoặc có cách suy nghĩ khác nhau gây ra. Các bộ phận càng khó tiếp cận. Tất nhiên, vì mỗi công ty kiểm toán có sự khác nhau về chuyên môn và định hướng nên nếu ngân sách cho phép thì trên thực tế nên có từ hai công ty kiểm toán trở lên tham gia.

Thứ hai, rủi ro an ninh hoạt động. Tức là những rủi ro bảo mật phát sinh trong quá trình vận hành dự án sau khi nó lên mạng. Một mặt, vẫn có thể có những lỗ hổng chưa được biết đến trong mã. Ngay cả khi mã đã được phát triển, kiểm tra và kiểm tra tốt, vẫn có thể có những rủi ro bảo mật chưa được phát hiện. Điều này đã được chứng minh rộng rãi trong nhiều thập kỷ thực hành bảo mật trong phát triển phần mềm; mặt khác, ngoài các vấn đề ở cấp độ mã, dự án còn phải đối mặt với nhiều vấn đề hơn. những thách thức sau khi nó trực tuyến, chẳng hạn như rò rỉ khóa riêng, cài đặt không chính xác các tham số hệ thống quan trọng, v.v., có thể gây ra hậu quả nghiêm trọng và tổn thất lớn. Các chiến lược được đề xuất để xử lý rủi ro bảo mật hoạt động bao gồm:

1) Thiết lập và cải thiện việc quản lý khóa riêng: Sử dụng các phương pháp quản lý khóa riêng đáng tin cậy, chẳng hạn như ví phần cứng đáng tin cậy hoặc giải pháp ví dựa trên MPC.

2) Làm tốt công việc giám sát trạng thái vận hành: Hệ thống giám sát nhận biết các hoạt động đặc quyền và trạng thái bảo mật của dự án theo thời gian thực.

3) Xây dựng cơ chế phản hồi tự động đối với rủi ro: Ví dụ: sử dụng BlockSec Phalcon, nó có thể tự động chặn khi gặp phải một cuộc tấn công để tránh (thêm) tổn thất.

4) Tránh rủi ro điểm duy nhất của các hoạt động đặc quyền: chẳng hạn như sử dụng Ví đa chữ ký an toàn để thực hiện các hoạt động đặc quyền.

Thứ ba, rủi ro phụ thuộc bên ngoài đề cập đến rủi ro do sự phụ thuộc bên ngoài của dự án gây ra, chẳng hạn như dựa vào dự báo giá do các giao thức DeFi khác cung cấp, nhưng các vấn đề với dự đoán khiến việc tính giá tạo ra kết quả sai. Các khuyến nghị về rủi ro phụ thuộc bên ngoài bao gồm:

1) Chọn các đối tác bên ngoài đáng tin cậy, chẳng hạn như các giao thức đứng đầu đáng tin cậy được ngành công nhận, v.v.

2) Làm tốt công việc giám sát trạng thái vận hành: tương tự như các rủi ro an ninh vận hành, nhưng đối tượng giám sát ở đây là các phụ thuộc bên ngoài.

3) Xây dựng cơ chế phản hồi tự động đối với các rủi ro: tương tự như rủi ro bảo mật hoạt động, nhưng phương pháp xử lý có thể khác nhau, chẳng hạn như chuyển đổi các phụ thuộc dự phòng thay vì tạm dừng trực tiếp toàn bộ giao thức.

Ngoài ra, chúng tôi cũng đưa ra một số gợi ý giám sát cho các bên tham gia dự án muốn xây dựng năng lực giám sát.

1) Thiết lập chính xác các điểm giám sát: Xác định trạng thái (biến) chính nào tồn tại trong giao thức và nơi chúng cần được giám sát là bước đầu tiên trong việc xây dựng khả năng giám sát. Tuy nhiên, rất khó để thiết lập các điểm giám sát để bao quát tất cả các khía cạnh, đặc biệt là về mặt giám sát tấn công. Nên sử dụng công cụ phát hiện tấn công chuyên nghiệp bên ngoài của bên thứ ba đã được thử nghiệm trong thực tế.

2) Đảm bảo tính chính xác và kịp thời của việc giám sát: Độ chính xác của việc giám sát có nghĩa là không được có quá nhiều kết quả dương tính giả (FP) và âm tính giả (FN). Một hệ thống giám sát thiếu tính chính xác về cơ bản là không thể sử dụng kịp thời; (chẳng hạn như liệu hợp đồng đáng ngờ có thể được phát hiện sau khi triển khai hợp đồng đáng ngờ và trước khi giao dịch tấn công được tải lên chuỗi hay không), nếu không, nó chỉ có thể được sử dụng để phân tích sau sự kiện, vốn đặt ra yêu cầu cực kỳ cao về hiệu suất và sự ổn định của hệ thống giám sát.

3) Cần có khả năng phản hồi tự động: Dựa trên việc giám sát chính xác và theo thời gian thực, có thể xây dựng các phản hồi tự động, bao gồm các giao thức tạm dừng để chặn các cuộc tấn công, v.v. Điều này đòi hỏi sự hỗ trợ của khung phản hồi tự động đáng tin cậy và có thể tùy chỉnh, có thể tùy chỉnh linh hoạt các chiến lược phản hồi và tự động kích hoạt thực thi theo nhu cầu của bên dự án.

Nhìn chung, việc xây dựng năng lực giám sát cần có sự tham gia của các nhà cung cấp dịch vụ bảo mật chuyên nghiệp bên ngoài.

