CertiK Audit: Khám phá bên trong công ty kiểm toán bảo mật Web3 lớn nhất
Cụm từ "Đã được CertiK kiểm định" xuất hiện trên các trang đích của token giống như nhãn dán an toàn trên ghế ngồi ô tô của trẻ em. Nó được cho là để nói: đã có người kiểm tra, bạn có thể yên tâm. CertiK là tên tuổi lớn nhất trong lĩnh vực bảo mật Web3, và đối với nhiều nhà đầu tư, chứng nhận này đã trở thành từ viết tắt cho "có lẽ an toàn". Vấn đề là một số dự án sử dụng chứng nhận này vẫn bị mất hàng triệu đô la. Vậy một cuộc kiểm định của CertiK thực sự mang lại cho bạn điều gì? Bài viết này sẽ đề cập đến CertiK là gì, cách thức hoạt động của các cuộc kiểm định và điểm số Skynet của họ, chúng hữu ích ở đâu và khi nào chứng nhận này dần mất đi nhiều ý nghĩa.
CertiK là ai và tại sao nó lại thống trị lĩnh vực bảo mật Web3.
CertiK không phải là công ty đầu tiên phát minh ra việc kiểm toán hợp đồng thông minh. Họ đã công nghiệp hóa quy trình này. Công ty đã biến một quy trình chậm chạp, thủ công do một nhóm nhỏ các nhà mật mã học thực hiện thành một thương hiệu mà các dự án có thể mua, trưng bày và chỉ ra khi các nhà đầu tư hỏi liệu mã nguồn có an toàn hay không.
Từ một phòng thí nghiệm của Đại học Yale đến một công ty trị giá 2 tỷ đô la.
Hai giáo sư khoa học máy tính đã khởi xướng dự án này vào năm 2018: Ronghui Gu của Đại học Columbia và Zhong Shao của Đại học Yale. Ý tưởng ban đầu khá hàn lâm, thậm chí có phần cứng đầu. Họ đề xuất sử dụng phương pháp xác minh hình thức, một phương pháp toán học để chứng minh phần mềm hoạt động đúng như tuyên bố, nhằm chứng minh mã blockchain là chính xác thay vì chỉ đơn thuần là "đã được kiểm thử". Một ý tưởng khá độc đáo. Tuy nhiên, nó vẫn thu hút được nguồn vốn đáng kể. Đến tháng 4 năm 2022, CertiK đã huy động được khoảng 88 triệu đô la với mức định giá 2 tỷ đô la, theo TechCrunch , với sự tham gia của Goldman Sachs, Tiger Global, Sequoia và Vision Fund của SoftBank. Chín vòng gọi vốn, tổng cộng khoảng 296 triệu đô la. Không tồi chút nào đối với hai học giả khởi nghiệp bằng việc chứng minh các định lý về trình biên dịch.
"Công ty kiểm toán lớn nhất" thực sự đo lường điều gì?
Những con số ấn tượng của CertiK thể hiện khối lượng công việc. Hơn 6.100 dự án đã được kiểm toán. Hơn 91.000 lỗ hổng bảo mật đã được phát hiện trong các cuộc kiểm toán đó. Tài sản trị giá hơn 360 tỷ đô la đã được xem xét, với các khách hàng như Aave, Polygon và BNB Chain trong danh sách. Quy mô là có thật. Nhưng đó cũng là vấn đề, bởi vì "lớn nhất" được tính dựa trên số lượng báo cáo kiểm toán mà một công ty thực hiện, chứ không phải độ sâu của từng báo cáo. Một "nhà máy" in ra nhiều báo cáo hơn bất kỳ ai khác thì quả thực rất ấn tượng, nhưng khối lượng và độ nghiêm ngặt không phải là một, và khoảng cách giữa chúng là nơi xuất hiện hầu hết các lời chỉ trích. Đây là phiên bản cụ thể của lời phàn nàn đó. CertiK kiểm toán quá nhiều dự án đến nỗi tên của họ xuất hiện trên cả những token meme tầm thường và những giao thức nghiêm túc, và một chứng chỉ kiểm toán hai ngày cũng có giá trị tương đương với một báo cáo kéo dài nhiều tháng. Người mua hiếm khi biết được sự khác biệt giữa hai loại chứng chỉ này. Sự san bằng này mới là vấn đề thực sự của chứng chỉ này.
Quy trình kiểm toán CertiK thực tế diễn ra như thế nào, từng bước một.
