การตรวจสอบของ CertiK: เจาะลึกเบื้องหลังผู้ตรวจสอบความปลอดภัย Web3 ที่ใหญ่ที่สุด
วลี "ตรวจสอบโดย CertiK" ปรากฏบนหน้า Landing Page ของโทเค็นในลักษณะเดียวกับสติกเกอร์ความปลอดภัยที่ติดอยู่บนเบาะรถยนต์สำหรับเด็ก มันควรจะบอกว่า: มีคนตรวจสอบแล้ว คุณวางใจได้ CertiK เป็นชื่อที่ใหญ่ที่สุดในด้านความปลอดภัยของ Web3 และสำหรับนักลงทุนจำนวนมาก ตราสัญลักษณ์นี้กลายเป็นสัญลักษณ์ของ "น่าจะปลอดภัย" ปัญหาคือ โครงการหลายโครงการที่ได้รับตราสัญลักษณ์นี้ยังคงสูญเสียเงินไปหลายล้านดอลลาร์ ดังนั้น การตรวจสอบโดย CertiK ให้ประโยชน์อะไรกับคุณบ้าง? บทความนี้จะกล่าวถึง CertiK คืออะไร การตรวจสอบและคะแนน Skynet ของ CertiK ทำงานอย่างไร มีประโยชน์อย่างไร และเมื่อใดที่ตราสัญลักษณ์นี้เริ่มไม่มีความหมายอีกต่อไป
CertiK คือใคร และเหตุใดจึงครองความเป็นผู้นำด้านความปลอดภัยของ Web3
CertiK ไม่ได้เป็นผู้คิดค้นการตรวจสอบสัญญาอัจฉริยะ แต่เป็นผู้ทำให้มันเป็นระบบอุตสาหกรรม บริษัทได้เปลี่ยนกระบวนการที่ช้าและต้องใช้ความชำนาญจากกลุ่มผู้เชี่ยวชาญด้านการเข้ารหัสเพียงไม่กี่คน ให้กลายเป็นแบรนด์ที่โครงการต่างๆ สามารถซื้อ แสดง และอ้างอิงได้เมื่อนักลงทุนถามว่าโค้ดนั้นปลอดภัยหรือไม่
จากห้องแล็บของมหาวิทยาลัยเยล สู่บริษัทมูลค่า 2 พันล้านดอลลาร์
ศาสตราจารย์ด้านวิทยาการคอมพิวเตอร์สองท่านได้เริ่มต้นโครงการนี้ในปี 2018 ได้แก่ Ronghui Gu จากมหาวิทยาลัยโคลัมเบีย และ Zhong Shao จากมหาวิทยาลัยเยล แนวคิดหลักนั้นเป็นเชิงวิชาการอย่างมาก คือการใช้การตรวจสอบอย่างเป็นทางการ (formal verification) ซึ่งเป็นวิธีการทางคณิตศาสตร์ในการพิสูจน์ว่าซอฟต์แวร์ทำงานได้ตามที่กล่าวอ้าง เพื่อทำให้โค้ดบล็อกเชนมีความถูกต้องที่พิสูจน์ได้ แทนที่จะเป็นเพียงแค่ "ผ่านการทดสอบ" เป็นแนวคิดเฉพาะกลุ่ม แต่ก็สามารถระดมทุนได้มหาศาล ภายในเดือนเมษายน 2022 CertiK ได้ระดมทุนไปประมาณ 88 ล้านดอลลาร์สหรัฐ โดยมีมูลค่าบริษัทอยู่ที่ 2 พันล้านดอลลาร์สหรัฐ ตามรายงานของ TechCrunch โดยมี Goldman Sachs, Tiger Global, Sequoia และ SoftBank's Vision Fund ร่วมลงทุน ระดมทุนทั้งหมด 9 รอบ รวมแล้วประมาณ 296 ล้านดอลลาร์สหรัฐ ไม่เลวเลยสำหรับนักวิชาการสองคนที่เริ่มต้นจากการพิสูจน์ทฤษฎีบทเกี่ยวกับคอมไพเลอร์
"ผู้ตรวจสอบบัญชีรายใหญ่ที่สุด" วัดอะไรกันแน่
