CertiK Audit: od środka – największy audytor bezpieczeństwa Web3
Fraza „Audited by CertiK” pojawia się na stronach docelowych tokenów tak, jak naklejka bezpieczeństwa na foteliku samochodowym dla dziecka. Powinna brzmieć: ktoś to sprawdził, możesz być spokojny. CertiK to największa marka w dziedzinie bezpieczeństwa Web3, a dla wielu inwestorów ta odznaka stała się synonimem „prawdopodobnie bezpieczny”. Problem w tym, że wiele projektów, które ją posiadają, wciąż straciło miliony. Co więc tak naprawdę daje audyt CertiK? W tym artykule omówiono, czym jest CertiK, jak działają jego audyty i ocena Skynet, gdzie są pomocne i gdzie odznaka przestaje mieć jakiekolwiek znaczenie.
Kim jest CertiK i dlaczego dominuje w zabezpieczeniach Web3
CertiK nie wynalazł audytu inteligentnych kontraktów. On go zindustrializował. Firma przekształciła powolny, rzemieślniczy proces realizowany przez garstkę kryptografów w markę, którą projekt może kupić, zaprezentować i wskazać, gdy inwestorzy pytają, czy kod jest bezpieczny.
Od laboratorium Yale do firmy wartej 2 miliardy dolarów
Dwóch profesorów informatyki założyło ją w 2018 roku: Ronghui Gu z Uniwersytetu Columbia i Zhong Shao z Yale. Pomysł był akademicki, wręcz uparty. Wykorzystanie formalnej weryfikacji, matematycznej metody dowodzenia, że oprogramowanie działa zgodnie z deklaracjami, aby kod blockchain był wiarygodny, a nie tylko „przetestowany”. Pomysł niszowy. I tak przyniósł spore zyski. Do kwietnia 2022 roku CertiK zebrał około 88 milionów dolarów przy wycenie 2 miliardów dolarów, według TechCrunch , a czeki wystawiły Goldman Sachs, Tiger Global, Sequoia i Vision Fund należący do SoftBank. Dziewięć rund finansowania, łącznie około 296 milionów dolarów. Nieźle jak na parę akademików, którzy zaczynali od dowodzenia twierdzeń dotyczących kompilatorów.
Co tak naprawdę mierzy „największy audytor”
Główne liczby CertiK dotyczą wolumenu. Przeprowadzono audyty ponad 6100 projektów. W trakcie audytów bezpieczeństwa wykryto ponad 91 000 luk w zabezpieczeniach. Zweryfikowano aktywa o wartości ponad 360 miliardów dolarów, a wśród klientów znajdują się tacy klienci jak Aave, Polygon i BNB Chain. Skala jest realna. To również haczyk, ponieważ „największy” oznacza liczbę audytów przeprowadzanych przez firmę, a nie głębokość każdego z nich. Fabryka, która drukuje więcej raportów niż ktokolwiek inny, robi wrażenie, owszem, ale wolumen i rygor to nie to samo, a różnica między nimi to główny powód krytyki. Oto konkretna wersja tej skargi. CertiK recenzuje tak wiele projektów, że jego nazwa trafia zarówno na jednorazowy token memowy, jak i na poważny protokół, a dwudniowy karnet daje taką samą odznakę jak miesięczna recenzja. Kupujący rzadko widzą, co jest czym. To spłaszczenie jest prawdziwym problemem z odznaką.
Jak właściwie działa audyt CertiK, krok po kroku
Audyt CertiK to nie jedno. To dwie warstwy połączone ze sobą, a zrozumienie różnicy między nimi wiele mówi o tym, co raport końcowy może, a czego nie może obiecać.
Weryfikacja formalna a przegląd ręczny
Pierwszą warstwą jest weryfikacja formalna. Zamiast uruchamiać inteligentny kontrakt i obserwować, co się dzieje, CertiK buduje matematyczny model kodu i sprawdza, czy określone właściwości zawsze są spełnione, niezależnie od danych wejściowych. Kompilator DeepSEA obsługuje to rozwiązanie. Weryfikacja formalna jest skuteczna w przypadku pytań o wąskim zakresie, takich jak „czy to saldo może kiedykolwiek spaść poniżej zera”, ale sprawdza tylko właściwości, które ktoś chciał określić.