Một cuộc kiểm toán CertiK không chỉ là một thứ duy nhất. Nó gồm hai lớp chồng lên nhau, và việc hiểu được sự khác biệt giữa chúng sẽ cho bạn biết rất nhiều về những gì báo cáo cuối cùng có thể và không thể đảm bảo.
Xác minh chính thức so với đánh giá thủ công
Lớp đầu tiên là xác minh hình thức. Thay vì chạy hợp đồng thông minh và quan sát những gì xảy ra, CertiK xây dựng một mô hình toán học của mã và chứng minh liệu các thuộc tính nhất định có luôn đúng hay không, bất kể đầu vào là gì. Trình biên dịch DeepSEA của nó tồn tại để hỗ trợ điều này. Xác minh hình thức rất mạnh mẽ đối với các câu hỏi cụ thể, chẳng hạn như "số dư này có thể âm không?", nhưng nó chỉ kiểm tra các thuộc tính mà người dùng đã chỉ định.
Lớp thứ hai là xem xét thủ công: các kỹ sư đọc từng dòng mã, tìm kiếm lỗi logic, các giả định sai và những lỗi nhỏ mà mô hình sẽ không phát hiện ra vì không ai yêu cầu nó tìm kiếm. Đây là nơi hầu hết các phát hiện thực sự đến từ. Tùy thuộc vào lượng mã và độ phức tạp của nó, toàn bộ quá trình có thể kéo dài từ khoảng 48 giờ đối với một đoạn mã nhỏ đến vài tuần đối với một giao thức lớn.
Đọc báo cáo: "đã giải quyết" so với "đã xác nhận"
Sản phẩm bàn giao là một báo cáo. Báo cáo này gắn nhãn cho từng lỗ hổng theo mức độ nghiêm trọng — nghiêm trọng, chính, nhỏ và thông tin — và ghi chú những gì dự án đã làm để khắc phục. Cột cuối cùng này quan trọng hơn mọi người nghĩ. Một phát hiện được đánh dấu "đã giải quyết" có nghĩa là nhóm đã sửa lỗi và CertiK đã kiểm tra lại. Một phát hiện được đánh dấu "đã xác nhận" có nghĩa là nhóm đã đọc, bỏ qua và vẫn phát hành sản phẩm. Hai dự án có thể cùng sử dụng một huy hiệu giống nhau trong khi một dự án đã sửa chữa mọi thứ và dự án kia đã bỏ qua các cảnh báo nghiêm trọng. Huy hiệu không phân biệt được chúng. Báo cáo mới là yếu tố quyết định. Đây cũng là lý do tại sao ngày tháng trên báo cáo lại quan trọng. Mã nguồn được phát hành, sau đó thay đổi; một cuộc kiểm toán từ một năm và mười lần nâng cấp trước đây mô tả một dự án có thể không còn tồn tại trên chuỗi khối ở dạng đã được xem xét.
| Sân khấu | CertiK làm gì? | Bắt được | Điểm mù |
|---|---|---|---|
| Xác minh chính thức | Chứng minh các thuộc tính cụ thể của mã bằng phương pháp toán học. | Những sai sót về toán học và logic trong các quy tắc đã định nghĩa. | Bất cứ điều gì nằm ngoài các thuộc tính đã được chỉ định. |
| Đánh giá thủ công | Các kỹ sư đọc mã bằng tay. | Lỗi logic, giả định sai lầm, các kiểu tấn công đã biết | Hệ thống ngoài chuỗi, thay đổi mã sau kiểm toán |
| Báo cáo và kiểm toán lại | Liệt kê các phát hiện theo mức độ nghiêm trọng, kiểm tra lại các bản sửa lỗi. | Liệu các vấn đề đã được giải quyết hay chưa | Liệu nhóm phát triển có thực sự triển khai phiên bản đã sửa lỗi hay không? |
Skynet và điểm số bảo mật CertiK Web3
Các cuộc kiểm toán chỉ là những bức ảnh chụp nhanh tại một thời điểm nhất định. Skynet là nỗ lực của CertiK nhằm bán một thứ gì đó liên tục: một bảng điều khiển thời gian thực theo dõi các dự án sau khi chúng được khởi chạy và gán cho mỗi dự án một Điểm An ninh. Công ty cho biết họ giám sát hơn 20.000 dự án trên chuỗi.
