Audit tidak menjamin keselamatan

Baru-baru ini, Merlin DEX pada zkSync diretas hingga lebih dari $1,1 juta. Proyek ini diaudit oleh CertiK, yang mengawasi 70% dari semua audit.

Apakah audit 100% memastikan bahwa suatu proyek aman?

Kita akan menyelidikinya dengan menggunakan basis data "REKT" milik layanan De.Fi, yang berisi lebih dari 3.000 catatan peretasan dan penipuan keluar di web3 sejak 2011.

//Sertifikat

Perusahaan ini menyumbang jumlah audit terbesar di web3. Dari 3.700 proyek yang diperiksa, 33 ada dalam basis data "REKT", artinya proyek tersebut telah diperiksa tetapi tetap diretas. 

Peretasan Merlin DEX baru-baru ini belum ditambahkan ke basis data, menjadikan proyek ini nomor 34 pada daftar "audit gagal". 

//PeckShield Inc

Kasus ini menduduki peringkat kedua dalam anti-rating dengan 18 kasus peretasan dan ragpool. 

//Keamanan DeFi

Pesaing berikutnya dengan 12 peretasan. Aspek positifnya adalah sejak 2021, auditor ini tidak memiliki kasus proyek yang diaudit dan kemudian diretas. 

Tabel dengan rasio audit terhadap peretasan

Tulisan di atas tidak boleh dianggap sebagai kebenaran terakhir tentang keberhasilan firma audit, karena terlalu umum. Setiap insiden peretasan harus dinilai secara individual.

Gagasan utama yang ingin kami sampaikan adalah: 

Audit tidak menjamin keselamatan.

Biasanya, audit dilakukan berdasarkan skenario umum kerentanan potensial. Namun, setiap perusahaan memiliki kode dan arsitektur unik yang memerlukan pendekatan individual. 

Apakah mungkin untuk melakukan audit mendalam dalam waktu satu bulan? Saya memiliki keraguan serius mengenai hal itu.

Mari kita simpulkan

Audit dapat membantu meningkatkan kemungkinan bahwa dana yang dialokasikan untuk kontrak pintar tertentu aman. Dan proyek tanpa audit lebih rentan terhadap peretasan dan pencurian dibandingkan dengan proyek yang memilikinya. 

Ingat: tidak ada jaminan 100% di mana pun, dan kasus audit tidak terkecuali. Hati-hati, lakukan DYOR dan diversifikasi.