پیدا و پنهان صنعت آدیت در فضای کریپتو؛ در مورد حسابرسی پروژه‌ها به چه نکاتی توجه کنیم؟

فضای وب ۳ (Web 3) شبیه به یک میدان مین است که اگر شانس بیاورید و گرفتار پروژه‌های کلاهبرداری نشوید، احتمالا قربانی هکرهایی می‌شوید که از نقایص امنیتی اسمارت کانترکت‌ها سوء‌استفاده می‌کنند و این وضعیت هر سال وخیم‌تر می‌شود. به همین دلیل بازبینی کد (Audit) یا حسابرسی قراردادهای هوشمند، معیار مهمی برای سرمایه‌گذاران پروژه‌های کریپتویی است. اما مسئله این است که با وجود بازبینی کد قراردادهای هوشمند توسط موسسه‌های آدیت، کلاهبرداران با شگرد حسابرسی‌ های جعلی کاربران را فریب می‌دهند. حال سوالاتی از این دست مطرح است که نهادهای نظارتی چه اقداماتی انجام داده‌اند؟ مسئولیت شرکت‌های حسابرسی در قبال آدیت‌های جعلی چیست؟ کدام پروژه‌ها با طعمه حسابرسی های جعلی در فضای کریپتو از کاربران کلاهبرداری کرده‌اند؟ با میهن بلاکچین و پاسخ به این سوالات همراه باشید.

نکات کلیدی مقاله: 👈 سوء استفاده از اعتبار شرکت‌های حسابرسی یکی از روش‌های قدیمی کلاهبرداری در فضای کریپتو است. 👈 نباید تنها با دیدن لوگوی یک حسابرس معروف به امنیت پلتفرم اعتماد کرد. 👈 همکاری یک شرکت رمزارزی با یک حسابرس معتبر به هیچ وجه به معنای تضمین امنیت آن نیست. 👈 شرکت‌های حسابرسی لزوما در قبال سلامت کلیت پروژه مسئولیتی ندارند و در اسناد خود بر این موضوع تاکید کرده‌اند.

هشدار سازمان SEC در مورد حسابرسی‌ های جعلی در فضای کریپتو

کمیسیون بورس و اوراق بهادار (SEC) در گزارش اخیر خود روند همکاری شرکت‌های حسابداری با پلتفرم‌های معاملاتی ارزهای دیجیتال دارای سابقه رسوایی و سقوط‌ مالی را «نگران‌‌کننده» دانسته است. همچنین SEC اشاره می‌کند که برخی از فعالان صنعت بلاکچین برای جذب سرمایه‌گذاران از «آدیت‌های جعلی» استفاده می‌کنند.

کمیسیون SEC در مورد این توافق‌ها که بین شرکت‌های رمزارزی و شرکت‌های آدیت منعقد می‌شود هشدار داده است و معتقد است این توافق‌ها را نمی‌توان به معنای رایج در فضای تامین مالی سنتی «توافق حسابرسی یا آدیت» تلقی کرد؛ چرا که به اندازه کافی منافع سرمایه‌گذاران پروژه‌های رمزارزی را در نظر نمی‌گیرند و در نتیجه یافته‌های این «حسابرسی‌ها» به اندازه کافی برای سرمایه‌گذاران قابل اتکا نیست.

این گزارش همچنین بر خطرات ناشی از خدمات این شرکت‌های حسابرسی که نتیجه فعالیت بسیاری از آن‌ها ایجاد «اطمینان کاذب» در سرمایه‌گذاران است، تاکید می‌کند؛ موضوعی که پیش‌تر توسط کارکنان کمیسیون SEC، هیئت نظارت بر حسابداری شرکت‌های عام (PCAOB) و سایر کارشناسان بر آن تاکید شده است.

مسئولیت شرکت‌های حسابرسی در قبال آدیت جعلی

کمیسیون بورس و اوراق بهادار گفته است که اگر مشتری خدمات یک موسسه حسابرسی، نتایج حسابرسی را دستکاری کند و آن را خلاف واقع‌ جلوه دهد، با مسئولیت‌های قانونی مواجه خواهد شد. تحت قوانین اوراق بهادار فدرال، اظهارات نادرست مشتری در مورد فعالیت‌های غیرحسابرسی یک موسسه، نقض مقررات ضدتقلب محسوب می‌شود. در چنین مواردی توصیه شده است که شرکت حسابرسی «برائت علنی» اعلام کند؛ یعنی به‌طور علنی ارتباط خود را با مشتری قطع کند و این موضوع را به SEC اطلاع دهد.