Điểm số này kết hợp một vài yếu tố đầu vào. Nó xem xét liệu dự án đã được kiểm toán hay chưa, liệu đội ngũ của dự án đã vượt qua kiểm tra KYC của CertiK (có các cấp độ vàng, bạc và đồng) hay chưa, và cách thức hoạt động của các hợp đồng — Skynet phân tích hành vi của hợp đồng trên chuỗi thông qua giám sát thời gian thực và gắn cờ các bất thường khi chúng xảy ra. Skynet cũng chạy các cảnh báo giám sát trên chuỗi đối với các vụ lừa đảo rút tiền và khai thác lỗ hổng, cùng với bảng xếp hạng các dự án so sánh với nhau. Là một tín hiệu ban đầu, điểm số Skynet thực sự hữu ích. Nó nhanh hơn so với việc đọc một báo cáo đầy đủ và nó cảnh báo các dấu hiệu cảnh báo rõ ràng. Nhưng nó cũng là một sản phẩm mà CertiK bán, được xây dựng một phần dựa trên các dữ liệu đầu vào mà CertiK cung cấp, và điểm số cao chưa bao giờ là lời hứa rằng một dự án an toàn. Hãy coi nó như một điểm dữ liệu, chứ không phải là một phán quyết. Lịch sử đã chứng minh điều đó. Các dự án đã có điểm số Skynet đáng kể cho đến thời điểm chúng bị khai thác hoặc bị bỏ rơi một cách lặng lẽ, bởi vì một điểm số được xây dựng chủ yếu dựa trên hành vi trong quá khứ không thể thấy được một thay đổi độc hại sắp xảy ra. Nó cho bạn biết một dự án chưa sụp đổ. Nó không thể cho bạn biết rằng nó sẽ không bao giờ sụp đổ.
Ngoài kiểm toán: Phần còn lại của hệ sinh thái CertiK
Kiểm toán là điểm nhấn chính, nhưng CertiK còn cung cấp một loạt các dịch vụ toàn diện hơn xoay quanh nó. Kiểm thử xâm nhập thực hiện các cuộc tấn công mô phỏng vào ví điện tử, sàn giao dịch và ứng dụng. Chương trình thưởng tìm lỗi, được thực hiện mà không mất phí nền tảng, trả tiền cho các hacker bên ngoài để tìm ra các lỗ hổng trước khi tội phạm thực hiện. Sau đó là KYC để xác minh danh tính thực sự của những người sáng lập ẩn danh, SkyInsights cho công tác tuân thủ và chống rửa tiền mà các công ty được quản lý cần theo MiCA và DORA, và SkyTrace để truy tìm các khoản tiền bị đánh cắp trên các chuỗi khối sau khi sự cố đã xảy ra. Không có dịch vụ nào trong số đó thay thế cho việc kiểm toán. Chúng bao quanh quá trình kiểm toán, đó là cách mà một dịch vụ đơn lẻ dần trở thành một gói dịch vụ trọn đời bao gồm toàn bộ vòng đời của một dự án phi tập trung.
Được kiểm toán rồi bị tấn công: Khi các lỗ hổng bảo mật lọt qua.
Đây là phần mà các bài giải thích hào nhoáng thường bỏ qua. Một cuộc kiểm toán là một bức ảnh chụp nhanh về mã nguồn cụ thể tại một thời điểm cụ thể. Nó không phải là một sự bảo hành, và việc coi nó như một sự bảo hành là lý do khiến mọi người mất tiền vào các dự án mà trên giấy tờ mọi thứ đều "đúng".
Những điều mà kiểm toán không bao gồm
Kiểm toán hợp đồng thông minh chỉ kiểm tra hợp đồng. Nó không kiểm tra xem những người sáng lập có nắm giữ khóa quản trị cho phép họ rút hết tiền hay không. Nó không kiểm tra trang web, máy chủ hoặc các khóa riêng tư đằng sau chúng. Nó không kiểm tra phiên bản mã mà nhóm triển khai sau khi kiểm toán kết thúc, phiên bản này có thể khác với phiên bản đã được xem xét. Và nó không thể ngăn chặn một nhóm chỉ đơn giản là quyết định bỏ trốn với số tiền. Hầu hết các phương thức tấn công làm cạn kiệt một dự án không phải là lỗi trong hợp đồng được kiểm toán. Chúng nằm ở những lỗ hổng xung quanh hợp đồng đó.
