Hướng dẫn kiểm toán cho các nhà khởi nghiệp DeFi: Cách chọn nhà cung cấp dịch vụ kiểm toán an toàn và xây dựng "quan điểm kiểm toán" hiệu quả

Trong ngành công nghiệp tiền điện tử, việc kiểm toán là rất quan trọng để đảm bảo tính toàn vẹn và an toàn của dự án. Quan sát cho thấy, một số dự án hàng đầu như Lido và Compound đã đầu tư rất nhiều vào việc kiểm toán, thường lên tới bảy con số đô la, và thường xuyên thuê nhiều nhà cung cấp dịch vụ kiểm toán để kiểm tra mã sản phẩm cùng một lô.

Điều này phản ánh rằng kể từ mùa hè DeFi, các dự án hàng đầu đã nhận được lợi nhuận lớn, có đủ vốn để tiếp tục đầu tư nhằm xây dựng rào cản cạnh tranh vững chắc hơn. Mặt khác, điều này cũng cho thấy một khía cạnh quan trọng của việc kiểm toán đối với các dự án và doanh nhân khác trong ngành: công việc kiểm toán không phải là quy trình đơn giản "trả tiền - thuê người - ra báo cáo - quảng cáo", mà phải có một bộ "quan điểm kiểm toán" và phương pháp luận đầy đủ. Các bên dự án cần xem xét các sản phẩm nào cần được kiểm toán, cách chọn nhà cung cấp, cách đảm bảo hiệu quả của công việc kiểm toán, cũng như cách thực hiện công việc kiểm toán một cách tiết kiệm và an toàn nhất.

Bài viết này sẽ từ góc độ khởi nghiệp thực tế và vận hành dự án, khám phá một "quan điểm kiểm toán" lý tưởng nên như thế nào.

Tổng quan về nhà cung cấp dịch vụ an toàn

Trong 2-3 năm qua, số lượng nhà cung cấp kiểm toán có thể lựa chọn đã tăng vọt, trên thị trường hiện có khoảng 15-20 nhà cung cấp kiểm toán phổ biến. Dựa trên kinh nghiệm và trao đổi với đồng nghiệp, cân nhắc tổng thể về danh tiếng, khả năng kỹ thuật và độ bao phủ, một số nhà cung cấp như Peckshield, SlowMist, Trail of bits và OpenZeppelin có thể được coi là nhóm hàng đầu.

Tổng thể, nhà cung cấp có nguồn gốc từ Trung Quốc vẫn là lựa chọn hàng đầu cho các dự án tiếng Trung trong ngành công nghiệp tiền điện tử, lợi thế chính là khả năng giao tiếp không bị chênh lệch múi giờ và thuận lợi về ngôn ngữ, giá cả cũng tương đối hợp lý, thường từ 12.000-15.000 USD mỗi người mỗi tuần, có thể biến động theo mùa vụ. Ngược lại, nhà cung cấp nước ngoài ít được biết đến trong các dự án tiếng Trung, nhưng do yếu tố giá trị thương hiệu, nguồn lực của đội ngũ sáng lập hoặc khả năng công nghệ, giá thường cao hơn 1,5-2 lần. Một số nhà cung cấp nước ngoài thậm chí có thể nhận được đơn hàng lớn, chẳng hạn như một nền tảng đã thuê OpenZeppelin để kiểm toán với giá trên một triệu USD trong một quý.

Ngoài các nhà cung cấp kiểm toán truyền thống, còn có một loại nhà cung cấp dịch vụ "cộng đồng mũ trắng", chẳng hạn như một số nền tảng thưởng cho lỗi. Mô hình này là một hình thức đã trưởng thành trong lĩnh vực an ninh truyền thống, đã nổi lên trong ngành công nghiệp tiền điện tử trong hai năm qua. Các dự án đăng tải các mô-đun cần được kiểm toán trên nền tảng như front-end, back-end, hợp đồng thông minh, định nghĩa mức độ nghiêm trọng của lỗi và phần thưởng tương ứng, thu hút "tin tặc mũ trắng" chủ động báo cáo vấn đề. Điều này có thể được coi là một bổ sung hữu ích cho kiểm toán truyền thống, nhưng yêu cầu các dự án phải có khả năng định nghĩa chính xác phân loại lỗi, cấp độ và phạm vi, và cung cấp phần thưởng hợp lý.

Quy trình kiểm toán, phương pháp luận và kiểm soát chi phí

Đối với các bên dự án, trước khi mời các đơn vị kiểm toán xem xét lần đầu, cần chuẩn bị những điều sau:

1. Đảm bảo đã thực hiện ít nhất hai vòng kiểm tra nội bộ, nếu có thể, tốt nhất là thực hiện thêm một vòng thử nghiệm cộng đồng, tránh việc paying for obvious issues.

2. Cố gắng đóng gói mã theo cột mốc dự án, giao nộp một lần cho việc kiểm toán, để kiểm soát chi phí.

3. Đảm bảo người liên hệ hiểu nguyên lý hoạt động tổng thể của sản phẩm, khối lượng mã ước chừng và phân bố các mô-đun chính, tránh việc giao tiếp yêu cầu không rõ ràng trong giai đoạn thiết lập ban đầu.

4. So sánh lịch trình của các nhà cung cấp khác nhau, xem xét việc thanh toán để khóa lịch trình cho các điểm quan trọng của sản phẩm.

Mặc dù có nhiều nhà cung cấp trên thị trường, nhưng sự chênh lệch về lịch trình giữa các bên là rất lớn. Nên gửi yêu cầu đánh giá đến ít nhất 3 đơn vị kiểm toán cho cùng một đoạn mã, để nhận được lịch trình, báo giá và đánh giá khối lượng công việc. Đối với các nút sản phẩm quan trọng, nên thanh toán trước 30%-50% chi phí để giữ lịch trình, tránh ảnh hưởng đến tiến độ. Thông thường, các nhà cung cấp Trung Quốc khuyên nên đặt lịch trước 2-4 tuần, còn các nhà cung cấp nước ngoài ít nhất là 1 tháng.

Sau khi xác định lịch trình và báo giá, mã dự án sẽ được giao cho kiểm toán viên bắt đầu xem xét. Trong quá trình này, kiểm toán viên phụ trách sẽ thảo luận với bên dự án về các thắc mắc. Người phụ trách dự án có trách nhiệm duy trì liên lạc tốt với kiểm toán viên và đảm bảo:

1. Tiến độ kiểm toán diễn ra đúng hạn.
2. Báo cáo kiểm toán bản đầu tiên được ít nhất hai kỹ sư của nhóm dự án xem xét chéo, sau đó xác định với bên kiểm toán xem có nên hoàn thiện hay không.
3. Thiết lập kênh trò chuyện nhóm giữa các kỹ thuật chính của dự án, nhân viên sản phẩm và người thực hiện việc kiểm tra mã với các bên kiểm toán.
4. Theo dõi báo cáo sự kiện an ninh do các công ty kiểm toán khác công bố, chủ động liên lạc với các công ty kiểm toán về các vấn đề có thể tồn tại.

Các bên dự án cần có lập trường rõ ràng, giữ quyền kiểm soát ở mức độ hợp lý.

Công ty kiểm toán chủ yếu tập trung vào chất lượng mã, logic và tính an toàn, rất ít liên quan đến mối quan hệ giữa mã và doanh nghiệp. Đôi khi việc điều chỉnh logic mã hoặc tính an toàn có thể ảnh hưởng đến logic kinh doanh.

Ví dụ, đối với việc nâng cấp quyền hợp đồng, điều chỉnh tỷ lệ, phát hành token mới và các mô-đun quan trọng khác, từ góc độ phát triển giai đoạn đầu của doanh nghiệp, thực tế cần có các thành viên cốt lõi của dự án có thể kiểm soát riêng biệt, để có thể điều chỉnh kịp thời khi thị trường thay đổi hoặc xảy ra sự cố an ninh bất ngờ, thay vì chỉ theo đuổi kiểm soát đa chữ ký, ảnh hưởng đến khả năng ứng phó của dự án trong thời điểm khủng hoảng.

Việc hợp lý giữ lại "cửa hậu" hoặc "quyền siêu" không chỉ liên quan đến dự án mà còn có thể ảnh hưởng đến sự sống còn của toàn ngành. Hãy tưởng tượng, nếu một số sàn giao dịch không thực hiện các biện pháp khẩn cấp, một số stablecoin không tạm dừng việc đổi lại, một số chuỗi công khai không "bảo trì dừng chuỗi", tình hình ngành có thể sẽ khác rất nhiều.

Giao tiếp và chia sẻ liên tục thúc đẩy an toàn lâu dài

Dịch vụ của các công ty kiểm toán có thể phát hiện vấn đề, nhưng không thể đảm bảo an toàn 100%, sự cố an toàn có thể xảy ra bất cứ lúc nào. Một mặt, các bên dự án cần chủ động giao tiếp với công ty kiểm toán, thảo luận về cách xử lý ( có thể bao gồm bồi thường, kiểm toán lại miễn phí, hoàn tiền, v.v. ). Mặt khác, việc phát hiện và sửa chữa từng lỗ hổng an ninh đều liên quan đến sự tiến bộ của toàn ngành. Trong trường hợp không liên quan đến lợi ích thương mại quan trọng, khuyến khích tất cả các bên dự án cùng với công ty kiểm toán công khai xem xét các vấn đề tương tự, điều này sẽ giúp ngành chia sẻ các tiêu chuẩn an toàn cao hơn, về lâu dài cũng có thể giảm chi phí kiểm toán của từng dự án.