Drugim etapem jest ręczna analiza: inżynierowie czytają kod linijka po linijce, szukając błędów logicznych, błędnych założeń i subtelnych błędów, których model nie zgłosi, bo nikt mu nie kazał ich sprawdzać. To właśnie stamtąd pochodzi większość prawdziwych wniosków. W zależności od ilości kodu i jego zawiłości, cały proces trwa od około 48 godzin w przypadku drobnego projektu do kilku tygodni w przypadku dużego protokołu.
Czytanie raportu: „rozwiązany” kontra „potwierdzony”
Produktem końcowym jest raport. Oznacza on każdą lukę według ważności — krytycznej, poważnej, drobnej i informacyjnej — i odnotowuje, co projekt z nią zrobił. Ta ostatnia kolumna ma większe znaczenie, niż ludzie zdają sobie sprawę. Ustalenie oznaczone jako „rozwiązane” oznacza, że zespół je naprawił, a CertiK ponownie je sprawdził. Ustalenie oznaczone jako „potwierdzone” oznacza, że zespół przeczytał je, wzruszył ramionami i mimo to wysłał. Dwa projekty mogą mieć tę samą odznakę, podczas gdy jeden naprawił wszystko, a drugi zignorował krytyczne ostrzeżenia. Odznaka ich nie rozróżnia. Raport to robi. Dlatego też data w raporcie ma znaczenie. Kod jest wysyłany, a następnie zmieniany; audyt sprzed roku i dziesięciu aktualizacji opisuje projekt, który może już nie istnieć w łańcuchu w formie, w jakiej został sprawdzony.
| Scena | Czym zajmuje się CertiK | Połowy | Martwe pola |
|---|---|---|---|
| Weryfikacja formalna | Udowadnia matematycznie określone właściwości kodu | Błędy matematyczne i logiczne w zdefiniowanych regułach | Wszystko poza określonymi właściwościami |
| Przegląd ręczny | Inżynierowie czytają kod ręcznie | Błędy logiczne, błędne założenia, znane wzorce ataków | Systemy poza łańcuchem, zmiany kodu po audycie |
| Raport i ponowny audyt | Wypisuje ustalenia według ważności, ponownie sprawdza poprawki | Czy problemy zostały rozwiązane | Czy zespół faktycznie wdrożył wersję naprawioną |
Skynet i wynik bezpieczeństwa CertiK Web3
Audyty to jednorazowe migawki. Skynet to próba CertiK, aby sprzedać coś ciągłego: panel w czasie rzeczywistym, który monitoruje projekty po ich uruchomieniu i przypisuje każdemu z nich ocenę bezpieczeństwa. Firma twierdzi, że monitoruje ponad 20 000 projektów w łańcuchu.
Wynik łączy kilka danych wejściowych. Sprawdza, czy projekt został poddany audytowi, czy jego zespół przeszedł weryfikację KYC CertiK (dostępną w poziomach złotym, srebrnym i brązowym) oraz jak zachowują się kontrakty — Skynet analizuje zachowanie kontraktów w łańcuchu bloków poprzez monitorowanie w czasie wykonywania i sygnalizuje anomalie w momencie ich wystąpienia. Skynet uruchamia również alerty monitorowania w łańcuchu bloków w celu wykrycia oszustw typu exit scam i exploitów, a także rankingi, które klasyfikują projekty względem siebie. Jako pierwszy sygnał, wynik Skynet jest naprawdę przydatny. Jest szybszy niż czytanie pełnego raportu i sygnalizuje oczywiste sygnały ostrzegawcze. Jest to jednak również produkt sprzedawany przez CertiK, zbudowany częściowo na danych wejściowych dostarczanych przez CertiK, a wysoki wynik nigdy nie był gwarancją bezpieczeństwa projektu. Traktuj go jako pojedynczy punkt danych, a nie werdykt. Historia to potwierdza. Projekty osiągały przyzwoite wyniki Skynet aż do momentu, gdy zostały wykorzystane lub po cichu porzucone, ponieważ wynik zbudowany w dużej mierze na wcześniejszych zachowaniach nie jest w stanie przewidzieć nadchodzącej szkodliwej zmiany. Mówi ci, że projekt jeszcze nie wypalił. Nie może ci powiedzieć, że nigdy nie wyleci.