Vụ việc Merlin DEX: bị gắn cờ nhưng vẫn bị khai thác
Merlin DEX là ví dụ rõ ràng nhất. CertiK đã kiểm toán dự án này, và báo cáo kiểm toán đã chỉ ra vấn đề: các hợp đồng của dự án được tập trung hóa một cách nguy hiểm, với quyền truy cập đặc quyền mà một người nội bộ độc hại có thể lợi dụng. Vào tháng 4 năm 2023, chính lỗ hổng này đã được sử dụng để rút ruột khoảng 1,82 triệu đô la. Báo cáo kiểm toán không sai; nó đã chỉ ra rủi ro. Nhưng cảnh báo lại nằm trong cột "đã xác nhận" thay vì cột "đã giải quyết", và lỗ hổng đã dễ dàng bị khai thác mà báo cáo đã chỉ ra. Phát hiện ra lỗi là phần dễ. Hành động để khắc phục là nhiệm vụ của khách hàng, và nhóm của Merlin chưa bao giờ làm điều đó.
Nhìn tổng thể, xu hướng này gây lo ngại cho toàn ngành. Báo cáo Hack3d của chính CertiK cho thấy thiệt hại đang gia tăng chứ không giảm. Công ty này thống kê được khoảng 2,36 tỷ đô la bị đánh cắp trong 760 vụ việc vào năm 2024 , sau đó là khoảng 3,35 tỷ đô la trong 630 vụ việc vào năm 2025 , một năm bị thổi phồng bởi vụ vi phạm dữ liệu Bybit trị giá 1,45 tỷ đô la. Dữ liệu độc lập từ Chainalysis cho thấy vụ trộm cắp năm 2025 lên tới gần 3,4 tỷ đô la, trong đó khoảng 2,02 tỷ đô la có liên quan đến các nhóm có liên hệ với Triều Tiên. Các nhà điều hành này ngày càng nhắm vào con người và cơ sở hạ tầng xung quanh hợp đồng hơn là chính hợp đồng, và đó chính xác là phạm vi mà một cuộc kiểm toán không thể bao quát. Việc kiểm toán nhiều hơn không có nghĩa là tội phạm sẽ giảm.
| Năm | Các khoản lỗ được báo cáo | Sự cố | Bài hát đạt thành tích cao nhất |
|---|---|---|---|
| 2024 | 2,36 tỷ đô la | 760 | — |
| 2025 | 3,35 tỷ đô la | 630 | Bybit, 1,45 tỷ đô la |
Sự cố Kraken và vấn đề lòng tin của CertiK
Đối với một công ty bán sự tin tưởng, hành vi của chính họ là một phần của sản phẩm. Hai sự việc đã khiến điều đó trở nên khó xử.
Vào tháng 6 năm 2024, các nhà nghiên cứu của CertiK đã phát hiện ra một lỗ hổng bảo mật chưa được vá (zero-day vulnerability) trên sàn giao dịch Kraken và thay vì chỉ báo cáo, họ đã lợi dụng nó để rút khoảng 3 triệu đô la từ hệ thống của Kraken . CertiK cho rằng đây là bằng chứng chứng minh mức độ nghiêm trọng của lỗi bảo mật. Kraken gọi đó là hành vi tống tiền và cho biết ban đầu công ty này từ chối hoàn trả tiền cho đến khi bị thúc ép. Cuối cùng tiền đã được hoàn trả, nhưng vụ việc này gây ấn tượng xấu: một công ty bảo mật lợi dụng khách hàng trên quy mô lớn để chứng minh quan điểm của mình. Sau đó, vào đầu năm 2025, CertiK đã xin lỗi về công việc liên quan đến Huione, một công ty hoạt động tại Campuchia sau này bị liên kết với các khu phức hợp lừa đảo lao động cưỡng bức. Tất cả những điều này không có nghĩa là các cuộc kiểm toán của CertiK là vô giá trị. Điều đó chỉ có nghĩa là một công ty đang yêu cầu thị trường tin tưởng vào lời nói của mình giờ đây phải xây dựng lại một phần uy tín đó, và họ đang làm điều đó trong khi được cho là đang chuẩn bị cho đợt IPO với mức định giá khoảng 2 tỷ đô la.