Ban quyết định dự án nên có tư duy hacker, coi trọng sức mạnh của cộng đồng

Kiểm toán là một cuộc chiến tài chính lâu dài, là một rào cản quan trọng trong sự cạnh tranh của các dự án. Một mặt, nên tiếp tục đầu tư tiền vào giữa các cột mốc sản phẩm, thuê các kiểm toán viên bên ngoài nổi tiếng và đáng tin cậy để che phủ các lỗ hổng bảo mật có thể xảy ra. Mặt khác, cũng nên coi trọng sức mạnh của cộng đồng, khuyến khích cộng đồng mũ trắng tham gia vào việc xây dựng an toàn cho dự án.

Tác giả đã mời thành công một thành viên mũ trắng trong cộng đồng với phần thưởng khoảng 30.000 đô la Mỹ, để giúp gỡ lỗi và sửa chữa một hợp đồng quản lý quỹ triệu đô.

Ngoài ra, cố gắng tái sử dụng các hợp đồng đã trưởng thành, thay vì tìm kiếm con đường mới, cũng là một phương pháp hiệu quả để giảm chi phí và nâng cao hiệu quả.

Kết luận

Ngưỡng đầu tư khởi nghiệp trong ngành công nghiệp tiền điện tử đã tăng lên đáng kể, việc huy động hàng triệu đô la không phải là điều hiếm gặp trong thị trường hiện tại. Như đã thấy từ các cuộc thảo luận trước đó, để thực sự xây dựng một bộ ứng dụng phi tập trung đáng tin cậy, an toàn và ổn định là rất khó khăn, ngay cả những ứng dụng hàng đầu trong ngành cũng không thể đảm bảo an toàn tuyệt đối.

Do đó, từ góc độ kiểm soát chi phí, mỗi dự án khởi nghiệp nên cố gắng tích hợp các cơ sở hạ tầng đã trưởng thành có sẵn khi lựa chọn hợp đồng và mô hình, tránh việc phát minh lại chiếc bánh xe. Các loại hình sàn giao dịch phi tập trung, nền tảng cho vay, bộ tổng hợp lợi suất, staking thanh khoản và tái staking, thậm chí giao dịch phái sinh, tài sản tổng hợp, đều có một loạt cơ sở hạ tầng trưởng thành có sẵn để các dự án mới có thể tái sử dụng và nhúng vào. Điều này không chỉ có thể giảm chi phí an ninh của dự án mà còn có thể tăng cường hiệu quả an ninh của chính dự án, và đảm bảo rằng an toàn của hệ thống tiến hóa cùng với việc nâng cấp đối tượng tái sử dụng.

Từ góc độ tổng thể của ngành, việc đạt được an toàn toàn diện cần nỗ lực và đóng góp chung của tất cả các bên tham gia trên thị trường.

Đối với các kiểm toán viên: 1( cần phòng ngừa những ý đồ nhỏ mà bên dự án có thể tồn tại, như việc sử dụng phiên bản mã khác với phiên bản thực tế để thực hiện kiểm toán. Đề xuất xác minh lại phiên bản mã thực tế sau khi dự án chính thức được triển khai. 2) có thể xem xét việc khám phá mô hình kết hợp với bảo hiểm, cung cấp cơ chế bồi thường sự cố an toàn cho khách hàng mua dịch vụ lớn, bảo vệ quyền lợi của bên dự án. 3) công khai rộng rãi các trường hợp kiểm toán và kinh nghiệm điều chỉnh. Ngành kiểm toán tương tự như ngành y tế, tiến bộ tổng thể vừa phụ thuộc vào sự đầu tư lâu dài vào nghiên cứu công nghệ, vừa phụ thuộc vào việc tích lũy các trường hợp. Từ góc độ này, "kiểm toán PR" thường bị người dùng chế nhạo cũng là một động lực thúc đẩy sự tiến bộ của ngành, ít nhất có thể khiến nhiều trường hợp kiểm toán được chia sẻ trong ngành.

Đối với người dùng: 1) cần thực hiện việc tách biệt ví nóng và ví lạnh, sử dụng địa chỉ ví chuyên biệt cho các ứng dụng phi tập trung khác nhau, thường xuyên dọn dẹp quyền truy cập không xác định, không thao tác với các token airdrop không rõ nguồn gốc và các biện pháp an ninh khác. 2) Người dùng có giá trị tài sản cao nên hình thành thói quen kiểm tra định kỳ báo cáo sự kiện an ninh do các công ty kiểm toán khác nhau công bố, giữ cảnh giác đối với các rủi ro an ninh phổ biến.