ตัวเลขที่โดดเด่นของ CertiK นั้นเกี่ยวกับปริมาณ มีการตรวจสอบโครงการมากกว่า 6,100 โครงการ ตรวจพบช่องโหว่มากกว่า 91,000 รายการในการตรวจสอบความปลอดภัยเหล่านั้น ตรวจสอบสินทรัพย์มูลค่ากว่า 360 พันล้านดอลลาร์ โดยมีลูกค้าอย่าง Aave, Polygon และ BNB Chain อยู่ในรายชื่อ ขนาดของงานนั้นใหญ่โตจริง แต่ก็เป็นจุดที่ต้องระวังเช่นกัน เพราะคำว่า "ใหญ่ที่สุด" นั้นนับจากจำนวนการตรวจสอบที่บริษัทส่งมอบ ไม่ใช่ความลึกซึ้งของการตรวจสอบแต่ละครั้ง โรงงานที่พิมพ์รายงานมากกว่าใครๆ นั้นน่าประทับใจแน่นอน แต่ปริมาณและความเข้มงวดไม่ใช่สิ่งเดียวกัน และช่องว่างระหว่างสองสิ่งนี้คือจุดที่ทำให้เกิดคำวิจารณ์มากที่สุด นี่คือตัวอย่างที่ชัดเจนของข้อร้องเรียนนั้น CertiK ตรวจสอบโครงการจำนวนมากจนชื่อของบริษัทไปปรากฏอยู่บนทั้งโทเค็นมีมที่ใช้แล้วทิ้งและโปรโตคอลที่จริงจัง และการตรวจสอบเพียงสองวันก็ได้รับตราสัญลักษณ์เดียวกันกับการตรวจสอบที่ใช้เวลาหลายเดือน ผู้ซื้อแทบจะไม่เห็นว่าอันไหนเป็นอันไหน การลดทอนความสำคัญนี้คือปัญหาที่แท้จริงของตราสัญลักษณ์นี้
ขั้นตอนการตรวจสอบ CertiK ทำงานอย่างไรโดยละเอียด
การตรวจสอบโดย CertiK ไม่ใช่แค่สิ่งเดียว แต่เป็นการตรวจสอบสองชั้นที่ซ้อนกัน และการเข้าใจความแตกต่างระหว่างสองชั้นนี้จะช่วยให้คุณเข้าใจมากขึ้นว่ารายงานฉบับสุดท้ายสามารถรับประกันอะไรได้บ้างและรับประกันอะไรไม่ได้บ้าง
การตรวจสอบอย่างเป็นทางการเทียบกับการตรวจสอบด้วยตนเอง
ชั้นแรกคือการตรวจสอบอย่างเป็นทางการ แทนที่จะรันสัญญาอัจฉริยะแล้วเฝ้าดูสิ่งที่เกิดขึ้น CertiK สร้างแบบจำลองทางคณิตศาสตร์ของโค้ดและพิสูจน์ว่าคุณสมบัติบางอย่างเป็นจริงเสมอ ไม่ว่าอินพุตจะเป็นอย่างไรก็ตาม คอมไพเลอร์ DeepSEA ของ CertiK มีไว้เพื่อรองรับสิ่งนี้ การตรวจสอบอย่างเป็นทางการมีประสิทธิภาพสำหรับคำถามเฉพาะเจาะจง เช่น "ยอดเงินนี้สามารถติดลบได้หรือไม่" แต่จะตรวจสอบเฉพาะคุณสมบัติที่ผู้ใช้กำหนดไว้เท่านั้น
ขั้นตอนที่สองคือการตรวจสอบด้วยตนเอง: วิศวกรมนุษย์อ่านโค้ดทีละบรรทัด ค้นหาข้อผิดพลาดทางตรรกะ ข้อสมมติฐานที่ไม่ถูกต้อง และข้อผิดพลาดเล็กๆ น้อยๆ ที่โมเดลจะไม่ตรวจพบ เพราะไม่มีใครสั่งให้มันตรวจสอบ นี่คือที่มาของข้อผิดพลาดส่วนใหญ่ ขึ้นอยู่กับปริมาณโค้ดและความซับซ้อนของมัน กระบวนการทั้งหมดใช้เวลาตั้งแต่ประมาณ 48 ชั่วโมงสำหรับโค้ดขนาดเล็ก ไปจนถึงหลายสัปดาห์สำหรับโปรโตคอลขนาดใหญ่
การอ่านรายงาน: "แก้ไขแล้ว" กับ "รับทราบแล้ว"
