Audit คืออะไร Certik ดีจริงมั้ย ทำไมต้องมี ?

คิดถึงยุคฟาร์มซิ่งที่ตัวไหนผ่าน Certik Audit แล้ว ‘ได้รับความสนใจเป็นพิเศษ‘ แผงยังไม่เปิด มีลูกค้าต่อคิวเชือด .. อุ้ย รอใช้บริการ เช่นกันครับ กระแส GameFi มาแรง ชื่อของ Certik ถูกนำมากล่าวขานอีกครั้ง

Audit คืออะไร ?

เป็นบริการตรวจสอบ Smart Contract (โค้ดธุรกรรม) บนระบบ Blockchain แม้ว่าทาง Developer จะนำโค้ดที่ผ่าน Audit แล้วมาปรับปรุงใหม่ ไม่สามารถวางใจได้ อาจมีช่องโหว่ (Exploit), Logic ผิดเพี้ยน แม้กระทั่ง ‘เขียนผิด‘ ตัวเดียวก็ฉิบหายมาแล้ว ดังนั้น Audit จึงเป็นตัวการันตีระดับนึงว่า Smart Contract ชุดนี้ปลอดภัย 

certik

ทั้งนี้ Audit ผ่านแล้วไม่สามารถ ‘วางใจได้‘ ซะทีเดียว เพราะบ่อยครั้ง Developer มีการอัพเกรด Smart Contract เพิ่มโน่นเพิ่มนี่ เป็น V2 V3 แล้วไม่ส่ง Audit หรือ Hacker มาเจอช่องโหว่เสียก่อน งานหยาบเกิดขึ้นได้เหมือนกัน

certik

บ่อยครั้งที่มี Platform ถูกโจมตี เกิดความเสียหายจำนวนมาก Auditor หลายราย ทำหน้าที่เผยแพร่ Post-Mortem เพื่อเป็น Case Study แก่ Developer เพื่อป้องกันไม่ให้เกิดเหตุซ้ำรอยอีก

certik

ทำไมต้อง Certik

บนโลก Blockchain มี Auditor มากกว่า 30 ราย ตั้งแต่ของดีอย่าง OpenZeppelin, SlowMist, Trail of Bits, PeckShield ฯลฯ ของฟรีก็มี ส่วนของไทยมี 2 รายได้การยอมรับคือ Valix และ Inspex อย่างไรก็ตาม Auditor มีโปรเจคใช้บริการมากสุดคือ ‘Certik

certik

Certik มีโปรเจค Defi ใช้บริการจำนวนมาก เอาแค่ Leading Projects ก็ตัว Top ตลาดแทบจะทั้งหมดครับ ครอบคลุม Network ชั้นนำ หลักๆ ให้บริการดังนี้

  • Token Contracts : กลไกของเหรียญ (Token) ภาพรวม โปรเจคส่วนมากใช้กัน ค่าบริการถูกสุดแล้ว แถมได้ตรา Certik แปะหน้าเว็บด้วย
  • Custom Smart Contracts : ระบบลึกลงไป เช่น Farm, Vaults หรือ Service อื่นๆ ของ Defi นั้น ค่าบริการค่อนข้างสูง ใช้เวลา Audit นานพอสมควร

certik

  • Skynet : โปรเจคเปิด Skynet ถือว่าป๋าทีเดียว รวบรวมข้อมูลทุกอย่างของ Platform ทั้งความปลอดภัย, เหรียญ, ราคา, จำนวนธุรกรรม, Social ฯลฯ ใน Format อ่านง่าย
  • SkyTrace : บริการใหม่จาก Certik ให้ User สามารถเช็คธุรกรรมย้อนหลังของ Wallet เชื่อมโยงกับ Wallet อื่นๆ อย่างไร เหมาะกับตรวจสอบธุรกรรมผิดปกติ / ฉ้อโกงต่างๆ (ใช้ฟรี)
  • Penetration Testing : ตรวจสอบความแข็งแกร่งของ Platform ต่อการโจมตีรูปแบบต่างๆ สำหรับ Developer

ยิ่ง Platform ส่งรีวิวหลายฉบับเป็นเรื่องดีครับ ทั้งนี้ Developer อาจใช้บริการหลายเจ้าร่วมด้วยเหมือนกัน

certik

ระวัง Onboarding

ข้อควรระวังของ User หน้าใหม่ที่เชื่อว่าโปรเจคนั้น Audited แล้ว ดันเป็นโจรซะงั้น ตรวจสอบพบว่าสถานะยังคง Onboarding หมายความว่า Developer มีการติดต่อ – ส่ง Contract จริง แต่ยังไม่ผ่าน Audit ด้วยเหตุผลแตกต่างกัน

ดังนั้น ไม่ควรเชื่อถือ Platform ด้วยคำว่า Certik อย่างเดียว ดูหลายอย่างประกอบด้วย เช่น Community, พฤติกรรมของ Developer, ระบบภายใน ฯลฯ กลิ่นไม่ดีก็อย่าเสี่ยงเลย

certik

(นอกจาก Audit การให้รางวัล Bug Bounty เป็นแรงจูงใจตรวจสอบด้าน Security ทางนึง)

สรุป

ผมทำบทความเตือนทุกคนอีกครั้ง ส่วนตัวผ่านยุค Defi ฟาร์มซิ่ง เหรียญกาวมา อวดอ้างสรรพคุณว่า Certik Audited เพิ่งยื่นแล้วเอา Logo แปะหน้าเว็บเนื่ย ไม่ใช่ละ ต้องรับรองบนหน้าเว็บจริงๆ ถึงจะชัวร์

ถึงกระนั้น Platform ผ่าน Audit ไม่การันตีว่ามีคุณภาพ 100% บางรายตั้งใจทำมาโกยเงิน Soft Rug ปล่อยโปรเจคตายก็มีเยอะแยะ แน่นอนครับ ของดีต้องใช้เวลาพิสูจน์ Developer ตั้งใจทำงานมั้ย ดูแล Community หา Partner ทำการตลาดอย่างไร ?

Do Your Own Research เป็นคำพูดที่ดี หากคุณตั้งใจหาข้อมูลจริงๆ