Poza audytami: reszta ekosystemu CertiK
Audyt jest nagłówkiem, ale CertiK sprzedaje szerszy pakiet rozwiązań. Testy penetracyjne symulują ataki na portfele, giełdy i aplikacje. Program nagród za błędy, działający bez opłat za platformę, płaci zewnętrznym hakerom za znalezienie luk, zanim zrobią to przestępcy. Następnie mamy KYC, aby podpisać prawdziwe nazwisko anonimowego założyciela, SkyInsights do prac nad zgodnością i przeciwdziałaniem praniu pieniędzy, których potrzebują firmy regulowane na mocy ustaw MiCA i DORA, oraz SkyTrace do ścigania skradzionych środków w łańcuchach, gdy coś już poszło nie tak. Nic z tego nie zastępuje audytu. Jest to element towarzyszący audytowi, w którym jednorazowe zaangażowanie po cichu staje się subskrypcją obejmującą cały cykl życia zdecentralizowanego projektu.
Zbadane, a następnie zhakowane: kiedy wektory ataku się wymykają
Oto część, którą pomijają te bogato ilustrowane wyjaśnienia. Audyt to migawka konkretnego kodu w konkretnym momencie. Nie jest gwarancją, a traktowanie go jak gwarancji to sposób, w jaki ludzie tracą pieniądze na projektach, które na papierze robiły wszystko „dobrze”.
Czego nie obejmuje audyt
Audyt inteligentnych kontraktów weryfikuje kontrakt. Nie sprawdza, czy założyciele posiadają klucz administratora, który pozwala im opróżnić pulę. Nie sprawdza strony internetowej, serwerów ani kluczy prywatnych, które się za nimi kryją. Nie sprawdza wersji kodu wdrażanej przez zespół po zakończeniu audytu, która może różnić się od wersji sprawdzonej. I nie powstrzyma zespołu, który po prostu zdecyduje się uciec z pieniędzmi. Większość wektorów ataków, które opróżniają projekt, wcale nie wynika z błędów w audytowanym kontrakcie. Ukrywają się one w lukach wokół niego.
Sprawa Merlin DEX: oznaczona, ale wykorzystana
Merlin DEX to najczystszy przykład. CertiK przeprowadził audyt, który faktycznie zasygnalizował problem: kontrakty projektu były niebezpiecznie scentralizowane, z uprzywilejowanym dostępem, który mógł zostać wykorzystany przez osobę z wewnątrz organizacji. W kwietniu 2023 roku ten sam wektor został wykorzystany do wyłudzenia około 1,82 miliona dolarów. Audyt nie był błędny; zidentyfikował zagrożenie. Jednak ostrzeżenie znajdowało się w kolumnie „potwierdzone”, a nie „rozwiązane”, a exploit przeszedł prosto przez drzwi, na które wskazywał już raport. Znalezienie luki było łatwe. Działanie w jej zakresie należało do klienta, a zespół Merlin nigdy tego nie zrobił.
Oddalając się, trend ten staje się niewygodny dla całej branży. Raporty Hack3d firmy CertiK pokazują wzrost strat, a nie ich spadek. Firma naliczyła około 2,36 miliarda dolarów skradzionych w 760 incydentach w 2024 roku , a następnie około 3,35 miliarda dolarów w 630 incydentach w 2025 roku , rok zawyżony przez pojedyncze naruszenie Bybit o wartości 1,45 miliarda dolarów. Niezależne dane Chainalysis wskazują, że kradzież w 2025 roku wyniosła blisko 3,4 miliarda dolarów, z czego około 2,02 miliarda dolarów było powiązane z grupami powiązanymi z Koreą Północną. Ci operatorzy coraz częściej atakują ludzi i infrastrukturę wokół umowy, a nie samą umowę, co jest dokładnie tym obszarem, którego audyt nie obejmuje. Więcej audytów nie oznacza mniejszej liczby przestępstw.
| Rok | Zgłoszone straty | Incydenty | Największy singiel |
|---|---|---|---|
| 2024 | 2,36 miliarda dolarów | 760 | — |
| 2025 | 3,35 miliarda dolarów | 630 | Bybit, 1,45 miliarda dolarów |
Incydent z Krakenem i problem z zaufaniem CertiK
Dla firmy, która sprzedaje zaufanie, jej własne postępowanie jest częścią produktu. Dwa epizody sprawiły, że stało się to niezręczne.
