OKX Web3, BlockSec: @All Cá voi khổng lồ Chiến lược phòng ngừa rủi ro thế giới DeFi

Giới thiệu

Ví OKX Web3 đã đặc biệt lên kế hoạch cho chuyên mục "Vấn đề bảo mật đặc biệt" để cung cấp câu trả lời đặc biệt cho các loại vấn đề bảo mật trên chuỗi khác nhau. Thông qua những trường hợp thực tế nhất xảy ra xung quanh người dùng, chúng tôi hợp tác với các chuyên gia hoặc tổ chức trong lĩnh vực bảo mật để chia sẻ và giải đáp các câu hỏi từ các góc độ khác nhau, từ đó sàng lọc và tóm tắt các quy tắc giao dịch an toàn từ nông cạn đến sâu hơn, nhằm tăng cường an toàn cho người dùng. giáo dục và giúp Người dùng học cách bảo vệ tính bảo mật của khóa riêng và tài sản ví khỏi chính họ.

Sức hấp dẫn lớn nhất của thế giới DeFi là ai cũng có tiềm năng trở thành "cá voi khổng lồ"

Nhưng ngay cả "cá voi khổng lồ" cũng không thể bướng bỉnh dù ăn thịt. anh ấy cũng “bị ăn đòn” ”

Vì vậy, khi chơi trên dây chuyền, an toàn là trên hết

Nếu không thì phải “làm lại từ đầu”~ 

< p>Vấn đề này là vấn đề bảo mật đặc biệt thứ 05. Trong số này, những người tiên phong về bảo mật blockchain BlockSec và nhóm bảo mật ví OKX Web3 được mời đặc biệt để chia sẻ chiến lược tránh rủi ro DeFi dưới góc độ hướng dẫn thực tế cho tất cả người dùng và các bên dự án, những người sắp trở thành hoặc đã trở thành "cá voi khổng lồ". Ví dụ: cách đọc báo cáo kiểm toán, các chỉ số và thông số thường được sử dụng để đánh giá sơ bộ rủi ro của dự án DeFi, các bên tham gia dự án hoặc người dùng cá voi, cách xây dựng khả năng nhận thức giám sát, quy tắc bảo vệ bảo mật DeFi, v.v... Đừng bỏ lỡ!

BlockSec Nhóm bảo mật: BlockSec là nhà cung cấp dịch vụ bảo mật blockchain "đầy đủ" hàng đầu thế giới. Hiện tại, công ty đã phục vụ hơn 300 khách hàng, bao gồm MetaMask, Composite, Uniswap Foundation, Forta và. PancakeSwap, Puffer và các bên tham gia dự án nổi tiếng khác đã thu hồi được hơn 20 triệu đô la Mỹ thiệt hại tài chính thông qua việc giải cứu mũ trắng.

CEO & Đồng sáng lập BlockSec Chu Yajin là giáo sư máy tính tại Đại học Chiết Giang và là học giả có ảnh hưởng nhất thế giới được Aminer bình chọn. Ông đã xuất bản hơn 50 bài báo hàng đầu và nhận được hơn 10.000 trích dẫn. CTO & Đồng sáng lập Wu Lei là giáo sư máy tính tại Đại học Chiết Giang và là cựu đồng sáng lập của Paidun. Ông đã lãnh đạo nhóm phát hiện hàng chục lỗ hổng zero-day trong nhiều dự án nổi tiếng. Giám đốc sản phẩm Raymond từng chịu trách nhiệm về các sản phẩm bảo mật tại Tencent và 360.

OKX Web3 Nhóm bảo mật ví: Xin chào mọi người, tôi rất vui được chia sẻ điều này. Nhóm Bảo mật OKX Web3 chịu trách nhiệm chính trong việc xây dựng các khả năng bảo mật khác nhau của OKX trong lĩnh vực Web3, chẳng hạn như kiểm tra bảo mật hợp đồng thông minh, xây dựng khả năng bảo mật ví, giám sát bảo mật dự án trên chuỗi, v.v., cung cấp cho người dùng nhiều khía cạnh như bảo mật sản phẩm, bảo mật quỹ và bảo mật giao dịch góp phần duy trì hệ sinh thái bảo mật của toàn bộ blockchain.

Q1: Chia sẻ một số trường hợp rủi ro DeFi thực tế

< p>BlockSecNhóm bảo mật:DeFi đã thu hút nhiều nhà đầu tư lớn tham gia vì nó mang lại lợi nhuận tương đối ổn định và cao cho tài sản. Để cải thiện tính thanh khoản, nhiều bên dự án cũng sẽ tích cực mời các nhà đầu tư lớn đến định cư. Ví dụ: chúng ta thường thấy các bản tin cho rằng một số nhà đầu tư lớn gửi số lượng lớn tài sản vào DeFi. Tất nhiên, ngoài việc thu về lợi nhuận ổn định, những chú cá voi khổng lồ này cũng sẽ gặp phải một số rủi ro khi tham gia vào các dự án DeFi. Tiếp theo, chúng tôi chia sẻ một số trường hợp rủi ro DeFi công khai trong ngành:

Trường hợp 1: Trong sự cố bảo mật PolyNetwork năm 2022, tổng cộng hơn 600 triệu USD tài sản đã bị tấn công. Người ta nói rằng Shenyu cũng có 100 triệu đô la Mỹ trong đó. Mặc dù kẻ tấn công sau đó đã trả lại tiền và sự việc đã được giải quyết thành công nhưng Shenyu cũng tuyên bố sẽ xây dựng một tượng đài trên dây chuyền để tưởng nhớ vụ việc, nhưng quá trình này phải xảy ra. đã rất đau đớn. Mặc dù một số ít sự cố an ninh hiện nay có kết quả tốt nhưng phần lớn lại không may mắn như vậy.

Trường hợp 2: DEX SushiSwap nổi tiếng bị tấn công vào năm 2023. Người dùng lớn 0xSifu đã mất hơn 3,3 triệu đô la Mỹ, riêng khoản lỗ của anh ta đã chiếm khoảng 90% tổng số tiền thua lỗ.

Trường hợp 3: Trong sự cố bảo mật Prisma vào tháng 3 năm nay, tổng thiệt hại là 14 triệu USD. Những tổn thất này đến từ 17 địa chỉ ví, với mức thiệt hại trung bình là 820.000 USD cho mỗi ví, nhưng 4 trong số đó là. người dùng Tổn thất chiếm tới 80%. Phần lớn số tài sản bị đánh cắp này vẫn chưa được thu hồi.

Trong phân tích cuối cùng, DeFi, đặc biệt là DeFi trên mạng chính, vì Gas Fee không thể bỏ qua, chỉ khi tài sản đạt đến một quy mô nhất định thì bạn mới thực sự nhận được lợi ích (ngoại trừ phần thưởng airdrop). , TVL chính của các dự án DeFi thường được đóng góp bởi cá voi, thậm chí trong một số dự án, 2% cá voi đóng góp tới 80% TVL. Khi xảy ra sự cố an ninh, những con cá voi khổng lồ này chắc chắn sẽ chịu phần lớn tổn thất. “Bạn không thể chỉ nhìn thấy những con cá voi khổng lồ ăn thịt mà đôi khi chúng còn bị đánh đập”.

OKX Web3 Nhóm bảo mật ví: Với sự thịnh vượng và phát triển của thế giới chuỗi, các trường hợp rủi ro DeFi mà người dùng gặp phải cũng ngày càng gia tăng Bảo mật trên chuỗi sẽ luôn là nhu cầu cơ bản và quan trọng nhất của người dùng.

Trường hợp 1: Sự cố rò rỉ khóa riêng của tài khoản đặc quyền PlayDapp. Từ ngày 9 đến ngày 12 tháng 2 năm 2024, nền tảng chơi game PlayDapp dựa trên Ethereum đã bị tấn công do rò rỉ khóa riêng. Kẻ tấn công đã đúc và đánh cắp 1,79 tỷ mã thông báo PLA mà không được phép, dẫn đến thiệt hại khoảng 32,35 triệu USD. Kẻ tấn công đã thêm một công cụ đào tiền mới vào mã thông báo PLA, đúc một lượng lớn PLA và phân tán nó đến nhiều địa chỉ và sàn giao dịch trên chuỗi.

