Bối cảnh chung

Vai trò của lĩnh vực kiểm toán ngày càng lớn khi các vụ tấn công an ninh mạng nhắm vào các dự án blockchain ngày càng nhiều do sự bùng nổ của ngành công nghiệp DeFi, GameFi và NFTs. Theo số liệu tổng hợp từ Slowmist, tổn thất của thị trường tiền mã hóa do hack, khai thác và lừa đảo trong năm 2022 tính đến ngày 06/8/2022 đạt giá trị hơn 3,2 tỷ đô la. Các công ty kiểm toán phải chủ động tìm kiếm và xử lý các lỗ hổng để chống lại sự gia tăng của các hoạt động gây hại đến thị trường.

Hack event by Slowmist
Total hack event by Slowmist

Vị thế ngày càng lớn của Kiểm toán

Theo thời gian, dự án đã được kiểm toán đã trở thành một thước đo giá trị trong việc đánh giá mức độ bảo mật và sự phát triển của một dự án tiền mã hóa, một thị trường đem đến rất nhiều cơ hội nhưng cũng tiềm ẩn nhiều rủi ro đi kèm.

Với việc cung cấp các dịch vụ cho thị trường DeFi và GameFi, các thị trường tiềm năng và cạnh tranh bậc nhất thị trường tiền mã hóa, kiểm toán hợp đồng thông minh đã trở thành một thành phần quan trọng của bảo mật tiền mã hóa vì hầu hết các giao thức chạy trên một bộ hợp đồng thông minh phức tạp. Một cuộc kiểm toán hợp đồng thông minh tốt sẽ đạt được hai mục tiêu chính.

Đầu tiên và quan trọng nhất rõ ràng là bảo mật – đảm bảo hợp đồng thông minh chất lượng giúp xác định các rủi ro tiềm tàng và đảm bảo rằng giao thức đang thực hiện các bước cần thiết để giải quyết bất kỳ lỗi hoặc sai sót nào có thể khiến tiền của người dùng gặp rủi ro. Mặc dù không có gì đảm bảo rằng một giao thức sẽ an toàn sau khi được kiểm toán, nhưng một người đánh giá hợp đồng thông minh giỏi vẫn có thể thực hiện đánh giá toàn diện để phát hiện ra các vấn đề tiềm ẩn nhằm ngăn chặn các lỗ hổng nghiêm trọng sau khi khởi chạy.

Thứ hai, việc kiểm toán tốt sẽ giúp dự án đạt được mức độ tin cậy nhất định với cộng đồng tiền mã hóa, cũng như với các quỹ đầu tư tiềm năng, rằng mức độ bảo mật cơ bản đã được thiết lập. Điều này không chỉ quan trọng đối với các dự án mới ra mắt thị trường mà còn quan trọng đối với các dự án đang triển khai nâng cấp lớn. Việc đánh giá do kiểm toán viên bên thứ ba thực hiện đang nhanh chóng trở thành thông lệ tiêu chuẩn khi cố bất kỳ thay đổi lớn nào đối với hợp đồng thông minh được triển khai.

Cuối cùng, không chỉ kiểm tra hợp đồng thông minh, một số công ty bảo mật nhất định cũng đã phân nhánh sang cung cấp các dịch vụ an ninh mạng khác như kiểm tra thâm nhập, chạy chương trình tiền thưởng lỗi, đánh giá lỗ hổng và mô hình hóa mối đe dọa. Tất cả những dịch vụ này là các dịch vụ bổ sung mà một dự án có thể tham gia nếu họ yêu cầu hỗ trợ hoặc hỗ trợ thêm.

Ngoài những hoạt động về kiểm toán hợp đồng thông minh và an ninh mạng, các công ty kiểm toán cũng đem đến các giải pháp tư vấn về mặt tài chính cho dự án trong quá trình hoạt động. Ngành kiểm toán đã, đang và sẽ đồng hành cùng thị trường tiền mã hóa, đem lại sự tin tưởng, lợi ích và phát triển cho các bên liên quan.

