Skip to content

Dự án audit rồi, tại sao vẫn bị hack?

Posted on:April 22, 2022

Câu chuyện 1

Dự án được audit bởi 5 công ty - xin nhắc lại 5 công ty bảo mật, quá uy tín.

Một ngày đẹp trời, dự án bị hack -> sập.

Hỏi ra mới biết dự án chỉ audit mỗi cái token contract.

Câu chuyện 2

Dự án Y cũng được audit bởi công ty A.

Một ngày nữa đẹp trời, dự án bị hack -> sập.

Hỏi ra mới biết dự án dùng gói free để audit (công ty A cung cấp nhiều gói), chỉ chạy tool, pass checklist là ra report đẹp đẽ.


Tại sao dự án bị hack?

Trên đây là 2 câu chuyện mình bịa ra, nhưng nội dung thì cũng đôi ba phần thực tế.

Trong thị trường blockchain, việc các ứng dụng bị hack nhiều như cơm bữa, thậm chí có thể hơn.

Có rất nhiều dự án, dù audit đến mấy lần cũng vẫn bị hack. Nguyên do tại đâu?

Đầu tiên ta cần hiểu được quy trình audit gồm có những cái gì (ở đây ta chủ yếu nói đến audit phần blockchain, tức audit smart contract):

Các quá trình đều là sự tham gia của con người, mà con người thì dễ mắc lỗi, nên ta hiểu rằng audit chỉ có thể làm giảm thiểu nguy cơ bị tấn công, chứ không thể đảm bảo cho dự án an toàn 100% được. Câu hỏi “dự án audit rồi, tại sao vẫn bị hack?” có thể có nhiều câu trả lời:

https://swcregistry.io/

https://consensys.github.io/smart-contract-best-practices/attacks/

Câu chuyện làm thế nào để tránh bị hack thì là một câu chuyện tổng quát nói chung, nhưng nói riêng với audit blockchain, thì một dự án được fully audit đúng nghĩa là dự án được audit toàn bộ từ contract cho tới business logic, thậm chí cả frontend, backend, mỗi lần update đều phải pass qua toàn bộ test, và audit lại nếu cần; được thực hiện bởi các bên uy tín.

Còn nếu chỉ audit token, thì có thể coi như có cũng như không, việc audit chỉ mang tính chất minh họa.

Ngoài ra chạy các chương trình bug bounty với high return cũng là một lựa chọn để nâng cao bảo mật ngoài việc audit: https://immunefi.com/

nói thế chứ, dự án thì cần ra sớm, còn update liên tục, mà audit thì mất công, lại còn phải audit đi audit lại mỗi lần update nữa, ai chả biết là phải làm, nhưng lấy đâu ra tiền & công sức để làm thì chủ thớt lại không nói!