Kiểm toán không đủ? Dữ liệu cho thấy mất 3,3 tỷ đô la trong các dự án DeFi đã được kiểm toán

Kiểm toán quan trọng, nhưng không phải là tấm khiên ma thuật. Đó là kết luận thẳng thừng từ một chuỗi bài đăng gần đây của nền tảng phân tích dữ liệu blockchain Sentora, kết hợp với biểu đồ cột phân tích hàng tỷ đô la bị mất trong các vụ hack và khai thác DeFi. Dữ liệu bao gồm từ năm 2020 đến 2025 (trừ sự sụp đổ của Terra) và đưa ra một điểm rõ ràng, gây khó chịu: ngay cả các dự án đã trả tiền cho các cuộc đánh giá an ninh cũng mất tiền lớn.

“Kiểm toán là cần thiết cho DeFi, nhưng không phải là một đảm bảo,” Sentora viết. “Các dự án đã được kiểm toán đã mất hơn 3,3 tỷ đô la trong giai đoạn ’20–’25, chủ yếu do rug pull, lộ khóa riêng tư và các thay đổi sau kiểm toán. Kiểm toán DeFi là mức cơ bản, nhưng quản lý rủi ro hiệu quả vẫn đòi hỏi giám sát liên tục rủi ro.”

Biểu đồ đi kèm, phân loại các khoản lỗ theo nhà kiểm toán, cho thấy các dự án chưa kiểm toán chịu thiệt hại lớn nhất, khoảng $5 tỷ đô la, nhưng cũng cho thấy rằng các dự án đã kiểm toán và các công ty nổi tiếng như Certik, NCC Group và Trail of Bits không phải là bất khả xâm phạm.

Vấn đề nhiều lớp

Tổng thể, các hình ảnh và tóm tắt của Sentora phác thảo một vấn đề nhiều lớp. Một phần rõ ràng là: các dự án bỏ qua kiểm toán hoặc cắt góc đã phải trả giá. Một phần khác, cũng quan trọng, là các kiểm toán chỉ là những bức tranh chụp nhanh, thường được thực hiện trước các chỉnh sửa mã cuối cùng, thay đổi quản trị hoặc giới thiệu các khóa quản trị mới.

Những chỉnh sửa sau kiểm toán đó, cùng với các cuộc tấn công xã hội nhằm chiếm đoạt khóa riêng tư và các rug pull độc hại do nội bộ thực hiện, chiếm phần lớn trong số 3,3 tỷ đô la thiệt hại mà Sentora đã chỉ ra cho các dự án đã kiểm toán. Biểu đồ cũng làm nổi bật một danh mục trung gian, một đuôi dài các nhà kiểm toán nhỏ hơn nhóm lại thành “Other (68),” chiếm một phần đáng kể trong tổng thiệt hại.

Điều này cho thấy vấn đề không chỉ là dự án có được kiểm toán hay không, mà còn là chất lượng và phạm vi của kiểm toán, phạm vi của nhà kiểm toán, và những gì xảy ra sau khi báo cáo được phát hành. Một cuộc kiểm toán bỏ lỡ các giả định thiết kế quan trọng, hoặc một nhóm bỏ qua các biện pháp giảm thiểu đề xuất, sẽ để lộ lỗ hổng.

Các chuyên gia an ninh đã nói trong nhiều năm rằng một cuộc kiểm toán đơn lẻ nên được xem như là bước khởi đầu của một chương trình an ninh, chứ không phải là điểm kết thúc. Giám sát liên tục, triển khai theo giai đoạn, kiểm soát đa chữ ký, khóa thời gian cho các chức năng đặc quyền, các chương trình thưởng lỗi tích cực, và các sản phẩm bảo hiểm đều là phần của một phương pháp tiếp cận bền vững hơn.

Thông điệp của Sentora nhấn mạnh rằng kiểm toán chỉ đặt ra tiêu chuẩn tối thiểu, nhưng các nhóm và nhà đầu tư phải xây dựng các lớp bảo vệ và liên tục theo dõi. Đối với một hệ sinh thái DeFi đề cao khả năng ghép nối và vòng lặp nhanh, sự căng thẳng là có thật. Các nhà phát triển muốn phát hành tính năng và điều chỉnh nhanh chóng; các kiểm toán viên cần phạm vi và thời gian để làm kỹ lưỡng; kẻ tấn công tìm kiếm các khoảng trống nhỏ giữa chúng.

Kết quả của dữ liệu là đơn giản và gây khó chịu; chi tiêu cho kiểm toán sẽ vẫn cần thiết, nhưng cộng đồng cũng cần có kỷ luật sau kiểm toán tốt hơn và các biện pháp bảo vệ vận hành nếu muốn giảm thiểu thiệt hại một cách có ý nghĩa.

Chuỗi bài đăng của Sentora và biểu đồ là lời nhắc nhở rằng an ninh trong DeFi là một quá trình, không phải là một chứng chỉ. Kiểm toán giúp phát hiện vấn đề, nhưng không ngăn chặn vấn đề xảy ra. Cho đến khi các nhóm xem an ninh như một công việc liên tục thay vì một ô checkbox, các số liệu chính sẽ tiếp tục tăng lên.