موسسات حسابرسی باید قبل از پذیرش یک پروژه، مشخص کنند که آیا فعالیت‌های قبلی آن‌ها خارج از حسابرسی پروژه مورد نظر، قوانین مربوط به استقلال حسابرسان را نقض می‌کند یا خیر. همچنین افرادی که مسئولیت حسابرسی پروژه به آن‌ها واگذار می‌شود باید بر مبنای الزامات استقلال کمیسیون استقلال بالقوه و بالفعل خود را ثابت کنند. سوء‌رفتار حسابرسان مانند بی‌توجهی عمدی به معیارهای حرفه‌ای، مشمول مجازات می‌شود و رفتار حرفه‌ای غیرقانونی علاوه بر فرد حسابرس موسسه حسابرسی را نیز مشمول مجازات می‌کند.

آیا آدیت به معنای تامین امنیت کد پروژه است؟       

آدیت‌ کد توسط اشخاص ثالث، از سال ۲۰۲۰ به معیاری برای اعتبار پلتفرم‌های دیفای (DeFi) تبدیل شد؛ اما یک مسئله دوگانه‌ وجود دارد:  

• آدیت شدن یک پروژه [با رفع باگ‌ها و نقایص امنیتی بالقوه] باعث امن شدن آن می‌شود؟
• یا اینکه آدیت‌ها صرفا مهر تایید امنیت و قانونی بودن پروژه برای کاربران بالقوه هستند؟

به‌طور کلی کاربران وب ۳ با یک سوال جدی مواجه هستند؛ آیا تنها به این دلیل که یک پروژه آدیت شده است، می‌توان آن را به حد کافی ایمن دانست؟ قطعا اگر کاربران چنین تصوری داشته باشند، نمی‌توانیم آن‌ها را سرزنش کنیم؛ چراکه مشکل جای دیگری است.  

در سال‌های گذشته، توسعه‌دهندگان برنامه‌های وب ۳ از آدیت به عنوان ابزاری برای بازاریابی استفاده کرده‌اند. ایمن تلقی شدن پروژه‌های رمزنگاری در ذهن کاربران به معنای جلب اعتماد آن‌ها و در نتیجه جذب پول برای پروژه است. بنابراین توسعه‌دهندگان به محض راه‌اندازی یا معرفی پروژه‌های خود، ادعا می‌کنند که پروژه ایمن است و به‌زودی توسط برترین موسسه‌ها آدیت می‌شود.

به‌نظر می‌رسد در هرج و مرج دنیای کریپتو، آدیت و شرکت‌های حسابرسی مانند سرتیک (Certik)، پک‌شیلد (Peackshield)، هکن (Hacken) و اسلومیست (Slowmist) تنها دیوار دفاعی میان کاربران و ریسک‌های پنهان یک قرارداد هوشمند هستند.

روی کاغذ، قرار بر این است که موسسه‌های حسابرسی، از پروژه‌ها در برابر هکرها و از کاربران در برابر پروژه‌های کلاهبرداری محافظت کنند. آدیت‌ها این تلقی را برای کاربران ایجاد می‌کنند که پروژه‌ها تا حدی ایمن و تضمین‌شده هستند. با این حال باید به این نکته هم توجه داشت که پروژه‌های کلاهبرداری بدون استفاده از برچسب «آدیت» نمی‌توانند پروتکل خود را به یک طعمه مناسب تبدیل کنند.

توضیحات موسسه حسابرسی پک‌شیلد در بخش سلب مسئولیت خود اعتماد کورکورانه کاربران وب ۳ به شرکت‌های حسابرسی را به خوبی نمایش می‌دهد. در متن سلب مسئولیت پک‌شیلد قید شده است: «آخرین اما مهم‌ترین نکته این است که آدیت امنیتی ما نباید یک توصیه سرمایه‌گذاری تلقی شود».  