Trường hợp 2: Tấn công Hedgey Finance. Vào ngày 19 tháng 4 năm 2024, Hedgey Finance đã gặp phải một vụ vi phạm an ninh nghiêm trọng trên Ethereum và Arbitrum, dẫn đến khoản lỗ khoảng 44,7 triệu USD. Kẻ tấn công khai thác việc hợp đồng thiếu xác thực đầu vào của người dùng để giành được quyền đối với hợp đồng dễ bị tấn công, từ đó đánh cắp tài sản từ hợp đồng.

Quý 2: Bạn có thể tóm tắt các loại rủi ro chính hiện đang tồn tại trong lĩnh vựcDeFiDeFi

strong> p>

OKX Web3 Nhóm bảo mật ví: Dựa trên các trường hợp thực tế, chúng tôi đã phân loại ra 4 loại rủi ro phổ biến trong lĩnh vực DeFi hiện tại< /p>

Loại đầu tiên: Tấn công lừa đảo. Tấn công lừa đảo là một loại tấn công mạng phổ biến nhằm lừa nạn nhân cung cấp thông tin nhạy cảm như khóa riêng, mật khẩu hoặc dữ liệu cá nhân khác bằng cách giả vờ là một thực thể hoặc cá nhân hợp pháp. Trong lĩnh vực DeFi, các cuộc tấn công lừa đảo thường được thực hiện theo các cách sau:

1) Trang web giả mạo: Kẻ tấn công tạo các trang web lừa đảo tương tự như các dự án DeFi thật để xúi giục người dùng ký ủy quyền hoặc chuyển giao giao dịch.

2) Tấn công kỹ thuật xã hội: Trên Twitter, kẻ tấn công sử dụng tài khoản giả mạo hoặc chiếm đoạt tài khoản Twitter hoặc Discord của dự án để đăng các quảng cáo sai lệch hoặc thông tin airdrop (thực chất là các liên kết lừa đảo) nhằm thực hiện các cuộc tấn công lừa đảo lên người dùng.

3) Hợp đồng thông minh độc hại: Những kẻ tấn công xuất bản các hợp đồng thông minh hoặc dự án DeFi có vẻ hấp dẫn để lừa người dùng cấp quyền truy cập của họ, từ đó đánh cắp tiền.

Loại 2: Kéo thảm. Rugpull là một trò lừa đảo độc nhất vô nhị trong lĩnh vực DeFi, nó đề cập đến việc nhà phát triển dự án đột ngột rút tiền và biến mất sau khi thu hút được một lượng đầu tư lớn, khiến toàn bộ tiền của nhà đầu tư bị cuốn trôi. Rugpull thường xảy ra trong các sàn giao dịch phi tập trung (DEX) và các dự án khai thác thanh khoản. Các biểu hiện chính bao gồm:

1) Rút thanh khoản: Các nhà phát triển cung cấp một lượng lớn thanh khoản trong nhóm thanh khoản để thu hút người dùng đầu tư, sau đó đột ngột rút toàn bộ thanh khoản, khiến giá token giảm mạnh và các nhà đầu tư mất tiền nặng nề.

2) Dự án giả mạo: Các nhà phát triển tạo ra một dự án DeFi có vẻ hợp pháp để thu hút người dùng đầu tư thông qua những lời hứa hão huyền và lợi nhuận cao, nhưng trên thực tế không có sản phẩm hoặc dịch vụ thực tế.

3) Thay đổi quyền của hợp đồng: Nhà phát triển có thể sử dụng cửa hậu hoặc quyền trong hợp đồng thông minh để thay đổi các quy tắc của hợp đồng hoặc rút tiền bất cứ lúc nào.

Loại 3: Lỗ hổng hợp đồng thông minh. Hợp đồng thông minh là các mã tự thực thi chạy trên blockchain và không thể thay đổi sau khi triển khai. Nếu có lỗ hổng trong hợp đồng thông minh, nó sẽ dẫn đến các vấn đề bảo mật nghiêm trọng. Các lỗ hổng hợp đồng thông minh phổ biến bao gồm:

1) Lỗ hổng Reentrancy: Kẻ tấn công liên tục gọi hợp đồng dễ bị tấn công trước khi cuộc gọi cuối cùng hoàn thành, gây ra vấn đề với trạng thái nội bộ của hợp đồng.

2) Lỗi logic: Lỗi logic trong thiết kế hoặc thực hiện hợp đồng, dẫn đến hành vi hoặc lỗ hổng không mong muốn.

3) Tràn số nguyên: Hợp đồng không xử lý chính xác các phép toán số nguyên, dẫn đến tràn hoặc tràn số nguyên.

4) Thao túng giá: Kẻ tấn công thực hiện cuộc tấn công bằng cách thao túng giá của máy oracle.

5) Mất độ chính xác: lỗi tính toán do vấn đề về độ chính xác của dấu phẩy động hoặc số nguyên.

6) Thiếu xác thực đầu vào: Đầu vào của người dùng không được xác minh đầy đủ, dẫn đến các vấn đề bảo mật tiềm ẩn.

Loại 4: Rủi ro quản trị. Rủi ro quản trị liên quan đến cơ chế ra quyết định và kiểm soát cốt lõi của dự án. Nếu bị khai thác một cách ác ý, có thể khiến dự án đi chệch khỏi mục tiêu dự kiến, thậm chí gây thiệt hại nghiêm trọng về kinh tế và khủng hoảng lòng tin. Các loại rủi ro phổ biến bao gồm:

1) Rò rỉ khóa riêng

Tài khoản đặc quyền của một số dự án DeFi được kiểm soát bởi EOA (Tài khoản thuộc sở hữu bên ngoài) hoặc ví có nhiều chữ ký nếu các khóa riêng tư này. bị rò rỉ hoặc bị đánh cắp, kẻ tấn công có thể thao túng hợp đồng hoặc tiền theo ý muốn.

2) Các cuộc tấn công quản trị

Mặc dù một số dự án DeFi áp dụng các giải pháp quản trị phi tập trung nhưng chúng vẫn có những rủi ro sau:

·Mượn token quản trị: Kẻ tấn công thao túng kết quả bỏ phiếu trong một khoảng thời gian ngắn bằng cách vay số lượng lớn token quản trị.

·Kiểm soát phần lớn quyền biểu quyết: Nếu mã thông báo quản trị tập trung nhiều vào tay một số ít người, những người này có thể kiểm soát việc ra quyết định của toàn bộ dự án thông qua quyền biểu quyết tập trung.

Quý 3: Những thứ nguyên hoặc thông số nào có thể được sử dụng để đánh giá ban đầu mức độ bảo mật và rủi ro của DeFi dự án?

BlockSecNhóm bảo mật: Trước khi tham gia dự án DeFi, việc tiến hành đánh giá bảo mật tổng thể của dự án là rất cần thiết. Đặc biệt đối với những người tham gia có số tiền tương đối lớn, việc thẩm định bảo mật cần thiết có thể đảm bảo an toàn cho tiền ở mức độ lớn nhất.

Đầu tiên, hãy đề xuất Tiến hành đánh giá toàn diện về tính bảo mật mã của dự án, bao gồm liệu bên dự án đã được kiểm toán chưa và liệu dự án đó có được kiểm toán bởi một công ty kiểm toán có danh tiếng bảo mật tốt hay không, liệu có nhiều công ty kiểm toán tham gia hay không, liệu mã mới nhất đã được kiểm toán hay chưa, v.v. . Nói chung, nếu mã chạy trực tuyến đã được kiểm tra bởi nhiều công ty bảo mật có danh tiếng bảo mật tốt thì nguy cơ bị tấn công bảo mật sẽ giảm đi rất nhiều.  

