การตรวจสอบเป็นสิ่งสำคัญ แต่ก็ไม่ใช่เกราะป้องกันวิเศษ นี่คือบทสรุปง่ายๆ จากทวีตล่าสุดของแพลตฟอร์มวิเคราะห์ข้อมูลบล็อกเชน Sentora พร้อมกับแผนภูมิแท่งที่แสดงการสูญเสียหลายพันล้านในเหตุการณ์แฮกและการโจมตีใน DeFi ข้อมูลครอบคลุมตั้งแต่ปี 2020 ถึง 2025 (ยกเว้นการล่มของ Terra) และชี้ให้เห็นจุดที่ชัดเจนและไม่สบายใจ: แม้แต่โปรเจกต์ที่จ่ายเงินเพื่อการตรวจสอบความปลอดภัยก็ยังสูญเสียเงินจำนวนมาก
“การตรวจสอบเป็นสิ่งจำเป็นสำหรับ DeFi แต่ไม่ใช่การรับประกัน” Sentora เขียน “โปรเจกต์ที่ผ่านการตรวจสอบพบความสูญเสียกว่า 3.3 พันล้านดอลลาร์ระหว่างปี ’20–’25 ซึ่งเกิดจากการลักลอบ, การเปิดเผยคีย์ส่วนตัว และการเปลี่ยนแปลงหลังการตรวจสอบ การตรวจสอบ DeFi เป็นฐาน แต่การบริหารความเสี่ยงที่มีประสิทธิภาพยังคงต้องมีการติดตามความเสี่ยงอย่างต่อเนื่อง”
แผนภูมิประกอบที่แสดงการสูญเสียตามผู้ตรวจสอบ แสดงให้เห็นว่าโปรเจกต์ที่ไม่ได้รับการตรวจสอบได้รับผลกระทบมากที่สุด ซึ่งอยู่ในระดับพันล้านดอลลาร์ แต่ก็แสดงให้เห็นว่าก็มีโปรเจกต์ที่ได้รับการตรวจสอบและบริษัทที่มีชื่อเสียงอย่าง Certik, NCC Group และ Trail of Bits ก็ไม่ได้ปลอดภัยจากความเสี่ยงเช่นกัน
ปัญหาที่ซับซ้อนหลายชั้น
เมื่อดูภาพรวมและสรุปของ Sentora จะเห็นว่ามีปัญหาที่ซับซ้อนหลายชั้น ส่วนหนึ่งเป็นเรื่องชัดเจน: โปรเจกต์ที่ข้ามการตรวจสอบหรือหลีกเลี่ยงมาตรการก็ต้องจ่ายราคา อีกส่วนที่สำคัญเท่าเทียมกันคือ การตรวจสอบเป็นเพียงภาพถ่ายชั่วคราว ซึ่งมักจะดำเนินการก่อนการแก้ไขโค้ดในนาทีสุดท้าย การเปลี่ยนแปลงในการกำกับดูแล หรือการแนะนำคีย์ผู้ดูแลใหม่
การเปลี่ยนแปลงหลังการตรวจสอบเหล่านี้ รวมถึงการโจมตีแบบ social-engineering ที่จับคีย์ส่วนตัว และการลักลอบในรูปแบบ rug pull โดยคนในทีม คิดเป็นสัดส่วนใหญ่ของความสูญเสีย 3.3 พันล้านดอลลาร์ที่ Sentora ระบุไว้สำหรับโปรเจกต์ที่ได้รับการตรวจสอบ แผนภูมินี้ยังเน้นกลุ่มกลางที่เรียกว่า “Other $5 68(” ซึ่งเป็นกลุ่มผู้ตรวจสอบขนาดเล็กที่รวมกันแล้วคิดเป็นส่วนสำคัญของความสูญเสีย
สิ่งนี้ชี้ให้เห็นว่าปัญหาไม่ได้อยู่ที่ว่าโปรเจกต์ได้รับการตรวจสอบหรือไม่ แต่เป็นคุณภาพและความครอบคลุมของการตรวจสอบ ขอบเขตของผู้ตรวจสอบ และสิ่งที่เกิดขึ้นหลังจากรายงานถูกออกมา การตรวจสอบที่พลาดการวิเคราะห์สมมติฐานการออกแบบที่สำคัญ หรือทีมที่ละเลยคำแนะนำในการลดความเสี่ยง ก็เปิดช่องให้เกิดช่องโหว่ได้
ผู้เชี่ยวชาญด้านความปลอดภัยได้กล่าวมานานแล้วว่าการตรวจสอบเพียงครั้งเดียวควรเป็นจุดเริ่มต้นของโปรแกรมความปลอดภัย ไม่ใช่จุดสิ้นสุด การติดตามอย่างต่อเนื่อง การปรับใช้แบบ staged การควบคุมด้วย multisignature การตั้งเวลาบนฟังก์ชันที่มีสิทธิพิเศษ โครงการ bug-bounty ที่เป็นเชิงรุก และผลิตภัณฑ์ประกันภัย ล้วนเป็นส่วนหนึ่งของแนวทางที่มีความยืดหยุ่นมากขึ้น
ข้อความของ Sentora ย้ำว่าการตรวจสอบเป็นเพียงมาตรฐานขั้นต่ำ แต่ทีมงานและนักลงทุนต้องเสริมความปลอดภัยและเฝ้าระวังอย่างต่อเนื่อง สำหรับระบบนิเวศ DeFi ที่ให้ความสำคัญกับความสามารถในการประกอบกันและการปรับปรุงอย่างรวดเร็ว ความตึงเครียดนี้เป็นเรื่องจริง นักพัฒนาต้องการปล่อยฟีเจอร์และปรับเปลี่ยนอย่างรวดเร็ว; ผู้ตรวจสอบต้องการขอบเขตและเวลาในการทำงานอย่างละเอียด; ผู้โจมตีมองหาโอกาสในช่วงเวลาสั้นๆ ระหว่างกัน
ผลลัพธ์ของข้อมูลนี้ง่ายและไม่สบายใจ: การใช้จ่ายในการตรวจสอบจะยังคงจำเป็น แต่ชุมชนก็ต้องมีวินัยหลังการตรวจสอบที่ดีขึ้นและมาตรการป้องกันเชิงปฏิบัติการ หากต้องการลดความสูญเสียอย่างมีนัยสำคัญ
ทวีตและแผนภูมิของ Sentora เป็นเครื่องเตือนใจว่าความปลอดภัยใน DeFi เป็นกระบวนการ ไม่ใช่ใบรับรอง การตรวจสอบช่วยค้นหาปัญหา แต่ไม่ได้หยุดปัญหาไม่ให้เกิดขึ้น จนกว่าทีมจะมองว่าความปลอดภัยเป็นงานที่ดำเนินต่อเนื่องมากกว่าการทำเครื่องหมายในเช็คลิสต์ ตัวเลขสำคัญก็อาจยังคงเติบโตต่อไป