کلاهبرداران هم مدت‌هاست که متوجه اعتماد نسبی موجود نسبت به آدیتورهای معروف در فضای وب ۳ شده‌اند و فهمیده‌اند که می‌توانند از آدیت به عنوان ابزاری برای پایین آوردن سپر دفاعی کاربران استفاده کنند.

قدیمی‌ترین روش کلاهبرداران معمولی، احراز هویت جعلی در شرکت‌های حسابرسی معتبر مانند سرتیک یا پک‌شیلد و سپس قراردادن لوگوی این شرکت‌ها در وبسایت پروژه کلاهبرداری است. این اقدام شرکت‌‌‌های حسابرسی را ناچار می‌کند که هر هفته یا حتی چندبار در هفته بیانیه‌ صادر کنند که این یا آن پروژه از سوی آن‌ها آدیت نشده است. تشخیص کلاهبرداری بودن چنین پروژه‌هایی بسیار ساده است؛ کافی است در وبسایت رسمی موسسه حسابرسی، نام پروژه‌ را تایپ کنید و ببینید آیا وجود دارد یا خیر.

تشخیص آدیت‌های جعلی بسیار آسان است؛ اما اکثر مردم با این استدلال که هیچ درکی از آدیت ندارند، اصلا پیگیری نمی‌کنند که آیا پروژه آدیت شده است؟ حسابرسی آن واقعی است یا غیرواقعی؟ در نتیجه، به‌سادگی گرفتار کلاهبرداران می‌شوند.

اگرچه آدیت جعلی به نوبه خود موضوع مهمی است، اما مسئله مهم‌تر و نگران‌کننده استفاده از آدیت‌های واقعی برای جذب کاربران به پروژه‌های کلاهبرداری است.     

سوءاستفاده از آدیت‌های واقعی برای معتبر جلوه دادن پروژه‌های کریپتویی

برای جذب کاربر در پروژه‌های کریپتویی چه طعمه‌ای بهتر از یک آدیت واقعی است؟ حقیقتا، هیچ‌چیز. بنابراین، بسیاری از کلاهبرداران صبور ماه‌ها و حتی سال‌ها زمان صرف می‌کنند تا با ارائه آدیت‌های واقعی قراردادهای هوشمند، اعتماد کاربران را به پروژه تقلبی خود جلب کنند. اما مسئله این است که چطور می‌توان با آدیت واقعی، کاربران را فریب داد؟

۱. انتخاب بخش‌هایی از قرارداد برای حسابرسی

کلاهبرداران از نقطه ضعف کاربران استفاده می‌کنند؛ زیرا اکثر کاربران وب ۳ تصور می‌کنند حسابرسی شدن پروژه به این معنا است که همه گزینه‌ها و به‌ویژه آسیب‌پذیرترین بخش‌ها در برابر حمله یا کد اکسپلویت (مخرب) درب پشتی (Backdoor) ارزیابی شده‌اند. درحالی‌که اصلا این‌طور نیست.

موسسه حسابرسی سرتیک در بخش سلب مسئولیت خود دقیقا به این موضوع اشاره می‌کند:

سرتیک ارزیابی‌های امنیتی را صرفا روی کد منبعی که مشتری ارائه داده است، انجام می‌دهد.

معمولا شرکت‌های حسابرسی توصیه دیگری هم برای کاربران دارند:

قبل از استفاده از اطلاعات ارائه شده در این صفحه، بررسی‌های لازم را انجام دهید.

این توصیه غیرمنطقی به‌نظر می‌رسد؛ زیرا اگر هر فردی می‌توانست بررسی‌های لازم را در مورد یک پروژه یا قرارداد هوشمند انجام دهد، دیگر چه نیازی به شرکت‌های حسابرسی وجود داشت؟ شرکت‌های حسابرسی‌‌ نه تنها پروژه را به‌طور کامل ارزیابی نمی‌کنند، بلکه صرفا بر اساس اطلاعات ارائه شده توسط مشتری انجام می‌شوند.

بنابراین کافی است صاحب پروژه کلاهبرداری، اطلاعات یک قرارداد هوشمند عاری از اشتباه را به موسسه حسابرسی بدهد تا بتواند در هر پلتفرمی ادعا کند که نتایج ارزیابی پروژه مثبت است. شاید بدترین قسمت ماجرا این باشد که تنها با همین حسابرسی، افسانه بی‌نقص بودن پروژه ادامه پیدا کند.