ผลลัพธ์ที่ได้คือรายงาน ซึ่งจะระบุช่องโหว่แต่ละรายการตามระดับความรุนแรง — วิกฤต ร้ายแรง เล็กน้อย และเชิงข้อมูล — และบันทึกสิ่งที่โครงการได้ดำเนินการแก้ไข คอลัมน์สุดท้ายมีความสำคัญมากกว่าที่หลายคนคิด การค้นพบที่ระบุว่า "แก้ไขแล้ว" หมายความว่าทีมงานได้แก้ไขแล้วและ CertiK ได้ตรวจสอบซ้ำ การค้นพบที่ระบุว่า "รับทราบ" หมายความว่าทีมงานได้อ่านแล้ว แต่ไม่ได้สนใจ และยังคงปล่อยเวอร์ชันใหม่ต่อไป สองโครงการอาจมีป้ายกำกับเดียวกัน แต่โครงการหนึ่งแก้ไขทุกอย่างแล้ว ในขณะที่อีกโครงการหนึ่งเพิกเฉยต่อคำเตือนที่สำคัญ ป้ายกำกับนั้นไม่สามารถแยกแยะความแตกต่างได้ แต่รายงานจะทำได้ นี่คือเหตุผลว่าทำไมวันที่ในรายงานจึงมีความสำคัญ โค้ดมีการปล่อยใช้งานแล้วก็มีการเปลี่ยนแปลง การตรวจสอบจากหนึ่งปีและสิบเวอร์ชันก่อนหน้า อาจอธิบายถึงโครงการที่ไม่มีอยู่บนบล็อกเชนในรูปแบบที่ได้รับการตรวจสอบอีกต่อไปแล้ว
| เวที | CertiK ทำอะไรบ้าง | จับได้ | จุดบอด |
|---|---|---|---|
| การตรวจสอบอย่างเป็นทางการ | พิสูจน์คุณสมบัติที่ระบุไว้ของรหัสทางคณิตศาสตร์ | ข้อบกพร่องทางคณิตศาสตร์และตรรกะในกฎที่กำหนดไว้ | สิ่งใดก็ตามที่อยู่นอกเหนือคุณสมบัติที่ระบุไว้ |
| การตรวจสอบด้วยตนเอง | วิศวกรอ่านรหัสด้วยมือ | ข้อผิดพลาดทางตรรกะ สมมติฐานที่ไม่ถูกต้อง รูปแบบการโจมตีที่ทราบกันดีอยู่แล้ว | ระบบนอกเครือข่าย การเปลี่ยนแปลงรหัสหลังการตรวจสอบ |
| รายงานและการตรวจสอบซ้ำ | แสดงรายการสิ่งที่พบตามระดับความรุนแรง และตรวจสอบการแก้ไขอีกครั้ง | ประเด็นต่างๆ ได้รับการแก้ไขหรือไม่ | ทีมงานได้นำเวอร์ชันที่แก้ไขแล้วไปใช้งานจริงหรือไม่ |
Skynet และคะแนนความปลอดภัย CertiK Web3
การตรวจสอบ (Audit) เป็นเพียงภาพรวม ณ ขณะเดียว Skynet คือความพยายามของ CertiK ในการนำเสนอสิ่งที่ต่อเนื่อง: แดชบอร์ดแบบเรียลไทม์ที่คอยติดตามโครงการต่างๆ หลังจากการเปิดตัว และกำหนดคะแนนความปลอดภัยให้กับแต่ละโครงการ บริษัทกล่าวว่าตนตรวจสอบโครงการบนบล็อกเชนมากกว่า 20,000 โครงการ
คะแนน Skynet ผสมผสานข้อมูลหลายส่วนเข้าด้วยกัน โดยพิจารณาว่าโครงการนั้นได้รับการตรวจสอบแล้วหรือไม่ ทีมงานผ่านการตรวจสอบ KYC ของ CertiK หรือไม่ (ซึ่งมีระดับทอง เงิน และทองแดง) และสัญญาทำงานอย่างไร — Skynet วิเคราะห์พฤติกรรมของสัญญาบนบล็อกเชนผ่านการตรวจสอบแบบเรียลไทม์และแจ้งเตือนความผิดปกติเมื่อเกิดขึ้น Skynet ยังทำการแจ้งเตือนการตรวจสอบบนบล็อกเชนสำหรับกลโกงและช่องโหว่ต่างๆ รวมถึงกระดานจัดอันดับโครงการต่างๆ ด้วย ในฐานะสัญญาณเบื้องต้น คะแนน Skynet มีประโยชน์อย่างแท้จริง มันเร็วกว่าการอ่านรายงานฉบับเต็มและชี้ให้เห็นสัญญาณอันตรายที่ชัดเจน แต่ก็เป็นผลิตภัณฑ์ที่ CertiK จำหน่าย ซึ่งสร้างขึ้นบางส่วนจากข้อมูลที่ CertiK ให้ และคะแนนสูงไม่เคยเป็นคำมั่นสัญญาว่าโครงการนั้นปลอดภัย โปรดพิจารณาว่าเป็นเพียงข้อมูลจุดหนึ่ง ไม่ใช่คำตัดสิน สถิติที่ผ่านมาแสดงให้เห็นเช่นนั้น โครงการต่างๆ มีคะแนน Skynet ที่น่าเชื่อถือจนกระทั่งถูกโจมตีหรือถูกทิ้งร้างอย่างเงียบๆ เพราะคะแนนที่สร้างขึ้นจากพฤติกรรมในอดีตส่วนใหญ่ไม่สามารถมองเห็นการเปลี่ยนแปลงที่เป็นอันตรายที่จะเกิดขึ้นได้ มันบอกคุณว่าโครงการยังไม่ล้มเหลว แต่ไม่สามารถบอกคุณได้ว่ามันจะไม่มีวันล้มเหลว
นอกเหนือจากการตรวจสอบ: ส่วนอื่นๆ ของระบบนิเวศของ CertiK
การตรวจสอบบัญชีเป็นหัวใจหลัก แต่ CertiK ยังจำหน่ายบริการที่ครอบคลุมมากกว่านั้น การทดสอบเจาะระบบจะจำลองการโจมตีไปยังกระเป๋าเงินดิจิทัล ตลาดแลกเปลี่ยน และแอปพลิเคชันต่างๆ โปรแกรมล่ารางวัลสำหรับการค้นหาช่องโหว่ (bug bounty program) ซึ่งดำเนินการโดยไม่มีค่าใช้จ่ายใดๆ จะจ่ายเงินให้กับแฮกเกอร์ภายนอกเพื่อค้นหาช่องโหว่ก่อนที่อาชญากรจะลงมือทำ นอกจากนี้ยังมี KYC เพื่อยืนยันตัวตนที่แท้จริงของผู้ก่อตั้งที่ไม่เปิดเผยตัวตน SkyInsights สำหรับงานด้านการปฏิบัติตามกฎระเบียบและการป้องกันการฟอกเงินที่บริษัทที่อยู่ภายใต้การกำกับดูแลจำเป็นต้องทำภายใต้ MiCA และ DORA และ SkyTrace เพื่อติดตามเงินที่ถูกขโมยข้ามเครือข่ายเมื่อเกิดปัญหาขึ้นแล้ว บริการเหล่านี้ไม่ได้มาแทนที่การตรวจสอบบัญชี แต่เป็นการเสริมการทำงานของการตรวจสอบบัญชี ซึ่งทำให้การให้บริการแบบครั้งเดียวกลายเป็นบริการแบบสมัครสมาชิกที่ครอบคลุมตลอดอายุการใช้งานของโครงการแบบกระจายอำนาจ
ตรวจสอบแล้วโดนแฮ็ก: เมื่อช่องทางการโจมตีเล็ดลอดเข้ามาได้
นี่คือส่วนที่คำอธิบายสวยหรูมักมองข้ามไป การตรวจสอบ (Audit) คือภาพรวมของโค้ดเฉพาะในช่วงเวลาหนึ่งๆ มันไม่ใช่การรับประกัน และการปฏิบัติต่อมันเหมือนเป็นการรับประกันนี่แหละที่ทำให้ผู้คนสูญเสียเงินในโครงการที่ทุกอย่าง "ถูกต้อง" บนกระดาษ
สิ่งที่การตรวจสอบบัญชีไม่ครอบคลุม