So sánh CertiK với các công ty bảo mật Web3 khác
CertiK là cái tên nổi bật nhất trong lĩnh vực bảo mật blockchain, nhưng không phải là duy nhất, và đối với nhiều dự án, nó không phải là lựa chọn hiển nhiên. Thị trường kiểm toán được chia đại khái thành hai loại: các công ty quy mô lớn và các công ty chuyên biệt. Các công ty chuyên biệt nhận ít khách hàng hơn và có xu hướng đi sâu hơn, và nhiều công ty đặt ra các tiêu chuẩn bảo mật riêng vượt quá khả năng thực thi của các công ty quy mô lớn. Các giao thức xử lý số tiền lớn thường trả tiền để có ý kiến thứ hai từ một trong những công ty này chính vì lý do đó. Quy mô và chiều sâu không giống nhau, và lựa chọn đúng đắn phụ thuộc vào giai đoạn và ngân sách của bạn. Giá cả phản ánh phạm vi đó: một cuộc kiểm toán token nhỏ có thể tốn vài nghìn đô la, trong khi một cuộc đánh giá toàn diện về một giao thức phức tạp có thể lên tới hàng trăm nghìn đô la.
| Vững chãi | Tập trung | Nổi tiếng với | Người mẫu |
|---|---|---|---|
| CertiK | Bảo mật Web3 rộng rãi | Khối lượng, Skynet, nhận diện thương hiệu | Tỉ lệ |
| Dấu vết của các mảnh nhỏ | Bảo mật mức độ cao | Đánh giá thủ công chuyên sâu, nghiên cứu | Cửa hàng thời trang |
| OpenZeppelin | Bảo mật hợp đồng thông minh | Thư viện hợp đồng được sử dụng rộng rãi | Cửa hàng thời trang |
| Halborn | Công nghệ blockchain và an ninh hạ tầng | Kiểm thử xâm nhập, khai thác lỗ hổng nâng cao | Kích thước trung bình |
| Hacken | Kiểm toán và giám sát Web3 | Kiểm toán tiết kiệm chi phí | Kích thước trung bình |
Cách đọc chứng chỉ "Đã được kiểm định bởi CertiK"
Vì vậy, khi bạn thấy dòng chữ "Đã được CertiK kiểm toán" trên một dự án, trước khi tin tưởng nó, hãy mở báo cáo thực tế và kiểm tra năm điều sau. Thứ nhất, phạm vi: những hợp đồng nào đã được xem xét, và phần đang giữ tiền của bạn có nằm trong số đó không? Thứ hai, ngày tháng và mã băm cam kết, sau đó so sánh chúng với mã nguồn đang hoạt động thực tế, vì chúng thường khác nhau. Thứ ba, các phát hiện: có bao nhiêu lỗi nghiêm trọng, và chúng đã được giải quyết hay chỉ được ghi nhận? Thứ tư, liệu phiên bản đã được kiểm toán có phải là phiên bản đã được triển khai hay không. Thứ năm, đừng chỉ dựa vào điểm số của CertiK; đó chỉ là bản tóm tắt, không phải là tài liệu đầy đủ.
Một lưu ý nhỏ về mã chứng khoán, vì mọi người thường nhầm lẫn giữa chúng. Công ty CertiK là công ty tư nhân và không có cổ phiếu. CTK là mã token của chuỗi Shentu, một mạng lưới bằng chứng cổ phần riêng biệt được kết nối với các hoạt động ban đầu của CertiK. Mua CTK không có nghĩa là mua cổ phần trong hoạt động kinh doanh kiểm toán. Nếu bạn đang tìm kiếm "cổ phiếu CertiK", thì hiện tại vẫn chưa có.
Giá trị thực sự của một cuộc kiểm toán CertiK là gì?
Vậy chứng chỉ kiểm toán CertiK có giá trị gì không? Có, trong giới hạn nhất định. Nó nâng cao tiêu chuẩn. Nó loại bỏ những đoạn mã cẩu thả, ghi lại những rủi ro thực sự và cung cấp cho nhóm phát triển một danh sách các việc cần làm. Tuy nhiên, nó không thể đảm bảo cho con người. Nó không thể chắc chắn rằng mã được triển khai khớp với những gì đã được xem xét, hoặc một rủi ro nào đó đã thực sự được khắc phục. Hãy coi chứng chỉ này như là bước khởi đầu của quá trình thẩm định, chứ không phải là đích đến. Vì vậy, lần tới khi bạn thấy "Đã được kiểm toán bởi CertiK", hãy làm điều nhàm chán mà hầu như không ai làm: mở báo cáo và đọc cột ghi những gì đã được sửa chữa. Và nếu dự án không cho bạn xem báo cáo? Sự miễn cưỡng đó chính là câu trả lời. Một chứng chỉ mà bạn không thể kiểm tra chỉ là một biểu tượng.