Thứ hai, điều này phụ thuộc vào việc bên dự án có triển khai hệ thống giám sát an ninh theo thời gian thực hay không. Bảo mật được đảm bảo bởi kiểm tra bảo mật là tĩnh và không thể giải quyết các vấn đề bảo mật động gây ra sau khi dự án trực tuyến. Ví dụ: bên dự án đã điều chỉnh không đúng các thông số vận hành chính của dự án, thêm Pool mới, v.v. Nếu bên dự án áp dụng một số hệ thống giám sát an ninh thời gian thực, hệ số an toàn trong quá trình hoạt động sẽ cao hơn so với các giao thức không áp dụng giải pháp đó.  

Thứ ba, điều này phụ thuộc vào việc bên dự án có khả năng ứng phó tự động trong các tình huống khẩn cấp hay không. Khả năng này từ lâu đã bị cộng đồng bỏ qua. Chúng tôi nhận thấy rằng trong nhiều sự cố bảo mật, phía dự án đã không triển khai được chức năng ngắt mạch tự động (hoặc bộ ngắt mạch cho các hoạt động nhạy cảm với quỹ). Các bên tham gia dự án chủ yếu sử dụng các phương pháp thủ công để xử lý các sự cố bảo mật trong trường hợp khẩn cấp và phương pháp này đã được chứng minh là không hiệu quả, thậm chí không hiệu quả.  

Thứ tư, nó phụ thuộc vào sự phụ thuộc bên ngoài của bên tham gia dự án và mức độ vững chắc của các phụ thuộc bên ngoài. Dự án DeFi sẽ dựa vào thông tin được cung cấp bởi các dự án bên thứ ba, chẳng hạn như giá cả, tính thanh khoản, v.v. Do đó, cần đánh giá tính bảo mật của các dự án từ góc độ số lượng phụ thuộc bên ngoài, tính bảo mật của các dự án phụ thuộc bên ngoài và liệu có giám sát và xử lý theo thời gian thực dữ liệu bất thường của các phụ thuộc bên ngoài hay không. Nói chung, các dự án mà bên dự án phụ thuộc bên ngoài là bên đứng đầu dự án và có khả năng chịu lỗi cũng như xử lý dữ liệu bất thường theo thời gian thực từ các dự án bên ngoài sẽ an toàn hơn.  

Thứ năm, bên dự án có cơ cấu quản trị cộng đồng tương đối tốt hay không. Điều này bao gồm liệu bên dự án có cơ chế bỏ phiếu cộng đồng cho các sự kiện lớn hay không, liệu các hoạt động nhạy cảm có được hoàn thành với nhiều chữ ký hay không, liệu ví đa chữ ký có giới thiệu sự tham gia trung lập của cộng đồng hay không và liệu có ủy ban an toàn cộng đồng hay không, v.v. Các cấu trúc quản trị này có thể cải thiện tính minh bạch của dự án và giảm khả năng tiền của người dùng trong dự án bị thu hồi.  

Cuối cùng, lịch sử quá khứ của nhóm dự án cũng rất quan trọng. Nhóm dự án và các thành viên cốt lõi của dự án cần phải kiểm tra lý lịch. Nếu các thành viên cốt lõi của nhóm dự án đã bị tấn công nhiều lần hoặc có hồ sơ lịch sử không tốt như rugpull trong các dự án trước đây thì rủi ro bảo mật của dự án đó sẽ tương đối cao.  

Tóm lại, trước khi tham gia vào một dự án DeFi, người dùng, đặc biệt là những người tham gia có vốn lớn, phải thực hiện tốt công việc nghiên cứu, từ kiểm tra bảo mật mã trước khi dự án lên mạng cho đến giám sát bảo mật theo thời gian thực và phản hồi tự động sau khi dự án đi vào hoạt động. Về mặt xây dựng năng lực, việc đầu tư an toàn và an ninh của bên dự án cần được kiểm tra và công việc phải được thực hiện tốt từ góc độ phụ thuộc bên ngoài, cơ cấu quản trị và lịch sử quá khứ của dự án. bên dự án nhằm đảm bảo an toàn cho nguồn vốn đầu tư vào dự án.  

OKX Web3 Nhóm bảo mật ví: Mặc dù tính bảo mật của các dự án DeFi không thể được đảm bảo 100% nhưng người dùng có thể kết hợp chéo các khía cạnh sau, Để bước đầu đánh giá mức độ bảo mật và rủi ro của các dự án DeFi.  

1. Bảo mật kỹ thuật của dự án

1. Kiểm toán hợp đồng thông minh:

1) Kiểm tra xem dự án đã được kiểm toán bởi nhiều công ty kiểm toán chưa. công ty Có danh tiếng và kinh nghiệm tốt.

2) Kiểm tra số lượng và mức độ nghiêm trọng của các vấn đề được báo cáo trong báo cáo kiểm toán để đảm bảo rằng tất cả các vấn đề đã được khắc phục.

3) Kiểm tra xem mã được dự án triển khai có phù hợp với phiên bản mã đã được kiểm tra hay không.

2. Mã nguồn mở:

1) Kiểm tra xem mã của dự án có phải là nguồn mở hay không. Mã nguồn mở cho phép cộng đồng và các chuyên gia bảo mật xem xét nó, giúp khám phá khả năng bảo mật tiềm ẩn. vấn đề.

2) Nền tảng của nhóm phát triển: Hiểu nền tảng và kinh nghiệm của nhóm phát triển dự án, đặc biệt là kinh nghiệm của họ trong lĩnh vực blockchain và bảo mật, cũng như mức độ minh bạch và thông tin cởi mở của nhóm.

3) Chương trình thưởng lỗi: Dự án có chương trình thưởng lỗi để khuyến khích các nhà nghiên cứu bảo mật báo cáo các lỗ hổng hay không.

3. An ninh tài chính và kinh tế

1) Số tiền bị khóa: Kiểm tra số tiền bị khóa trong hợp đồng thông minh. Mức khóa cao hơn có thể có nghĩa là dự án có số tiền cao hơn. tin tưởng Chi tiêu.

2) Khối lượng giao dịch và tính thanh khoản: Đánh giá khối lượng giao dịch và tính thanh khoản của dự án. Tính thanh khoản thấp có thể làm tăng nguy cơ thao túng giá.

3) Mô hình kinh tế mã thông báo: Đánh giá mô hình kinh tế mã thông báo của dự án, bao gồm phân phối mã thông báo, cơ chế khuyến khích và mô hình lạm phát. Ví dụ: liệu có sự tập trung quá mức vào việc nắm giữ mã thông báo hay không, v.v.

4. Bảo mật vận hành và quản lý

1) Cơ chế quản trị: Hiểu cơ chế quản trị của dự án, liệu có cơ chế quản trị phi tập trung hay không và liệu cộng đồng có thể bỏ phiếu cho các quyết định quan trọng hay không , Và phân tích việc phân phối mã thông báo quản trị và sự tập trung quyền biểu quyết, v.v.

2) Các biện pháp quản lý rủi ro: Dự án có các biện pháp quản lý rủi ro và kế hoạch khẩn cấp cũng như cách đối phó với các mối đe dọa an ninh và tấn công kinh tế tiềm ẩn hay không. Ngoài ra, về tính minh bạch của dự án và giao tiếp với cộng đồng, bạn có thể xem liệu bên dự án có thường xuyên xuất bản báo cáo tiến độ dự án và cập nhật bảo mật hay không và liệu họ có tích cực giao tiếp với cộng đồng và giải quyết các vấn đề của người dùng hay không, v.v.

5. Đánh giá thị trường và cộng đồng

1) Hoạt động cộng đồng: Đánh giá hoạt động cộng đồng và cơ sở người dùng của dự án Một cộng đồng tích cực thường có nghĩa là dự án có sự hỗ trợ rộng rãi.