การตรวจสอบสัญญาอัจฉริยะจะตรวจสอบเฉพาะตัวสัญญาเท่านั้น ไม่ได้ตรวจสอบว่าผู้ก่อตั้งถือครองคีย์ผู้ดูแลระบบที่อนุญาตให้พวกเขาถอนเงินออกจากโครงการได้หรือไม่ ไม่ได้ตรวจสอบเว็บไซต์ เซิร์ฟเวอร์ หรือคีย์ส่วนตัวที่อยู่เบื้องหลัง ไม่ได้ตรวจสอบเวอร์ชันของโค้ดที่ทีมใช้งานหลังจากสิ้นสุดการตรวจสอบ ซึ่งอาจแตกต่างจากที่ได้รับการตรวจสอบ และไม่สามารถหยุดทีมที่ตัดสินใจหนีไปพร้อมกับเงินได้ ช่องโหว่การโจมตีส่วนใหญ่ที่ทำให้โครงการสูญเปล่าไม่ได้เกิดจากข้อบกพร่องในสัญญาที่ได้รับการตรวจสอบเลย แต่เกิดจากช่องโหว่รอบๆ สัญญาต่างหาก
กรณี Merlin DEX: ถูกแจ้งเตือนแต่ยังถูกเจาะระบบอยู่
Merlin DEX เป็นตัวอย่างที่ชัดเจนที่สุด CertiK ตรวจสอบแล้ว และการตรวจสอบชี้ให้เห็นปัญหาอย่างชัดเจน: สัญญาของโครงการมีการรวมศูนย์อย่างอันตราย โดยมีสิทธิ์การเข้าถึงพิเศษที่บุคคลภายในที่ประสงค์ร้ายสามารถใช้ในทางที่ผิดได้ ในเดือนเมษายน 2023 ช่องทางดังกล่าวถูกใช้เพื่อยักยอกเงินไปประมาณ 1.82 ล้านดอลลาร์ การตรวจสอบไม่ได้ผิดพลาด มันระบุถึงความเสี่ยง แต่คำเตือนนั้นอยู่ในคอลัมน์ "รับทราบ" แทนที่จะเป็น "แก้ไขแล้ว" และการโจมตีก็ผ่านช่องโหว่ที่รายงานได้ชี้ให้เห็นไปแล้ว การตรวจจับข้อบกพร่องเป็นเรื่องง่าย การดำเนินการแก้ไขเป็นหน้าที่ของลูกค้า และทีมของ Merlin ไม่เคยทำ
มองภาพรวมแล้ว แนวโน้มนี้สร้างความกังวลให้กับอุตสาหกรรมโดยรวม รายงาน Hack3d ของ CertiK เองแสดงให้เห็นว่าความเสียหายเพิ่มขึ้น ไม่ได้ลดลง บริษัทนับได้ว่า มีการโจรกรรมเงินประมาณ 2.36 พันล้านดอลลาร์จาก 760 เหตุการณ์ในปี 2024 และ ประมาณ 3.35 พันล้านดอลลาร์จาก 630 เหตุการณ์ในปี 2025 ซึ่งเป็นปีที่มีตัวเลขสูงเกินจริงเนื่องจากการละเมิดข้อมูลของ Bybit มูลค่า 1.45 พันล้านดอลลาร์เพียงครั้งเดียว ข้อมูลอิสระจาก Chainalysis ระบุว่าการโจรกรรมในปี 2025 มีมูลค่าเกือบ 3.4 พันล้านดอลลาร์ โดยประมาณ 2.02 พันล้านดอลลาร์เกี่ยวข้องกับกลุ่มที่เชื่อมโยงกับเกาหลีเหนือ ผู้ดำเนินการเหล่านั้นมุ่งเป้าไปที่บุคคลและโครงสร้างพื้นฐานรอบๆ สัญญามากกว่าตัวสัญญาเอง ซึ่งเป็นสิ่งที่การตรวจสอบไม่ครอบคลุม การตรวจสอบที่มากขึ้นไม่ได้หมายความว่าอาชญากรรมจะลดลง
| ปี | รายงานความสูญเสีย | เหตุการณ์ | ยอดเข้าชมสูงสุดครั้งเดียว |
|---|---|---|---|
| 2024 | 2.36 พันล้านดอลลาร์สหรัฐ | 760 | — |
| 2025 | 3.35 พันล้านดอลลาร์สหรัฐ | 630 | บายบิต 1.45 พันล้านดอลลาร์สหรัฐ |
เหตุการณ์คราเคนและปัญหาความน่าเชื่อถือของ CertiK
สำหรับบริษัทที่ขายความไว้วางใจ พฤติกรรมของบริษัทเองก็เป็นส่วนหนึ่งของผลิตภัณฑ์นั้น สองเหตุการณ์ที่เกิดขึ้นทำให้เรื่องนี้ดูยุ่งยากขึ้น