Các sự kiện đáng chú ý

REKT leader board
Bảng xếp hạng các dự án bị tấn công an ninh mạng. Nguồn: Rekt

Nửa đầu năm 2022 xảy ra nhiều vụ tấn công an ninh mạng, một số vụ tiêu biểu như:

Ronin Network – $624 triệu, chưa được kiểm toán

Ngày 23/3/2022, sidechain Ronin Network phục vụ tựa game blockchain Axie Infinity bị hacker tấn công, chiếm quyền điều khiển 5 trong số 9 node xác nhận các giao dịch, lấy đi lượng tiền mã hóa gồm 173.600 ETH và 25,5 triệu USDC, tổng trị giá trên thị trường rơi vào khoảng hơn 624 triệu USD. Lỗ hổng xác thực này đáng lẽ ra được ứng dụng với mục đích tăng tốc quá trình giao dịch và giảm những khoản phí trung gian nếu sử dụng những node xác thực giao dịch truyền thống trên blockchain. Nhưng vì chỉ cần xác thực 5 trong 9 node là giao dịch được xác nhận, nên “công việc” của hacker cũng dễ dàng hơn nhiều khi hack vào cầu nối Ronin Network. Vụ việc này chỉ đến ngày 29/3 mới được phát hiện khi có người chơi Axie Infinity thông báo không rút được tiền mã hóa từ hệ thống.

Vụ tấn công này sẽ được ghi nhớ không chỉ vì quy mô của nó, mà còn vì sự thiếu ý thức một cách kỳ lạ của đội ngũ Ronin. Không thể tưởng tượng được rằng cơ sở hạ tầng chính của họ đã không được giám sát, và sự việc chỉ được phát hiện bởi một người dùng có liên quan vài ngày sau đó.

Đến nay, FBI kết luận rằng nhóm hacker thực hiện là APT38 và Lazarus Group, những hacker có mối liên hệ mật thiết với chính phủ Triều Tiên.

Hiện tại, đội ngũ Axi Infinity cho biết họ đã thu hồi được $5,8 triệu và nhận được $150 triệu tài trợ từ một vòng gọi vốn được dẫn đầu bởi Binance, đồng thời cam kết hoàn trả lại số tiền cho người dùng bị thiệt hại bởi vụ tấn công này.

Wormhold – Kiểm toán bởi Neodyme – $326 triệu

Đầu tháng 2, nhóm phát triển blockchain Wormhole xác nhận trên Twitter rằng mạng lưới bị tấn công và ngừng hoạt động để bảo trì. Nhóm sau đó họ cho biết nền tảng đã bị đánh cắp số token trị giá hơn 320 triệu USD.

Phân tích của công ty an ninh mạng CertiK sau đó cho thấy, những kẻ tấn công đã thu lời 251 triệu USD từ Ethereum, gần 47 triệu USD từ Solana và hơn 4 triệu USD từ USDC. Đây được xem là vụ tấn công lớn thứ hai trong lịch sử nhằm vào hệ thống DeFi sau Poly Network.

Wormhole là một trong những cầu nối phổ biến nhất giữa blockchain Ethererum và Solana. Nền tảng này cho phép việc giao dịch các đồng tiền trong hai hệ sinh thái trên trở nên dễ dàng hơn.

Sau đó, team Wormhole đã gửi một bức thư On-Chain với nội dung là trả lại 120.000 WETH và nhận $10M cho phần thưởng tìm ra lỗ hổng hoặc chọn giữ 120.000 WETH và trở thành kẻ xấu. Hiện tại, hacker đang chọn lựa chọn thứ hai.

Sự việc được giải quyết khi Jump Crypto đã gửi vào 120.000 ETH để không mất peg với WETH trên Solana.

Ngoài ra, tính từ 01/01 đến 06/8/2022, thị trường crypto đã xảy ra 25 vụ tấn công, số tiền bị tấn công tương ứng là $3.247.007.306.