2) Đánh giá phương tiện truyền thông và mạng xã hội: Phân tích đánh giá dự án trên các phương tiện truyền thông và mạng xã hội để hiểu ý kiến ​​của người dùng và các chuyên gia trong ngành về dự án.

3) Đối tác và nhà đầu tư: Kiểm tra xem dự án có được đối tác, nhà đầu tư nổi tiếng ủng hộ hay không thì có thể tăng độ tin cậy cho dự án hay không, nhưng nó không trở thành yếu tố quyết định. sự an toàn của nó.

Q4: Người dùng nên xem báo cáo kiểm toán, trạng thái nguồn mở, v.v. như thế nào?  

BlockSecNhóm bảo mật: Đối với các dự án đã được kiểm toán, nhóm dự án thường sẽ chủ động công bố bản kiểm tra báo cáo tới cộng đồng thông qua các kênh chính thức. Các báo cáo kiểm tra này thường có trong tài liệu của nhóm dự án, kho lưu trữ mã Github và các kênh khác. Ngoài ra, cũng cần xác định tính xác thực của báo cáo kiểm toán. Các phương pháp nhận dạng bao gồm kiểm tra chữ ký số của báo cáo kiểm toán, liên hệ với công ty kiểm toán để xác nhận thứ cấp, v.v.  

Vậy nhà đầu tư nghiên cứu báo cáo kiểm toán đó như thế nào sau khi nhận được?  

Đầu tiên, điều này phụ thuộc vào việc báo cáo kiểm toán đã được kiểm toán bởi một số công ty bảo mật có danh tiếng bảo mật tương đối cao hay chưa, chẳng hạn như Open Zeppelin, Trail of Bits, BlockSec và các công ty kiểm toán hàng đầu khác.  

Thứ hai, nó phụ thuộc vào việc tất cả các vấn đề được đề cập trong báo cáo kiểm toán đã được sửa chữa hay chưa. Nếu chưa, nó phụ thuộc vào lý do bên dự án không sửa chữa có đủ hay không. Cũng cần phân biệt giữa báo cáo lỗ hổng hợp lệ và báo cáo lỗ hổng không hợp lệ trong báo cáo kiểm toán. Do không có tiêu chuẩn ngành thống nhất cho báo cáo kiểm toán, các công ty kiểm toán bảo mật sẽ tiến hành xếp hạng và báo cáo rủi ro về lỗ hổng bảo mật của dự án dựa trên nhận thức về bảo mật của chính họ. Do đó, hãy tập trung vào việc báo cáo lỗ hổng hiệu quả đối với các lỗ hổng được tìm thấy trong báo cáo kiểm tra. Tốt nhất là nên nhờ nhóm tư vấn bảo mật của riêng bạn tiến hành đánh giá độc lập của bên thứ ba trong quá trình này.  

Thứ ba, nó phụ thuộc vào việc thời gian kiểm toán trong báo cáo kiểm toán do bên dự án công bố có phù hợp với (hoặc gần) với thời gian nâng cấp, cập nhật dự án mới nhất hay không. chú ý xem mã bên dự án trong báo cáo kiểm toán có bao gồm tất cả mã hiện đang trực tuyến ở phía dự án hay không. Vì lợi ích kinh tế và chi phí thời gian, các bên tham gia dự án thường tiến hành kiểm tra mã từng phần. Vì vậy, trong trường hợp này, cần xác định xem mã được kiểm tra có phải là mã giao thức cốt lõi hay không.  

Thứ tư, điều này phụ thuộc vào việc mã chạy trực tuyến của phía dự án đã được xác minh hay chưa (nguồn mở) và liệu mã được xác minh có nhất quán với báo cáo kiểm tra hay không. Thông thường việc kiểm tra sẽ dựa trên code trên Github của bên dự án (chứ không phải code đã được triển khai trực tuyến). Nếu mã mà dự án cuối cùng triển khai vào chuỗi không phải là mã nguồn mở hoặc khác biệt đáng kể so với mã đang được kiểm tra thì đây là điểm cần chú ý.  

Tóm lại, bản thân việc đọc báo cáo kiểm toán là một việc tương đối chuyên nghiệp và nên giới thiệu các chuyên gia bảo mật độc lập bên thứ ba để đưa ra ý kiến ​​tư vấn trong quá trình này.  

OKX Web3 Nhóm bảo mật ví: Người dùng có thể xem báo cáo kiểm tra hợp đồng thông minh và nguồn mở thông qua trang web chính thức của dự án DeFi hoặc trang web của bên thứ ba , chẳng hạn như Trạng thái OKLink, đây là các bước phổ biến để kiểm tra báo cáo kiểm tra dự án và trạng thái nguồn mở: 

Trước tiên, hãy tìm thông báo hoặc trang web chính thức. Hầu hết các dự án DeFi đáng tin cậy sẽ hiển thị thông tin tài liệu có liên quan trên trang web chính thức của họ. Trên trang tài liệu dự án, thường sẽ có trang "Bảo mật", "Kiểm tra" hoặc "Địa chỉ hợp đồng" liên kết đến báo cáo kiểm tra và địa chỉ hợp đồng triển khai dự án. Ngoài trang web chính thức của dự án, nó thường hiển thị các báo cáo kiểm toán và thông tin địa chỉ hợp đồng đã triển khai trên các phương tiện truyền thông xã hội chính thức như Medium và Twitter.  

Thứ hai, sau khi đọc trang web chính thức của bên dự án, bạn có thể truy vấn thông tin địa chỉ hợp đồng đã triển khai do bên dự án cung cấp thông qua trình duyệt OKLink và xem việc triển khai địa chỉ trong cột "Hợp đồng" Thông tin mã nguồn mở của hợp đồng.  

Thứ ba, sau khi nhận được báo cáo kiểm toán của bên dự án và thông tin mã nguồn mở của hợp đồng triển khai, bạn có thể bắt đầu đọc báo cáo kiểm toán của bên dự án. Khi đọc báo cáo kiểm tra, vui lòng chú ý đến. các điểm sau: 

1) Hiểu cấu trúc của báo cáo kiểm toán và có khái niệm tổng thể về nội dung của báo cáo kiểm toán. Báo cáo kiểm toán được chia đại khái thành phần giới thiệu, vấn đề phát hiện, giải pháp và đề xuất. và kết quả kiểm toán.  

2) Khi đọc phần giới thiệu, chúng ta cần chú ý đến phạm vi và mục tiêu của báo cáo kiểm toán. Thông thường, báo cáo kiểm toán sẽ đánh dấu ID Cam kết Github của tệp kiểm toán đã gửi. so sánh các tệp được kiểm tra trong báo cáo kiểm toán xem nó có phù hợp với mã nguồn mở được triển khai trên chuỗi hay không.  

3) Khi đọc các vấn đề, giải pháp, đề xuất và kết quả kiểm tra được phát hiện, chúng ta cần tập trung vào việc liệu nhóm dự án có sửa chữa các lỗ hổng được phát hiện theo khuyến nghị hay không và liệu bên dự án có phản hồi với yêu cầu hay không một cuộc kiểm tra tiếp theo về nội dung đã được tiến hành để đảm bảo rằng tất cả các vấn đề đều được giải quyết hợp lý.  

4) So sánh nhiều báo cáo. Nếu dự án đã được kiểm tra nhiều lần, hãy xem xét sự khác biệt giữa mỗi báo cáo kiểm tra để hiểu các cải tiến về bảo mật của dự án.  

Q5: Lịch sử các cuộc tấn công hack, chương trình tiền thưởng, đề cập đến tính bảo mật của các dự ánDeFi giá trị?  