ในเดือนมิถุนายน 2024 นักวิจัยของ CertiK พบช่องโหว่ Zero-day ในตลาดแลกเปลี่ยน Kraken และแทนที่จะรายงานเรื่องนี้ พวกเขากลับใช้ช่องโหว่นี้เพื่อดึง เงินประมาณ 3 ล้านดอลลาร์ออกจากระบบของ Kraken CertiK อ้างว่านี่เป็นการพิสูจน์ความร้ายแรงของช่องโหว่ Kraken เรียกการกระทำนี้ว่าเป็นการขู่กรรโชกและกล่าวว่าบริษัทปฏิเสธที่จะคืนเงินในตอนแรกจนกระทั่งถูกกดดัน ในที่สุดเงินก็ถูกส่งคืน แต่เหตุการณ์นี้ดูไม่ดีนัก: บริษัทรักษาความปลอดภัยใช้ประโยชน์จากลูกค้าในวงกว้างเพื่อแสดงให้เห็นถึงจุดยืนของตน จากนั้นในช่วงต้นปี 2025 CertiK ได้ขอโทษเกี่ยวกับงานที่เกี่ยวข้องกับ Huione ซึ่งเป็นบริษัทในกัมพูชาที่ต่อมาเชื่อมโยงกับโครงการหลอกลวงแรงงานบังคับ ทั้งหมดนี้ไม่ได้หมายความว่าการตรวจสอบของ CertiK นั้นไร้ค่า แต่หมายความว่าบริษัทที่ขอให้ตลาดเชื่อถือคำพูดของตนนั้น ตอนนี้ต้องสร้างความน่าเชื่อถือขึ้นมาใหม่ และกำลังทำเช่นนั้นในขณะที่รายงานว่ากำลังเตรียมตัวสำหรับการเสนอขายหุ้น IPO ในอนาคตที่มูลค่าประมาณ 2 พันล้านดอลลาร์
CertiK เทียบกับบริษัทรักษาความปลอดภัย Web3 อื่นๆ
CertiK เป็นชื่อที่โด่งดังที่สุดในด้านความปลอดภัยของบล็อกเชน แต่ไม่ใช่เพียงชื่อเดียว และสำหรับหลายๆ โปรเจกต์แล้ว มันอาจไม่ใช่ตัวเลือกที่ชัดเจน ตลาดการตรวจสอบแบ่งออกเป็นสองประเภทใหญ่ๆ คือ บริษัทขนาดใหญ่และบริษัทขนาดเล็ก บริษัทขนาดเล็กมักรับลูกค้าจำนวนน้อยกว่าและมักตรวจสอบอย่างละเอียดกว่า และหลายบริษัทกำหนดมาตรฐานความปลอดภัยของตนเองที่เกินกว่าที่บริษัทขนาดใหญ่จะสามารถบังคับใช้ได้ โปรโตคอลที่จัดการเงินจำนวนมากมักจ่ายเงินเพื่อขอความเห็นที่สองจากบริษัทเหล่านี้ด้วยเหตุผลดังกล่าว ขนาดและความลึกไม่ใช่สิ่งเดียวกัน และตัวเลือกที่เหมาะสมขึ้นอยู่กับขั้นตอนและงบประมาณของคุณ ราคาจึงสะท้อนให้เห็นถึงช่วงราคานั้น การตรวจสอบโทเค็นขนาดเล็กอาจมีค่าใช้จ่ายเพียงไม่กี่พันดอลลาร์ ในขณะที่การตรวจสอบโปรโตคอลที่ซับซ้อนอย่างเต็มรูปแบบอาจมีค่าใช้จ่ายสูงถึงหลักแสนดอลลาร์
| บริษัท | จุดสนใจ | เป็นที่รู้จักในด้าน | แบบอย่าง |
|---|---|---|---|
| เซอร์ติเค | การรักษาความปลอดภัย Web3 ที่ครอบคลุม | ปริมาณ, สกายเน็ต, การจดจำแบรนด์ | มาตราส่วน |
| ร่องรอยของบิต | ระบบรักษาความปลอดภัยที่มีความน่าเชื่อถือสูง | การตรวจสอบและวิจัยด้วยตนเองอย่างละเอียด | บูติก |