Nhóm bảo mật ví OKX Web3: Các dự án DeFi phải đối mặt với nhiều rủi ro khác nhau, chủ yếu bao gồm các loại sau:

1) Rủi ro kỹ thuật: chủ yếu bao gồm lỗ hổng hợp đồng thông minh và tấn công mạng. Các biện pháp bảo vệ bao gồm áp dụng các phương pháp phát triển an toàn, thuê các công ty kiểm toán bên thứ ba chuyên nghiệp tiến hành kiểm toán toàn diện các hợp đồng thông minh, thiết lập các chương trình thưởng lỗi để khuyến khích tin tặc mũ trắng khám phá các lỗ hổng và tách biệt tài sản để cải thiện tính bảo mật của quỹ.

2) Rủi ro thị trường: chủ yếu bao gồm biến động giá, rủi ro thanh khoản, rủi ro thao túng thị trường và rủi ro kết hợp. Các biện pháp bảo vệ bao gồm sử dụng stablecoin và phòng ngừa rủi ro để ngăn chặn biến động giá, sử dụng cơ chế khai thác thanh khoản và phí linh hoạt để xử lý rủi ro thanh khoản, xem xét nghiêm ngặt các loại tài sản được hỗ trợ bởi giao thức DeFi và sử dụng oracle phi tập trung để ngăn chặn thao túng thị trường, đồng thời thông qua Đổi mới và tối ưu hóa liên tục các tính năng của giao thức để giải quyết các rủi ro cạnh tranh.

3) Rủi ro hoạt động: chủ yếu bao gồm lỗi con người và rủi ro cơ chế quản trị. Các biện pháp bảo vệ bao gồm thiết lập các biện pháp kiểm soát nội bộ và quy trình vận hành nghiêm ngặt để giảm thiểu lỗi xảy ra do con người, sử dụng các công cụ tự động để nâng cao hiệu quả hoạt động và thiết kế các cơ chế quản trị hợp lý để đảm bảo sự cân bằng giữa phân quyền và bảo mật, chẳng hạn như đưa ra cơ chế trì hoãn bỏ phiếu và cơ chế đa chữ ký. . Chúng tôi cũng sẽ lập kế hoạch giám sát và khẩn cấp cho các dự án trực tuyến để nếu có bất thường xảy ra, chúng tôi có thể có biện pháp xử lý ngay lập tức nhằm giảm thiểu tổn thất.

4) Rủi ro pháp lý: yêu cầu tuân thủ pháp luật và nghĩa vụ chống rửa tiền (AML)/biết khách hàng (KYC). Các biện pháp bảo vệ bao gồm thuê cố vấn pháp lý để đảm bảo các dự án tuân thủ các yêu cầu pháp lý và quy định, thiết lập các chính sách tuân thủ minh bạch và chủ động triển khai các biện pháp AML và KYC để tăng cường niềm tin của người dùng và cơ quan quản lý.

Câu hỏi 9: Các bên tham gia dự án DeFi đánh giá và chọn một công ty kiểm toán tốt như thế nào?

Nhóm bảo mật BlockSec: Làm thế nào để các bên dự án DeFi đánh giá và chọn một công ty kiểm toán tốt? Dưới đây là một số tiêu chuẩn đơn giản để tham khảo:

1) Công ty đã kiểm toán các dự án nổi tiếng hay chưa: Điều này cho thấy công ty kiểm toán đã được công nhận bởi các dự án nổi tiếng này.

2) Liệu các dự án được kiểm toán có bị tấn công hay không: Mặc dù về mặt lý thuyết, kiểm toán không thể đảm bảo an ninh 100% nhưng kinh nghiệm thực tế cho thấy hầu hết các dự án được kiểm toán bởi các công ty kiểm toán có uy tín đều chưa từng bị tấn công.

3) Đánh giá chất lượng kiểm toán thông qua các báo cáo kiểm toán trước đây: Báo cáo kiểm toán là một chỉ số quan trọng thể hiện tính chuyên nghiệp của một công ty kiểm toán. Đặc biệt khi so sánh cùng một dự án kiểm toán và cùng phạm vi kiểm toán, bạn có thể tập trung vào chất lượng phát hiện lỗ hổng ( mức độ nguy hiểm) và số lượng, v.v., và liệu các phát hiện về lỗ hổng bảo mật có được các bên tham gia dự án chấp nhận hay không.

4) Người hành nghề chuyên nghiệp: Thành phần nhân sự của công ty kiểm toán bao gồm trình độ học vấn và trình độ chuyên môn có hệ thống và kinh nghiệm chuyên môn giúp ích rất nhiều trong việc đảm bảo chất lượng kiểm toán.

Cuối cùng, cảm ơn tất cả các bạn đã đọc số thứ 05 của chuyên mục "Vấn đề đặc biệt về bảo mật" của OKX Web3 Wallet. Chúng tôi hiện đang bận rộn chuẩn bị số thứ 06, không chỉ chứa các trường hợp thực tế, nhận dạng rủi ro và mẹo vận hành an toàn, vì vậy hãy chú ý theo dõi!

Tuyên bố miễn trừ trách nhiệm

Bài viết này chỉ nhằm mục đích cung cấp thông tin và không nhằm mục đích cung cấp (i) lời khuyên đầu tư hoặc khuyến nghị đầu tư; (ii) lời đề nghị hoặc chào mời mua, bán hoặc nắm giữ tài sản kỹ thuật số hoặc (iii) tư vấn về tài chính, kế toán, pháp lý hoặc thuế; . Việc nắm giữ các tài sản kỹ thuật số, bao gồm stablecoin và NFT, có mức độ rủi ro cao và có thể biến động đáng kể hoặc thậm chí trở nên vô giá trị. Bạn nên cân nhắc cẩn thận xem việc giao dịch hoặc nắm giữ tài sản kỹ thuật số có phù hợp với mình hay không dựa trên tình hình tài chính của bạn. Vui lòng có trách nhiệm hiểu và tuân thủ luật pháp và quy định hiện hành của địa phương.