در ۲ اکتبر ۲۰۲۲ (۱۰ مهر ۱۴۰۱) یک تجمیع‌کننده دکس میان‌زنجیره‌ای به نام ترنسیت سواپ (Transit Swap) به ارزش بیش از ۲۳ میلیون دلار هک شد. در آن زمان، دقیقا در بخش انجام تراکنش‌ها در وبسایت صرافی، این پیام وجود داشت؛ «قرارداد اگریگیتور ترنسیت سواپ توسط پک‌شیلد آدیت می‌شود.»

یک‌بار دیگر باید تاکید کنیم که پروژه‌ها از آدیت به عنوان ابزار استفاده می‌کنند تا ادعا کنند که پلتفرم و وجوه کاربران ایمن هستند. پس از هک ترنسیت سواپ، زمانی که انگشت‌های اتهام به سمت موسسه حسابرسی رفت و کاربران مدعی شدند که احتمالا آن‌ها کار خود را به درستی انجام نداده‌اند، پک‌شیلد در پیامی اعلام کرد؛ «قراردادی که هک شده است، جزء موارد حسابرسی‌شده نبوده است.»

این سناریو نشان می‌دهد که کلاهبردارن چقدر راحت می‌توانند از قراردادهای هوشمند حسابرسی‌شده به عنوان ابزاری برای ترغیب کاربران به اعتماد کورکورانه استفاده کنند. حالا که حتی پروژه‌های ظاهرا قانونی هم برای ایجاد حس اعتماد، فقط بخشی از پروتکل خود را حسابرسی می‌کنند و به این فکر نمی‌کنند که ممکن است هک شدن سایر بخش‌های پروتکل میلیون‌ها دلار سرمایه کاربران را بر باد بدهد، چطور می‌توان مانع پروژه‌های کلاهبرداری شد؟

۲. آدیت‌ها به‌طور خودکار اصلاح نمی‌شوند

اینجا هم دوباره بحث ناآگاهی و درک نادرست کاربران در میان است. تصور کاربر از یک قرارداد حسابرسی شده، این است که نقایص احتمالی توسط موسسه شناسایی و تصحیح می‌شوند. در‌حالی‌که اگر بین حسابرس و پروژه، توافقی برای بازنویسی کدها انجام نشده باشد، معمولا تیم پروژه مسول رفع نقایض امنیتی است.

۳. سلب مسئولیت شرکت‌های حسابرسی

شرکت‌های حسابرسی وب ۳ کار بسیار سختی دارند و به همین دلیل ترجیح می‌دهند که این مسئولیت را به گردن سایر شرکت‌ها بیاندازند. برخلاف سایر صنایع، آن‌ها مشتریان خود را به سمت شرکت‌های رقیب هدایت می‌کنند. به‌طور مثال پک‌شیلد این‌طور عنوان می‌کند:

از آنجایی که یک آدیت نمی‌تواند جامع باشد، توصیه می‌کنیم برای اطمینان از امنیت قراردادهای هوشمند، چندین آدیت مستقل و یک برنامه باگ بانتی (Bug Bounty) را اجرا کنید.

موسسات حسابرسی در موقعیت بسیار عجیب‌ و غریبی هستند؛ شرکت‌هایی که به آن‌ها پول می‌دهند، همان‌هایی هستند که قرار است نقره داغ شوند و مشخص شود که آیا قانونی هستند یا کلاهبرداری و آیا قرار است از‌ طریق یک درب پشتی رمزارزهای پروژه را سرقت کنند. بنابراین ممکن است موسسات حسابرسی تحت فشار شدید قرار بگیرند تا مجوزی برخلاف واقعیت صادر کنند. شرکت‌های حسابرسی تازه‌تاسیس و آسیب‌پذیر، مقاومت کمتری در برابر این فشارها دارند. نمونه بارزی از فشار بر موسسات حسابرسی، راه‌اندازی یک کمپین افتراآمیز از سوی پروتکل سافو (Safuu) نسبت به موسسه سرتیک است.