Số tiền bị tấn công
Số tiền bị tấn công qua các năm

Đánh giá về vai trò của Kiểm toán

Nhiều người thắc mắc về vai trò và trách nhiệm của kiểm toán khi các dự án đã được kiểm toán vẫn bị các hacker tấn công và khai thác các lỗ hổng. Nhưng bạn cũng nên nhớ rằng, các kiểm toán viên chỉ thực hiện cuộc kiểm toán dựa trên các dữ liệu mà khách hàng của họ cung cấp, chính là các dự án. Và chúng ta cũng nên tìm hiểu rằng hợp đồng kiểm toán giữa công ty kiểm toán và các dự án là kiểm toán 1 phần của dự án hay toàn bộ dự án để hiểu rõ trách nhiệm của các bên liên quan khi có sự cố bị tấn công hoặc khai thác lỗ hổng phát sinh. Nhiều dự án thực hiện 1 hợp đồng kiểm toán với các công ty kiểm toán có uy tín chỉ với mục đích tạo uy tín cho dự án, mặc dù hợp đồng kiểm toán chỉ là kiểm toán một đoạn code hoặc một chức năng nhỏ. Ngoài ra, cũng không thể phủ nhận sự thiếu năng lực của một số công ty kiểm toán.

Một trong những bước đầu tiên để đánh giá các công ty kiểm toán là kiểm tra danh mục kiểm toán của các dự án/nền tảng mà họ đã kiểm toán trong quá khứ. Làm như vậy sẽ cho phép bạn xem số lượng kiểm toán mà họ đã thực hiện và quan trọng hơn là có bất kỳ dự án/nền tảng nào họ đã kiểm toán bị tấn công hoặc khai thác hay không. Ngoài ra, quy mô và mức độ phổ biến của các dự án mà họ đã kiểm toán sẽ giúp xác định liệu kiểm toán viên có uy tín hay không vì các dự án lớn hơn sẽ có xu hướng thu hút nhiều sự chú ý hơn từ tin tặc.

Trong khi hầu hết các kiểm toán viên sẽ cung cấp kiểm tra hợp đồng Ethereum, chỉ một số sẽ có chuyên môn để kiểm tra các dự án trên altchains như Solana, Polygon, Avalanche, Fantom và BNB. Điều này là do các chuỗi tương thích với EVM cũng có các kiến ​​trúc cơ bản khác nhau, chưa kể đến một số altchains nhất định như Solana và NEAR sử dụng một ngôn ngữ lập trình hoàn toàn khác, ví dụ như Rust. Các công ty khác nhau sẽ có các lĩnh vực chuyên môn khác nhau trong các giao thức kiểm toán được xây dựng trên các blockchain khác nhau, vì vậy, đánh giá mức độ năng lực của họ trước khi mời họ tham gia kiểm toán là điều cần thiết. Ít nhất, bạn nên xem xét danh mục kiểm toán của công ty kiểm toán để xem liệu công ty đó đã thực hiện bất kỳ cuộc kiểm toán nào trước đây đối với chuỗi lựa chọn của bạn hay chưa. Ví dụ: Nếu bạn đang chọn Kiểm tra hợp đồng dựa trên Solana, hãy kiểm tra các cuộc kiểm toán trước đây của công ty cho các dự án hoạt động trên Solana.

Một điều cần lưu ý khi xem xét các báo cáo kiểm toán trước đây là phương pháp luận và cách tiếp cận của công ty kiểm toán. Trong nhiều trường hợp, phạm vi kiểm toán khác nhau giữa các dự án khác nhau và các công ty kiểm toán thực hiện các công việc có mức độ phức tạp khác nhau dựa trên thỏa thuận của họ với khách hàng của họ. Rõ ràng việc kiểm toán chi tiết và kỹ lưỡng là tốt, nhưng nó cũng có nghĩa là thời gian hoàn thành lâu hơn và tốn nhiều chi phí hơn cho dự án. Việc kiểm tra kỹ lưỡng cũng ảnh hưởng đến chất lượng của các đoạn code, mặc dù nó có thể không phải là vấn đề bây giờ, nhưng code được viết kém có thể gây ra sự cố trong tương lai khi giao thức cần được nâng cấp.