| โอเพ่นเซปเปลิน | ความปลอดภัยของสัญญาอัจฉริยะ | ห้องสมุดสัญญาที่ใช้กันอย่างแพร่หลาย | บูติก |
| ฮาลบอร์น | บล็อกเชนและความปลอดภัยของโครงสร้างพื้นฐาน | การทดสอบเจาะระบบ, ช่องโหว่ขั้นสูง | ขนาดกลาง |
| แฮคเคน | การตรวจสอบและติดตาม Web3 | การตรวจสอบที่มีประสิทธิภาพด้านต้นทุน | ขนาดกลาง |
วิธีอ่านตราสัญลักษณ์ "ตรวจสอบโดย CertiK"
เมื่อคุณเห็นข้อความ "ตรวจสอบโดย CertiK" บนโปรเจ็กต์ ก่อนที่คุณจะเชื่อถือ ให้เปิดรายงานฉบับเต็มและตรวจสอบห้าสิ่งต่อไปนี้ ประการแรก ขอบเขต: สัญญาใดบ้างที่ได้รับการตรวจสอบ และส่วนที่เกี่ยวข้องกับเงินของคุณอยู่ในนั้นหรือไม่ ประการที่สอง วันที่และแฮชของคอมมิต จากนั้นเปรียบเทียบกับโค้ดที่ใช้งานจริง เพราะมักจะแตกต่างกัน ประการที่สาม ข้อค้นพบ: มีข้อผิดพลาดร้ายแรงกี่ข้อ และได้รับการแก้ไขหรือเพียงแค่รับทราบ ประการที่สี่ เวอร์ชันที่ตรวจสอบเป็นเวอร์ชันที่ใช้งานจริงหรือไม่ ประการที่ห้า อย่าพึ่งพาคะแนน Skynet เพียงอย่างเดียว เพราะเป็นเพียงบทสรุป ไม่ใช่เอกสารฉบับเต็ม
ขออธิบายเพิ่มเติมเกี่ยวกับสัญลักษณ์เหรียญ (ticker) สักเล็กน้อย เพราะหลายคนมักสับสน บริษัท CertiK เป็นบริษัทเอกชนและไม่มีหุ้น ส่วน CTK เป็นโทเค็นของ Shentu chain ซึ่งเป็นเครือข่าย proof-of-stake แยกต่างหากที่เชื่อมต่อกับงานในช่วงแรกของ CertiK การซื้อ CTK ไม่ได้หมายความว่าคุณซื้อหุ้นในธุรกิจตรวจสอบบัญชี หากคุณกำลังมองหา "หุ้น CertiK" ตอนนี้ยังไม่มีหุ้นดังกล่าวครับ
การตรวจสอบ CertiK มีมูลค่าที่แท้จริงเท่าไหร่
การตรวจสอบโดย CertiK คุ้มค่าหรือไม่? ใช่ คุ้มค่า ภายในขอบเขตที่จำกัด มันช่วยยกระดับมาตรฐาน มันคัดกรองโค้ดที่เขียนอย่างลวกๆ ระบุความเสี่ยงที่แท้จริงลงบนกระดาษ และมอบรายการตรวจสอบให้ทีมงานที่จริงจังได้ดำเนินการแก้ไข แต่สิ่งที่มันทำไม่ได้คือการรับรองคุณภาพของบุคลากร มันไม่รับประกันว่าโค้ดที่ใช้งานจริงจะตรงกับสิ่งที่ได้รับการตรวจสอบ หรือว่าความเสี่ยงที่ถูกระบุไว้จะได้รับการแก้ไขจริง จงมองตราสัญลักษณ์นี้เป็นเพียงจุดเริ่มต้นของการตรวจสอบอย่างรอบคอบ ไม่ใช่เส้นชัย ดังนั้นครั้งต่อไปที่คุณเห็น "ตรวจสอบโดย CertiK" จงทำสิ่งที่น่าเบื่อซึ่งแทบไม่มีใครทำ: เปิดรายงานและอ่านคอลัมน์ที่ระบุว่าอะไรได้รับการแก้ไข และถ้าโครงการไม่ยอมแสดงรายงานให้คุณดู? นั่นแสดงว่านั่นคือคำตอบ ตราสัญลักษณ์ที่คุณตรวจสอบไม่ได้ก็เป็นเพียงแค่โลโก้เท่านั้น
