Niedawno włamano się do DEX Merlin na platformie ZkSync, na kwotę ponad 1,1 miliona dolarów. Projekt był audytowany przez CertiK, który nadzoruje 70% wszystkich audytów.
Czy audyt daje 100% pewności, że projekt jest bezpieczny?
Rozwiążmy to, korzystając z bazy danych „REKT” usługi De.Fi, która zawiera ponad 3000 rekordów włamań i oszustw związanych z wyjściem w web3 od 2011 roku.
//Certyfikat
Ta firma przeprowadza największą liczbę audytów w web3. Spośród 3700 zweryfikowanych projektów 33 znajdują się w bazie „REKT”, co oznacza, że zostały zweryfikowane, ale nadal były zhakowane.
Niedawny hack DEX Merlin nie został jeszcze dodany do bazy danych, co plasuje ten projekt na 34. miejscu na liście „audyt nie powiódł się”.
//PeckShield Inc
Zajmuje drugie miejsce w rankingu anty-ratingowym z 18 przypadkami włamań i ataków hakerskich.
//Bezpieczeństwo DeFi
Kolejny pretendent z 12 hackami. Pozytywny napawa fakt, że od 2021 r. audytorowi nie odnotowano żadnych przypadków audytu ani włamań do projektów.
Tabela ze stosunkiem audytów do hacków
Tej zawartej w nagłówku wpisu nie należy uważać za ostateczną prawdę o sukcesie firm audytorskich, gdyż jest ona zbyt ogólna. Każdy przypadek włamania należy oceniać indywidualnie.
Główna idea, którą chcemy przekazać:
audyty nie gwarantują bezpieczeństwa.
Zwykle audyt przeprowadza się według uogólnionego scenariusza potencjalnych podatności. Każda firma ma jednak unikalny kod i architekturę, które wymagają indywidualnego podejścia.
Czy realne jest przeprowadzenie pogłębionego audytu w ciągu miesiąca? Duże wątpliwości co do tego.
Podsumujmy to
Audyt może pomóc zwiększyć prawdopodobieństwo, że środki przydzielone na konkretny inteligentny kontrakt są bezpieczne. A projekty bez audytu są bardziej podatne na włamania i kradzieże niż z nim.
Pamiętaj: nigdzie nie ma 100% gwarancji i przypadek audytów nie jest wyjątkiem. Bądź ostrożny, DYOR i dywersyfikuj.