OKX Web3 Nhóm bảo mật ví: Lịch sử hack và chương trình tiền thưởng, cung cấp đánh giá bảo mật cho các dự án DeFi Một giá trị tham khảo nhất định, chủ yếu được phản ánh ở các khía cạnh sau: 

Đầu tiên, lịch sử tấn công của hacker 

1) Lộ ra các lỗ hổng lịch sử: lịch sử tấn công có thể cho thấy dự án đã từng tồn tại Các lỗ hổng bảo mật cụ thể cho phép người dùng hiểu những vấn đề bảo mật nào đã bị khai thác trước đây và liệu những vấn đề này đã được khắc phục hoàn toàn hay chưa.  

2) Đánh giá khả năng quản lý rủi ro: Cách một dự án ứng phó với các sự cố bảo mật trước đây có thể phản ánh khả năng quản lý rủi ro và xử lý khủng hoảng của dự án đó. Một dự án phản hồi chủ động, khắc phục các lỗ hổng kịp thời và đền bù cho những người dùng bị ảnh hưởng thường được coi là một lựa chọn đầu tư trưởng thành và đáng tin cậy hơn.  

3) Độ tin cậy của dự án: Các vấn đề bảo mật thường xuyên có thể làm suy giảm niềm tin của người dùng đối với dự án, nhưng nếu dự án có thể chứng minh khả năng học hỏi từ những sai lầm và tăng cường các biện pháp bảo mật, thì điều này cũng có thể xây dựng uy tín lâu dài của dự án. uy tín lâu dài.  

Thứ hai, chương trình tiền thưởng 

Việc triển khai các chương trình tiền thưởng trong DeFi và các dự án phần mềm khác là một chiến lược quan trọng để cải thiện tính bảo mật và khám phá các lỗ hổng tiềm ẩn. Các chương trình này đã mang lại nhiều giá trị tham khảo khác nhau cho việc đánh giá bảo mật của dự án: 

1) Kiểm toán bên ngoài nâng cao: Chương trình tiền thưởng khuyến khích các nhà nghiên cứu bảo mật trên toàn thế giới tham gia kiểm tra bảo mật của dự án . Cách tiếp cận “nguồn lực cộng đồng” này để kiểm tra bảo mật có thể tiết lộ các vấn đề có thể đã bị kiểm toán nội bộ bỏ qua, do đó làm tăng cơ hội phát hiện và giải quyết các lỗ hổng tiềm ẩn.  

2) Xác minh tính hiệu quả của các biện pháp an ninh: Thông qua các chương trình tiền thưởng thực tế, các dự án có thể kiểm tra tính hiệu quả của các biện pháp an ninh của họ trong chiến đấu thực tế. Nếu một dự án có chương trình tiền thưởng dài hơn nhưng báo cáo ít lỗ hổng nghiêm trọng hơn thì đây có thể là dấu hiệu cho thấy dự án đó tương đối hoàn thiện và an toàn.  

3) Cải thiện bảo mật liên tục: Chương trình tiền thưởng cung cấp cơ chế cải tiến liên tục. Khi các công nghệ mới và phương thức tấn công mới xuất hiện, chương trình tiền thưởng giúp các nhóm dự án cập nhật và tăng cường các biện pháp bảo mật của họ một cách kịp thời để đảm bảo rằng các dự án có thể ứng phó với những thách thức bảo mật mới nhất.  

4) Thiết lập văn hóa an toàn: Việc dự án có chương trình tiền thưởng hay không cũng như mức độ nghiêm túc và hoạt động của chương trình có thể phản ánh thái độ của nhóm dự án đối với an ninh. Một chương trình tiền thưởng đang hoạt động thể hiện cam kết của dự án trong việc xây dựng văn hóa bảo mật vững chắc.  

5) Cải thiện niềm tin của cộng đồng và nhà đầu tư: Sự tồn tại và hiệu quả của chương trình tiền thưởng có thể chứng minh cho cộng đồng và các nhà đầu tư tiềm năng rằng dự án rất coi trọng vấn đề bảo mật. Điều này không chỉ nâng cao niềm tin của người dùng mà còn có thể thu hút nhiều đầu tư hơn vì các nhà đầu tư có xu hướng chọn những dự án thể hiện trách nhiệm bảo mật cao.  

Q6: Làm cách nào để người dùng xây dựng khả năng giám sát nhận thức khi tham gia DeFi   ;

BlockSecNhóm bảo mật: Lấy người dùng cá voi khổng lồ làm ví dụ. các doanh nghiệp nhỏ Nhóm các tổ chức đầu tư, những người dùng này có nguồn vốn tương đối lớn, nhưng thường không có đội ngũ bảo mật mạnh cũng như không có khả năng phát triển các công cụ bảo mật tự phát triển. Vì vậy, cho đến nay, hầu hết cá voi khổng lồ thực sự không có đủ nhận thức về rủi ro, nếu không chúng sẽ không chịu tổn thất lớn như vậy.  

Đối mặt với nguy cơ thua lỗ lớn, một số người dùng cá voi đã bắt đầu có ý thức dựa vào một số công cụ an ninh công cộng để theo dõi và cảm nhận rủi ro. Hiện nay có rất nhiều đội ngũ sản xuất sản phẩm giám sát nhưng việc lựa chọn như thế nào là rất quan trọng. Có một số điểm chính ở đây: 

Đầu tiên, đó là chi phí sử dụng công cụ. Nhiều công cụ, mặc dù rất mạnh mẽ nhưng đòi hỏi phải lập trình và chi phí sử dụng không hề rẻ. Người dùng không dễ dàng tìm ra cấu trúc của hợp đồng và thậm chí thu thập địa chỉ.  

Thứ hai, đó là tính chính xác. Không ai muốn nhận được nhiều báo thức liên tiếp khi đang ngủ vào ban đêm, chỉ để phát hiện ra rằng đó là những báo động giả, có thể khiến mọi người cảm thấy lo lắng. Vì vậy, độ chính xác cũng rất quan trọng.  

Cuối cùng là vấn đề bảo mật. Đặc biệt ở quy mô tài trợ này, không thể bỏ qua các rủi ro bảo mật khác nhau trong quá trình phát triển công cụ và các nhóm phát triển. Vụ tấn công Gala Game gần đây được cho là do sự ra đời của các nhà cung cấp dịch vụ bên thứ ba không an toàn. Vì vậy, một đội ngũ đáng tin cậy và một sản phẩm đáng tin cậy là rất quan trọng.  

Cho đến nay, nhiều cá voi đã tiếp cận chúng tôi và chúng tôi sẽ đề xuất các giải pháp quản lý tài sản chuyên nghiệp cho họ, để người dùng cá voi không chỉ đảm bảo an toàn cho tiền mà còn tính đến việc quản lý quỹ hàng ngày chẳng hạn như "Đào, nuôi và bán", nhận thấy rủi ro và thậm chí rút tiền trong tình trạng khẩn cấp.

Q7 : Khuyến nghị bảo mật khi tham gia DeFivà cách giải quyết các rủi ro bảo mật

BlockSec

BlockSec

strong>Nhóm bảo mật: Đối với những người tham gia có số tiền lớn, Điều đầu tiên khi tham gia giao thức DeFi là đảm bảo an toàn cho tiền gốc và đầu tư sau khi tiến hành nghiên cứu tương đối kỹ lưỡng về các rủi ro bảo mật có thể xảy ra. Sự an toàn của quỹ thường có thể được đảm bảo từ các khía cạnh sau.

Trước hết, cần đánh giá mức độ chú trọng đến an toàn và đầu tư của bên dự án từ nhiều khía cạnh. Bao gồm những điều đã đề cập ở trên liệu nó có trải qua kiểm toán bảo mật tương đối kỹ lưỡng hay không, liệu bên dự án có khả năng giám sát rủi ro bảo mật và phản ứng tự động của dự án hay không, liệu nó có cơ chế quản trị cộng đồng tương đối tốt hay không, v.v. Tất cả những điều này có thể phản ánh liệu bên dự án có coi trọng việc bảo mật tiền của người dùng hay không và liệu họ có thái độ có trách nhiệm cao đối với việc bảo mật tiền của người dùng hay không.