W czerwcu 2024 r. badacze CertiK znaleźli lukę typu zero-day na giełdzie Kraken i zamiast ją po prostu zgłosić, wykorzystali ją do wyciągnięcia około 3 milionów dolarów z systemów Kraken . CertiK przedstawił to jako dowód na powagę błędu. Kraken nazwał to wymuszeniem i powiedział, że firma początkowo odmówiła zwrotu środków, dopóki nie zostanie do tego zmuszona. Pieniądze ostatecznie odesłano, ale epizod został źle odczytany: firma ochroniarska wykorzystywała klienta na dużą skalę, aby udowodnić swoją rację. Następnie, na początku 2025 r. CertiK przeprosił za pracę związaną z Huione, kambodżańską operacją, później powiązaną z oszustwem związanym z pracą przymusową. Nie oznacza to jednak, że audyty CertiK są bezwartościowe. Oznacza to jednak, że firma prosząca rynek o zaufanie musi teraz odbudować część tego słowa i robi to, podobno przygotowując się do ostatecznej oferty publicznej przy wycenie około 2 miliardów dolarów.
CertiK kontra inne firmy zajmujące się bezpieczeństwem Web3
CertiK to najgłośniejsza marka w dziedzinie bezpieczeństwa blockchain, ale nie jedyna, i dla wielu projektów nie jest to oczywisty wybór. Rynek audytów dzieli się z grubsza na firmy skalowalne i butikowe. Firmy butikowe obsługują mniejszą liczbę klientów i zazwyczaj wkraczają głębiej, a wiele z nich ustala własne standardy bezpieczeństwa, które przekraczają możliwości firmy obsługującej duże ilości danych. Protokoły obsługujące duże kwoty często płacą za drugą opinię właśnie z tego powodu. Skala i głębia to nie to samo, a właściwy wybór zależy od etapu i budżetu. Ceny odzwierciedlają ten zakres: niewielki audyt tokenów może kosztować kilka tysięcy dolarów, podczas gdy pełny przegląd złożonego protokołu sięga nawet sześciu cyfr.
| Solidny | Centrum | Znany z | Model |
|---|---|---|---|
| CertiK | Szerokie bezpieczeństwo Web3 | Głośność, Skynet, rozpoznawalność marki | Skala |
| Szlak Bitów | Wysoki poziom bezpieczeństwa | Głęboka recenzja podręcznika, badania | Butik |
| OpenZeppelin | Bezpieczeństwo inteligentnych kontraktów | Szeroko używane biblioteki kontraktów | Butik |
| Halborn | Bezpieczeństwo blockchain i infrastruktury | Testowanie penetracyjne, zaawansowane exploity | Średniej wielkości |
| Hacken | Audyty i monitorowanie Web3 | Audyty opłacalne | Średniej wielkości |
Jak czytać odznakę „Audytowane przez CertiK”
Widzisz więc komunikat „Audyt CertiK” w projekcie. Zanim mu zaufasz, otwórz raport i sprawdź pięć rzeczy. Po pierwsze, zakres: które kontrakty zostały sprawdzone i czy część, która przechowuje Twoje pieniądze, jest jedną z nich? Po drugie, datę i hash zatwierdzenia, a następnie porównaj je z kodem, który jest już w użyciu, ponieważ często się różnią. Po trzecie, ustalenia: ile z nich było krytycznych i czy zostały rozwiązane, czy tylko potwierdzone? Po czwarte, czy wersja poddana audytowi jest wersją wdrożoną. Po piąte, nie opieraj się wyłącznie na wyniku Skynet; to podsumowanie, a nie dokument.
Krótka dygresja na temat tickerów, bo ludzie je mylą. CertiK to firma prywatna i nie posiada żadnych akcji. CTK to token łańcucha Shentu, odrębnej sieci proof-of-stake powiązanej z wczesną działalnością CertiK. Kupno CTK nie oznacza zakupu udziałów w firmie audytorskiej. Jeśli szukałeś hasła „akcje CertiK”, to jeszcze go nie znalazłeś.
Ile naprawdę wart jest audyt CertiK
Czy audyt CertiK jest w ogóle coś wart? Tak, w pewnych granicach. Podnosi poprzeczkę. Odsiewa leniwy kod, spisuje rzeczywiste ryzyka na papierze i wręcza poważnemu zespołowi listę zadań do wykonania. Nie może jednak ręczyć za ludzi. Nie da gwarancji, że wdrożony kod jest zgodny z tym, który został sprawdzony, ani że jakiekolwiek zgłoszone ryzyko zostało faktycznie zamknięte. Traktuj odznakę jako początek dochodzenia, a nie metę. Więc następnym razem, gdy zobaczysz komunikat „Audyt CertiK”, zrób nudną rzecz, której prawie nikt nie robi: otwórz raport i przeczytaj kolumnę z informacją o tym, co zostało naprawione. A co, jeśli projekt nie chce ci pokazać raportu? Ta niechęć jest odpowiedzią. Odznaka, której nie możesz sprawdzić, to tylko logo.