همان‌طور که پیش‌تر اشاره شد، پروتکل‌های دیفای دوست دارند از همان بدو تولد، فرآیند حسابرسی آتی خود را اعلام کنند. پروتکل سافو دقیقا همین کار را کرد؛ آن‌ها وعده دادند که بعد از آدیت توسط شرکتی به نام سالیدتی فایننس (Solidity Finance)، توسط موسسه بسیار معتبر سرتیک حسابرسی می‌شوند.  

اظهارات پروتکل Safuu در مورد آدیت توسط سرتیک:

قرارداد هوشمند Safuu Protocol مراحل پایانی را سپری می‌کند و سطح رتبه‌بندی امنیتی (ETA) آن ۱۰ سپتامبر و احتمالا زودتر اعلام می‌شود. پس از استقرار قرارداد، یک آدیت کامل توسط موسسه Solidity Finance و سپس حسابرسی دقیق‌تری توسط شرکت Certik انجام خواهد شد.

پروتکل سافو درصد بازده سالانه (APY) را برای ۱۲ ماه نخست سرمایه‌گذاری، معادل ٪۳۸۲,۹۴۵ اعلام کرده بود. این بخش از قرارداد هوشمند توسط سرتیک ارزیابی شد و هیچ مورد مشکوکی پیدا نشد. سافو تصور کرد که با پرداخت پول به سرتیک، توانسته این شرکت را بخرد تا در مورد نقایض امنیتی قرارداد سکوت می‌کند. اما در ۲۲ مارس ۲۰۲۲ (۲ فروردین ۱۴۰۱) سرتیک  اعلام کرد:

تیم بسیار ماهر ارزیابی تقلب و احراز هویت سرتیک، پروژه سافو را به دلیل شاخص‌های پرریسک در خصوص ارتباط مالک و تیم سافو با پروژه‌های پرخطر قبلی از فهرست خود حذف کرد. توصیه می‌کنیم با این پروژه تعامل نداشته باشید.

پس از این بیانیه، سرتیک با اتهامات «تهمت، دستکاری بازار، توهین به شخص و تقلب در سرمایه‌گذاری» مواجه شد. همچنین بابت خسارت ناشی از «رفتار غیرحرفه‌ای و فعالیت غیرقانونی» مجبور به پرداخت ۲.۴ میلیون دلار غرامت شد.

توییت برایان لجند (Bryan Legend) مدیرعامل سافو:

اگرچه بسیار دیر است؛ اما تنها راه‌حل این است که سرتیک ضمن عذرخواهی رسمی و عمومی، اعلام کند که حذف سافو اشتباه بوده است و پول را برگرداند.

لطفا این پیام را به مدیرعامل خود برسانید و تا ۲۴ ساعت آینده پاسخ دهید. در غیر این صورت، برای پیگیری‌های قانونی اقدام خواهد شد.

هواداران سافو در شبکه‌های اجتماعی به سرتیک حمله کردند. همچنین سعی کردند تا با ثبت نظرات توهین‌آمیز در سایت نظر‌سنجی تراست پایلوت (TrustPilot) آن‌ها را به ایجاد فاد (FUD)، دستکاری بازار و رفتار غیرحرفه‌ای متهم کنند.

پتار اسمیلاجکو (Petar Smilajkov) توسعه‌دهنده وب و مدیرعامل کلاود پراپلر (Cloud Propeller) نظرش را در مورد موضوع این‌‌طور عنوان می‌کند:

نمی‌دانم که توکن SAFUU کلاهبرداری هست یا خیر، اما رفتار سرتیک را غیرحرفه‌ای می‌دانم. آن‌ها به‌طور عمومی در توییتر اعلام کردند که نام مشتری را (که ظاهرا ۲۵ هزار دلار بابت خدمات به سرتیک پرداخت کرده است) تنها به دلیل ارتباط با پروژه‌های ناموفق قبلی از سایت خود حذف کرده‌اند.

کریپتو یک فضای پرریسک است و تعداد زیادی از پروژه‌ها شکست می‌خورند. هیچ مدرکی دال بر ارتباط تیم سافو با پروژه‌های راگ‌ پول ندیده‌ام، پروژه‌های ادعایی سرتیک فقط پروژه‌های ناموفق هستند.