Thứ hai, những người tham gia có số tiền lớn cũng cần xây dựng hệ thống giám sát an ninh và phản hồi tự động của riêng mình. Sau khi xảy ra sự cố bảo mật trong thỏa thuận đầu tư, các nhà đầu tư có số tiền lớn có thể cảm nhận được ngay lập tức và rút tiền để bù lỗ càng nhiều càng tốt, thay vì đặt hết hy vọng vào bên dự án. Vào năm 2023, chúng ta có thể thấy nhiều dự án nổi tiếng đã bị tấn công, bao gồm Curve, KyberSwap, Euler Finance, v.v. Thật không may, chúng tôi nhận thấy rằng khi các cuộc tấn công xảy ra, các nhà đầu tư lớn thường thiếu thông tin tình báo kịp thời và hiệu quả, đồng thời không có hệ thống giám sát an ninh và sơ tán khẩn cấp của riêng họ.  

Ngoài ra, nhà đầu tư cần lựa chọn đối tác bảo mật tốt hơn để tiếp tục quan tâm đến vấn đề bảo mật mục tiêu dự án đầu tư. Cho dù đó là nâng cấp mã của nhóm dự án, thay đổi tham số quan trọng, v.v., các rủi ro cần được nhận biết và đánh giá kịp thời. Thật khó để thực hiện được điều đó nếu không có sự tham gia của các đội và công cụ bảo mật chuyên nghiệp.

Cuối cùng, khóa riêng cần được bảo vệ. Đối với các tài khoản yêu cầu giao dịch thường xuyên, tốt nhất nên sử dụng kết hợp các giải pháp bảo mật khóa riêng đa chữ ký trực tuyến và ngoại tuyến để loại bỏ rủi ro một điểm sau khi mất một địa chỉ và một khóa riêng.  

Nên làm gì nếu dự án đầu tư gặp rủi ro về an toàn 

Tôi tin rằng đối với bất kỳ cá voi và nhà đầu tư khổng lồ nào, phản ứng đầu tiên khi gặp sự cố bảo mật phải là bảo vệ vốn trước, thoái vốn càng sớm càng tốt là ưu tiên hàng đầu. Nhưng những kẻ tấn công thường rất nhanh và các thao tác thủ công thường quá muộn nên tốt nhất là có thể tự động rút tiền dựa trên rủi ro. Hiện tại, chúng tôi cung cấp các công cụ liên quan có thể tự động rút tiền sau khi phát hiện các giao dịch bị tấn công, giúp người dùng sơ tán trước.  

Thứ hai, nếu thực sự bị lỗ, ngoài việc rút kinh nghiệm, bạn cũng nên tích cực vận động bên dự án tìm kiếm sự trợ giúp từ các công ty chứng khoán để truy tìm, giám sát số tiền bị thiệt hại. Do toàn bộ ngành công nghiệp tiền điện tử rất coi trọng vấn đề bảo mật nên tỷ lệ số tiền thu hồi được đang dần tăng lên.

Cuối cùng, nếu bạn là nhà đầu tư lớn, bạn cũng có thể nhờ công ty chứng khoán kiểm tra xem các dự án đầu tư khác có gặp vấn đề tương tự hay không. Nguyên nhân sâu xa của nhiều cuộc tấn công là nhất quán, chẳng hạn như vấn đề mất độ chính xác của Hợp chất V2. Năm ngoái, nhiều dự án cũng gặp vấn đề tương tự và liên tục bị tấn công. Vì vậy, bạn có thể yêu cầu công ty bảo mật phân tích rủi ro của các dự án khác trong danh mục đầu tư. Nếu phát hiện rủi ro, bạn nên liên hệ với bên dự án hoặc rút lui càng sớm càng tốt.  

OKX Web3 Nhóm bảo mật ví: Khi tham gia vào các dự án DeFi, người dùng có thể tham gia vào các dự án DeFi một cách an toàn hơn bằng cách thực hiện nhiều biện pháp khác nhau để giảm Tận hưởng lợi ích của tài chính phi tập trung mà không có nguy cơ mất vốn. Chúng tôi sẽ bắt đầu từ hai cấp độ: cấp độ người dùng và ví OKX Web3.

Đầu tiên, đối với người dùng:

1) Chọn các dự án đã được kiểm toán: Ưu tiên các dự án đã được kiểm toán bởi các công ty kiểm toán bên thứ ba nổi tiếng (chẳng hạn như ConsenSys Diligence, Trail of Bits, OpenZeppelin, Quantstamp, ABDK và vị khách mà chúng tôi đã nói chuyện hôm nay (BlockSec) đã kiểm tra các dự án, xem xét các báo cáo kiểm toán công khai của họ để hiểu các rủi ro tiềm ẩn và sửa chữa lỗ hổng bảo mật.  

2) Hiểu nền tảng và nhóm dự án: Đảm bảo rằng dự án minh bạch và đáng tin cậy bằng cách nghiên cứu sách trắng, trang web chính thức và thông tin nền tảng của nhóm phát triển. Theo dõi các hoạt động của nhóm trên mạng xã hội và trong cộng đồng phát triển để tìm hiểu về năng lực kỹ thuật và hỗ trợ cộng đồng của nhóm.  

3) Đầu tư đa dạng: Không đầu tư tất cả số tiền của bạn vào một dự án hoặc tài sản DeFi duy nhất. Đầu tư đa dạng có thể giảm thiểu rủi ro. Chọn từ nhiều loại dự án DeFi khác nhau, chẳng hạn như Lending, DEX, Farming, v.v., để đa dạng hóa mức độ rủi ro của bạn.  

4) Thử nghiệm số tiền nhỏ: Trước khi giao dịch số tiền lớn, hãy thực hiện giao dịch thử nghiệm số tiền nhỏ để đảm bảo tính bảo mật cho hoạt động và nền tảng.  

5) Thường xuyên theo dõi tài khoản và ứng phó khẩn cấp: Thường xuyên kiểm tra tài khoản và tài sản DeFi của bạn để phát hiện kịp thời các giao dịch hoặc hoạt động bất thường. Sử dụng các công cụ như Etherscan để giám sát hồ sơ giao dịch trên chuỗi nhằm đảm bảo an toàn tài sản. Sau khi phát hiện bất thường, hãy kịp thời thực hiện các biện pháp khẩn cấp như thu hồi toàn bộ ủy quyền trên tài khoản, liên hệ với nhóm bảo mật ví để được hỗ trợ, v.v.  

6) Sử dụng các dự án mới một cách thận trọng: Hãy thận trọng với các dự án mới vừa ra mắt hoặc chưa được xác minh. Bạn có thể đầu tư một khoản tiền nhỏ để thử nghiệm trước để quan sát hoạt động và độ an toàn của nó.  

7) Sử dụng ví Web3 chính thống để giao dịch: Chỉ sử dụng ví Web3 chính thống để tương tác với các dự án DeFi chính thống để bảo vệ an ninh tốt hơn.

8) Ngăn chặn các cuộc tấn công lừa đảo: Hãy cẩn thận khi nhấp vào các liên kết và email không quen thuộc từ các nguồn không xác định, không nhập khóa riêng tư hoặc cụm từ ghi nhớ trên các trang web không đáng tin cậy và đảm bảo rằng các liên kết bạn truy cập là trang web chính thức. Sử dụng các kênh chính thức để tải xuống ví và ứng dụng nhằm đảm bảo tính xác thực của phần mềm.  

Thứ hai, từ góc nhìn của ví OKX Web3: 

Chúng tôi cung cấp nhiều cơ chế bảo mật để bảo vệ sự an toàn cho tiền của người dùng: 

1) Phát hiện tên miền rủi ro: Khi người dùng truy cập DAPP, OKX Web3 Wallet sẽ thực hiện phát hiện và phân tích ở cấp tên miền. Nếu người dùng truy cập DAPP độc hại, nó sẽ chặn hoặc nhắc nhở người dùng để ngăn chặn người dùng bị lừa. .