Cuối cùng, chất lượng của báo cáo kiểm toán là một yếu tố khác cần tìm kiếm ở một kiểm toán viên giỏi. Một báo cáo tốt nên bao gồm một mô tả chi tiết về tất cả các vấn đề được tìm thấy trong quá trình kiểm toán. Điều rất quan trọng cần lưu ý là liệu dự án có giải quyết được các phát hiện của cuộc kiểm toán hay không. Mặc dù bạn mong đợi một báo cáo kiểm toán hợp đồng thông minh khá kỹ thuật, nhưng việc có một báo cáo được cấu trúc tốt và được viết ngắn gọn theo cách mà hầu hết mọi người có thể hiểu được cũng là một dấu hiệu tốt để lưu ý.

Đánh giá vai trò của kiểm toán trong thị trường tiền mã hóa cần dựa trên các yếu tố khách quan và chủ quan trong mối quan hệ giữa công ty kiểm toán và dự án cần kiểm toán. Không phải dự án nào được kiểm toán cũng tốt nhưng một dự án tốt cần được kiểm toán.

Tương lai rộng mở của Kiểm toán

Theo Hacken, tỷ lệ kiểm toán hợp đồng thông minh trên thị trường Blockchain đạt khoảng 8% và tăng dần theo thời gian. Vậy với khoảng 13 ngàn dự án blockchain đang có mặt trên Coingecko, sẽ có gần 1 ngàn hợp đồng kiểm toán hợp đồng thông minh được triển khai, một con số ấn tượng. Ngoài ra, một số dự án còn thực hiện việc kiểm toán nhiều lần nhằm đem lại sự tin tưởng cao nhất cho khách hàng, dự án Alpaca hoạt động trong lĩnh vực DeFi đã thực hiện tổng cộng 12 báo cáo kiểm toán.

Hãy nhìn vào thị trường an ninh mạng toàn cầu, vốn hóa của các công ty an ninh mạng hàng đầu trong lĩnh vực Blockchain đạt 216 triệu đô la (theo coinmarketcap), ước tính chỉ bằng 0.06% so với vốn hóa đạt 352 tỷ đô la của 37 công ty lớn nhất hoạt động trong lĩnh vực an ninh mạng toàn cầu (theo companiesmarketcap.com) một con số khá khiêm tốn. Trong tương lai, khi thị trường tiền mã hóa đạt giá trị vốn hóa bằng 1/10 giá trị vốn hóa của thị trường chứng khoán (hiện tại khoảng 1/100), thật khó có thể hình dung sự phát triển của thị trường kiểm toán trong lĩnh vực Blockchain phát triển đến nhường nào.

top 5 vốn hóa kiểm toán
Top 5 vốn hóa của các công ty bảo mật, kiểm toán giữa các thị trường.

Kết luận

Đối mặt tần suất có chiều hướng gia tăng của các cuộc tấn công an ninh mạng và khai thác lỗ hổng trên mạng lưới, vị thế của kiểm toán ngày càng được củng cố và đóng vai trò là một phần không thể thiếu trong mạng lưới Blockchain và thị trường tiền mã hóa. Sự gia tăng của các hoạt động xâm phạm an ninh mạng là thách thức nhưng cũng chính là cơ hội cho sự phát triển của các dự án hoạt động trong lĩnh vực bảo mật. Kiểm toán đã và đang trở thành một thước đo tiêu chuẩn cho sự phát triển của một dự án Blockchain, tuy nhiên bản thân nó cũng cần hoàn thiện những bộ tiêu chuẩn chung để khẳng định vị thế của mình. Đối với một nhà đầu tư, đây có thể được xem như một tiêu chí để đánh giá về chất lượng của dự án, nhưng cũng cần xem xét kỹ các dịch vụ mà dự án đã kiểm toán và tính áp dụng của chúng. Hãy cùng GFS tìm hiểu thêm về lĩnh vực này trong chuyên mục Audit Workspace.