بهتر بود سرتیک این‌طور می‌گفت: «ما در حال ارزیابی پروتکل سافو (احراز هویت و …) هستیم. به کاربران توصیه می‌کنیم به دلیل مشارکت مالک (اعضای تیم) در پروژه‌های «نه‌چندان موفق» تا زمانی که اطلاعات دقیق‌تری به‌دست بیاوریم، بیشتر احتیاط کنند. مانند همیشه تحقیقات (DYOR) خود را انجام دهید و مراقب باشید.»

این رویکرد، رفتار حرفه‌ای تری بود. سافو یک پروژه میلیون دلاری است و توییت غیرمسئولانه سرتیک باعث کاهش ٪۵۰ شده است و ممکن ضررهای بیشتری را به سرمایه‌گذاران تحمیل کند. فقط زمان حقیقت را نشان می‌دهد و اگر ادعای سرتیک ثابت شود، من حرف‌های خود را پس می‌گیرم. در هر صورت، فکر می‌کنم برای مواجهه با مسائل یک راه درست (به‌ویژه برای موسسه باقدرت و بانفوذی مانند سرتیک) و یک راه اشتباه وجود دارد.  

در ۹ ماه می (۱۹ اردیبهشت) یک یوتیوبر معروف با نام مستعار کافی‌زیلا (Coffeezilla) که در کانال خود کلاهبرداری‌های آنلاین را بررسی می‌کند، در ویدئویی کل ماجرای سافو را از سابقه بد مدیرعامل تا نحوه ساخت پروتکل و احتمال اگزیت اسکم (کلاهبرداری) پروژه را افشا کرد.

طبق پیش‌بینی، در ۲۱ نوامبر ۲۰۲۲ (۳۰ آبان ۱۴۰۱) سافو از طریق راگ پول (Rug Pulled)، ۶ میلیون دلار کلاهبرداری کرد. اگر سرتیک زنگ خطر اولیه را به صدا در نیاورده بود، این مبلغ می‌توانست خیلی بیشتر باشد.

تبدیل آدیت به ابزاری برای به دام انداختن کاربران؛ ۳ مطالعه موردی

به‌طور کلی کلاهبرداران برای تبدیل آدیت به ابزاری برای به‌دام‌انداختن کاربران ناآگاه از روش‌های مختلفی استفاده می‌کنند. در ادامه به چند روش آن‌ها در ۳ پرونده ارز دیجیتال اشاره می‌کنیم:

۱. پرونده DeFiAi

پروژه DEFI AI نمونه بارزی است که از آدیت برای فریب کاربران استفاده کرده است. طبق معمول، داستان با راه‌اندازی پروتکل شروع شد و آن‌ها اعلام کردند که در دسامبر ۲۰۲۱ (آذر ۱۴۰۰) حسابرسی انجام می‌شود.

آن‌ها در ادامه از همکاری خود با سه شرکت حسابرسی معتبر سرتیک، پک‌شیلد و هکن خبر دادند. در آگوست ۲۰۲۲ (مرداد ۱۴۰۱) موسسه هکن ضمن اعلام همکاری بلندمدت با DeFiAi گفت که این پروژه موفق به کسب امتیاز ۸.۷۵ از ۱۰ شده است و آن را «پروژه‌ای کاملا ایمن» نامید. شرکت DeFiAi این همکاری جدید را در حساب توییتری خود پین کرد.

توییت DeFiAi در مورد شرکت‌های حسابرس پروژه:

خرسندیم که اعلام کنیم توکن DeFiAi به‌طور رسمی در ژانویه ۲۰۲۲ (دی ۱۴۰۱) راه‌اندازی می‌شود. حسابرسی‌های DeFiAi توسط شرکت‌هایی مانند Certik انجام خواهد شد.

با هدف قدردانی از حمایت بلندمدت، کاربران اولیه مشمول دریافت مقداری زیادی از توکن‌های رایگان DeFiAi خواهند شد.    

توییت DeFiAi در مورد همکاری با موسسه هکن:

ما به‌طور رسمی با Hacken یکی از بزرگ‌ترین شرکت‌های امنیت سایبری همکاری می‌کنیم. هدف ما ارائه امنیت کامل به کاربران است. ما تمام تلاش خود را در این زمینه انجام می‌دهیم.