2) Đĩa Tỳ hưu Phát hiện mã thông báo: Ví OKX Web3 hỗ trợ khả năng phát hiện mã thông báo Pixiu Pan hoàn chỉnh và chủ động chặn mã thông báo Pixiu Pan trong ví để ngăn người dùng cố gắng tương tác với mã thông báo Pixiu Pan.  

3) Thư viện thẻ địa chỉ: Ví OKX Web3 cung cấp thư viện thẻ địa chỉ phong phú và đầy đủ. Khi người dùng tương tác với các địa chỉ đáng ngờ, ví OKX Web3 sẽ đưa ra cảnh báo kịp thời.  

4) Thực hiện trước giao dịch: Trước khi người dùng gửi bất kỳ giao dịch nào, Ví OKX Web3 sẽ mô phỏng việc thực hiện giao dịch và hiển thị kết quả thay đổi nội dung và ủy quyền cho người dùng để tham khảo. Người dùng có thể đánh giá xem kết quả có đáp ứng mong đợi hay không và quyết định có tiếp tục gửi giao dịch hay không.

5) DeFi tích hợp Ứng dụng: Ví OKX Web3 đã tích hợp các dịch vụ của nhiều dự án DeFi chính thống khác nhau. Người dùng có thể tương tác một cách an toàn với các dự án DeFi tích hợp thông qua ví OKX Web3. Ngoài ra, OKX Web3 Wallet cũng sẽ đề xuất đường dẫn cho các dịch vụ DeFi như DEX và cầu nối chuỗi chéo, nhằm cung cấp cho người dùng các dịch vụ DeFi tốt nhất và các giải pháp Gas tốt nhất.

6) Bảo mật hơn dịch vụ: Ví OKX Web3 đang dần bổ sung thêm nhiều chức năng bảo mật hơn và xây dựng các dịch vụ bảo vệ bảo mật tiên tiến hơn, điều này sẽ bảo vệ sự an toàn của người dùng ví OKX tốt hơn và hiệu quả hơn.

Q8: Không chỉ người dùng mà cả DeFicác loại rủi ro mà các dự án phải đối mặt và cách giải quyết bảo vệ chúng?

BlockSecNhóm bảo mật: Các loại rủi ro mà các dự án DeFi gặp phải bao gồm: rủi ro bảo mật mã, rủi ro bảo mật hoạt động và rủi ro phụ thuộc bên ngoài .

Đầu tiên, rủi ro về bảo mật mã. Tức là những rủi ro bảo mật có thể tồn tại trong các dự án DeFi ở cấp độ mã. Đối với các dự án DeFi, hợp đồng thông minh là logic kinh doanh cốt lõi của chúng (logic xử lý front-end và back-end là các hoạt động kinh doanh phát triển phần mềm truyền thống và tương đối trưởng thành. Chúng cũng là trọng tâm mà chúng tôi chú ý và thảo luận, bao gồm:

< p> 1) Trước hết, từ góc độ phát triển, cần tuân theo các thực tiễn phát triển bảo mật hợp đồng thông minh đã được công nhận trong ngành, chẳng hạn như mô hình Kiểm tra-Hiệu ứng-Tương tác để ngăn chặn các lỗ hổng tái nhập, v.v.; để chọn các chức năng đáng tin cậy của bên thứ ba cho các chức năng thường được sử dụng. Triển khai nó bằng cách sử dụng thư viện của bên thứ ba để tránh những rủi ro không xác định do phát minh lại bánh xe.

2) Thứ hai là tiến hành thử nghiệm nội bộ. Thử nghiệm là một phần quan trọng trong quá trình phát triển phần mềm và có thể giúp tìm ra nhiều vấn đề. Nhưng đối với các dự án DeFI, chỉ thử nghiệm cục bộ là không đủ để phát hiện ra các vấn đề. Cần phải thực hiện thêm thử nghiệm trong môi trường triển khai gần với dây chuyền thực tế. Điều này có thể đạt được bằng cách sử dụng các công cụ như Phalcon Fork để giúp đạt được điều này.

3) Cuối cùng, sau khi hoàn thành quá trình kiểm tra, hãy kết nối với dịch vụ kiểm toán của bên thứ ba có danh tiếng tốt. Mặc dù kiểm tra không thể đảm bảo 100% rằng sẽ không có vấn đề gì xảy ra, nhưng kiểm tra hệ thống có thể giúp phía dự án ở mức độ lớn xác định các vấn đề bảo mật phổ biến và đã biết khác nhau, thường do các nhà phát triển không quen thuộc với chúng hoặc có cách suy nghĩ khác nhau gây ra. Các bộ phận càng khó tiếp cận. Tất nhiên, vì mỗi công ty kiểm toán có sự khác nhau về chuyên môn và định hướng nên nếu ngân sách cho phép thì trên thực tế nên có từ hai công ty kiểm toán trở lên tham gia.

Thứ hai, rủi ro an ninh hoạt động. Tức là những rủi ro bảo mật phát sinh trong quá trình vận hành dự án sau khi nó lên mạng. Một mặt, vẫn có thể có những lỗ hổng chưa được biết đến trong mã. Ngay cả khi mã đã được phát triển, kiểm tra và kiểm tra tốt, vẫn có thể có những rủi ro bảo mật chưa được phát hiện. Điều này đã được chứng minh rộng rãi trong nhiều thập kỷ thực hành bảo mật trong phát triển phần mềm; mặt khác, ngoài các vấn đề ở cấp độ mã, dự án còn phải đối mặt với nhiều vấn đề hơn. những thách thức sau khi trực tuyến, chẳng hạn như rò rỉ khóa riêng, cài đặt sai các tham số hệ thống quan trọng, v.v., có thể gây ra hậu quả nghiêm trọng và tổn thất lớn. Các chiến lược được đề xuất để xử lý rủi ro bảo mật hoạt động bao gồm:

1) Thiết lập và cải thiện việc quản lý khóa riêng tư: Sử dụng các phương pháp quản lý khóa riêng tư đáng tin cậy, chẳng hạn như ví phần cứng đáng tin cậy hoặc giải pháp ví dựa trên MPC.

2) Giám sát trạng thái hoạt động: Hệ thống giám sát nhận biết các hoạt động đặc quyền và trạng thái bảo mật của dự án trong thời gian thực.

3) Xây dựng cơ chế phản hồi tự động đối với rủi ro: Ví dụ: sử dụng BlockSec Phalcon, nó có thể tự động chặn khi gặp phải một cuộc tấn công để tránh (thêm) tổn thất.

4) Tránh rủi ro một điểm của các hoạt động đặc quyền: chẳng hạn như sử dụng Ví đa chữ ký an toàn để thực hiện các hoạt động đặc quyền.

Thứ ba, rủi ro phụ thuộc bên ngoài đề cập đến rủi ro do sự phụ thuộc bên ngoài của dự án gây ra, chẳng hạn như dựa vào dự báo giá do các giao thức DeFi khác cung cấp, nhưng các vấn đề với oracle khiến việc tính giá tạo ra sai sót kết quả. Các khuyến nghị đối với rủi ro phụ thuộc bên ngoài bao gồm:

1) Chọn các đối tác bên ngoài đáng tin cậy, chẳng hạn như các giao thức đứng đầu đáng tin cậy được ngành công nhận.

2) Làm tốt công việc giám sát trạng thái vận hành: tương tự như rủi ro bảo mật vận hành, nhưng đối tượng giám sát ở đây là các phụ thuộc bên ngoài.

3) Xây dựng cơ chế phản hồi tự động đối với các rủi ro: tương tự như rủi ro bảo mật hoạt động, nhưng phương pháp xử lý có thể khác nhau, chẳng hạn như chuyển đổi các phụ thuộc dự phòng thay vì tạm dừng trực tiếp toàn bộ giao thức.

Ngoài ra, chúng tôi cũng đưa ra một số đề xuất giám sát cho các bên tham gia dự án muốn xây dựng khả năng giám sát

1) Đặt chính xác các điểm giám sát: xác định những trạng thái (biến) chính nào tồn tại trong giao thức , vị trí nào cần giám sát, đây là bước đầu tiên để xây dựng năng lực giám sát. Tuy nhiên, rất khó để thiết lập các điểm giám sát để bao quát tất cả các khía cạnh, đặc biệt là về mặt giám sát tấn công. Nên sử dụng công cụ phát hiện tấn công chuyên nghiệp bên ngoài của bên thứ ba đã được thử nghiệm trong thực tế chiến đấu.

2) Đảm bảo tính chính xác và kịp thời của giám sát: Độ chính xác của giám sát có nghĩa là không nên có quá nhiều kết quả dương tính giả (FP) và âm tính giả (FN). Một hệ thống giám sát thiếu độ chính xác về cơ bản là Không có. ; tính kịp thời là điều kiện tiên quyết để phản hồi (ví dụ: liệu nó có thể được phát hiện sau khi hợp đồng đáng ngờ được triển khai và trước khi giao dịch tấn công được tải lên chuỗi hay không), nếu không, nó chỉ có thể được sử dụng để phân tích sau sự kiện, có mức cao. tác động đến hiệu suất và tính ổn định của hệ thống giám sát.

3) Cần có khả năng phản hồi tự động: Dựa trên việc giám sát chính xác và theo thời gian thực, có thể xây dựng các phản hồi tự động, bao gồm các giao thức tạm dừng để chặn các cuộc tấn công, v.v. Điều này đòi hỏi sự hỗ trợ của khung phản hồi tự động đáng tin cậy và có thể tùy chỉnh, có thể tùy chỉnh linh hoạt các chiến lược phản hồi và tự động kích hoạt thực thi theo nhu cầu của bên dự án.

Nhìn chung, việc xây dựng năng lực giám sát cần có sự tham gia của các nhà cung cấp dịch vụ an ninh chuyên nghiệp bên ngoài.

OKX Web3 Nhóm bảo mật ví: Các dự án DeFi phải đối mặt với nhiều rủi ro, chủ yếu bao gồm các danh mục sau:

1 ) Rủi ro kỹ thuật: chủ yếu bao gồm lỗ hổng hợp đồng thông minh và tấn công mạng. Các biện pháp bảo vệ bao gồm áp dụng các phương pháp phát triển an toàn, thuê các công ty kiểm toán bên thứ ba chuyên nghiệp tiến hành kiểm toán toàn diện các hợp đồng thông minh, thiết lập các chương trình thưởng lỗi để khuyến khích tin tặc mũ trắng khám phá các lỗ hổng và tách biệt tài sản để cải thiện tính bảo mật của quỹ.

2) Rủi ro thị trường: chủ yếu bao gồm biến động giá, rủi ro thanh khoản, rủi ro thao túng thị trường và rủi ro kết hợp. Các biện pháp bảo vệ bao gồm sử dụng stablecoin và phòng ngừa rủi ro để ngăn chặn biến động giá, sử dụng cơ chế khai thác thanh khoản và phí linh hoạt để xử lý rủi ro thanh khoản, xem xét nghiêm ngặt các loại tài sản được hỗ trợ bởi giao thức DeFi và sử dụng oracle phi tập trung để ngăn chặn thao túng thị trường, đồng thời thông qua Đổi mới và tối ưu hóa liên tục các tính năng của giao thức để giải quyết các rủi ro cạnh tranh.

3) Rủi ro hoạt động: chủ yếu bao gồm sai sót về con người và rủi ro cơ chế quản trị. Các biện pháp bảo vệ bao gồm thiết lập các biện pháp kiểm soát nội bộ và quy trình vận hành nghiêm ngặt để giảm thiểu lỗi xảy ra do con người, sử dụng các công cụ tự động để nâng cao hiệu quả hoạt động và thiết kế các cơ chế quản trị hợp lý để đảm bảo sự cân bằng giữa phân quyền và bảo mật, chẳng hạn như đưa ra cơ chế trì hoãn bỏ phiếu và cơ chế đa chữ ký. . Chúng tôi cũng sẽ lập kế hoạch giám sát và khẩn cấp đối với các dự án trực tuyến để nếu có bất thường xảy ra có thể có biện pháp xử lý ngay lập tức nhằm giảm thiểu tổn thất.

4) Rủi ro pháp lý: yêu cầu tuân thủ pháp luật và nghĩa vụ chống rửa tiền (AML)/biết khách hàng (KYC). Các biện pháp bảo vệ bao gồm thuê cố vấn pháp lý để đảm bảo các dự án tuân thủ các yêu cầu pháp lý và quy định, thiết lập các chính sách tuân thủ minh bạch và chủ động triển khai các biện pháp AML và KYC để nâng cao niềm tin của người dùng và cơ quan quản lý.

Q9: DeFiCác bên tham gia dự án đánh giá và lựa chọn một công ty kiểm toán tốt như thế nào?

BlockSecNhóm bảo mật: Nhóm dự án DeFi đánh giá và chọn một công ty kiểm toán tốt như thế nào? Dưới đây là một số tiêu chuẩn đơn giản để tham khảo:

1) Đã kiểm toán các dự án nổi tiếng hay chưa: Điều này cho thấy công ty kiểm toán đã được công nhận bởi các dự án nổi tiếng này.

2) Liệu các dự án được kiểm toán có bị tấn công hay không: Mặc dù về mặt lý thuyết, kiểm toán không thể đảm bảo an ninh 100% nhưng kinh nghiệm thực tế cho thấy hầu hết các dự án được kiểm toán bởi các công ty kiểm toán có uy tín đều chưa bị tấn công. Hồ sơ.

3) Đánh giá chất lượng kiểm toán thông qua các báo cáo kiểm toán trước đây: Báo cáo kiểm toán là thước đo quan trọng thể hiện tính chuyên nghiệp của một công ty kiểm toán, đặc biệt khi có thể so sánh cùng một dự án kiểm toán và cùng phạm vi kiểm toán. chất lượng (mức độ gây hại) và số lượng các phát hiện về lỗ hổng bảo mật, v.v., và liệu các phát hiện về lỗ hổng bảo mật có thường được nhóm dự án áp dụng hay không.

4) Người hành nghề chuyên môn: Thành phần nhân sự của công ty kiểm toán bao gồm trình độ học vấn và kiến ​​thức chuyên môn có hệ thống và kinh nghiệm chuyên môn giúp ích rất nhiều trong việc đảm bảo chất lượng kiểm toán.  

Cuối cùng, cảm ơn tất cả các bạn đã đọc số thứ 05 trong chuyên mục "Vấn đề bảo mật đặc biệt" của OKX Web3 Wallet. Chúng tôi hiện đang bận rộn chuẩn bị số thứ 06, không chỉ bao gồm các trường hợp thực tế, nhận dạng rủi ro và các vấn đề khác. Hãy theo dõi để biết các mẹo về vận hành an toàn!

Tuyên bố miễn trừ trách nhiệm:

Bài viết này chỉ mang tính tham khảo. Bài viết này không nhằm mục đích cung cấp (i) lời khuyên đầu tư hoặc khuyến nghị đầu tư; , bán hoặc giữ Ưu ​​đãi hoặc chào mời tài sản kỹ thuật số hoặc (iii) tư vấn tài chính, kế toán, pháp lý hoặc thuế. Việc nắm giữ các tài sản kỹ thuật số, bao gồm stablecoin và NFT, có mức độ rủi ro cao và có thể biến động đáng kể hoặc thậm chí trở nên vô giá trị. Bạn nên cân nhắc cẩn thận xem việc giao dịch hoặc nắm giữ tài sản kỹ thuật số có phù hợp với mình hay không dựa trên tình hình tài chính của bạn. Vui lòng có trách nhiệm hiểu và tuân thủ luật pháp và quy định hiện hành của địa phương.