توییت موسسه Hacken در مورد همکاری با DeFiAi:

مفتخر هستیم که همکاری بلندمدت با DeFiAiOfficial را اعلام کنیم. یک پروتکل کاملا جدید در حوزه دیفای که استخراج نقدینگی را آسان‌تر، امن‌تر و سودآورتر از همیشه می‌کند؛ حتی در یک بازار نزولی.   

در ۱۹ اکتبر ۲۰۲۲ (۲۷ مهر ۱۴۰۱) پروتکل DeFiAI، نتایج یکپارچه حسابرسی‌ها در هر سه موسسه آدیت را در کانال دیسکورد خود پست کرد.  

در ۱۲ نوامبر ۲۰۲۲ (۲۱ آبان ۱۴۰۱) دیفای ای‌آی در یک پست توییتری اعلام کرد که «قرارداد و فرانت‌اند در حال بازنگری هستند، لطفا صبور باشید.»

در نهایت در ۱۳ نوامبر ۲۰۲۲ (۲۲ آبان ۱۴۰۱) این پروتکل ادعا کرد که هک شده است.

توضیحات DeFiAI در مورد هک پروتکل:

قرارداد ما هک شده است و متحمل خسارت زیادی شده‌ایم.

به‌منظور تامین امنیت وجوه، قرارداد را بعد از رفع نقض امنیتی مجددا باز می‌کنیم.

اما عملا هیچ هکی اتفاق نیفتاده بود. آن‌ها فقط قصد داشتند در پس یک هک جعلی، کلاهبرداری خروج را پنهان کنند و در نهایت ۴.۱۷ میلیون دلار از سرمایه کاربران را سرقت کردند. پروتکل DeFiAi از آدیت‌ها به عنوان یک پنل تبلیغاتی استفاده کرد و توانست در نقش یک پروتکل دیفای قانونی، میلیون‌ها کاربر را جذب پروژه غیرقانونی خود کند. در این پرونده اشاره به دو نکته لازم است:

۱. همان زمان که هکن امتیاز حسابرسی DeFiAI را ۸.۷۵ اعلام کرد و آن را یک پروژه کاملا ایمن نامید، در تاریخچه آدیت دیفای ای‌آی در وبسایت هک امتیاز ۷.۵ ثبت شده بود.

به‌علاوه با بررسی صفحه امتیاز دهی قرارداد نکته دیگری آشکار شد. اگرچه مجموع امتیازها، همان ۸.۷۵ اعلام شده است؛ اما اگر تک‌تک امتیازها را جمع کنیم به عدد ۶.۸۷۵ می‌رسیم.  

فارغ از این اشتباه عجیب در محاسبه امتیازها، در گزارش حسابرسی DeFiAi دو زنگ هشدار وجود داشت که احتمال کلاهبرداری بودن پروژه را تقویت می‌کرد:

• کیفیت پایین کد اولیه

موسسه پک‌شیلد به کیفیت کد، امتیاز ۲.۵ از ۱۰ داده بود. البته این بدان معنا نیست که هر پروتکل دیفای که کیفیت کد پایینی داشته باشد را باید مظنون به کلاهبرداری خروج بدانیم. اما به‌هر حال نشانه بی‌دقتی در ساخت پروتکلی است که قرار است از سرمایه مردم محاظت کند؛ مگر اینکه هدف چیز دیگری باشد و صاحب پروتکل بخواهد با پول کاربران فرار کند.

• امتیاز پایین برای کیفیت اسناد

موسسه هکن به کیفیت اسناد، امتیاز ۵ از ۱۰ داده و تاکید کرده‌است که «مشتری اطلاعات فنی و فانکشنال سطحی و ناکافی ارائه کرده است.» بنابراین عدم ارائه مستندات لازم یک زنگ هشدار است و احتیاط بیشتری را می‌طلبد.

۲. حذف شدن تاریخچه حسابرسی DeFiAi در وبسایت سرتیک

اطلاعات آدیت DeFiAi از وبسایت سرتیک حذف شد و اگر لینک آن در کانال دیسکورد وجود نداشت، بررسی این آدیت کلا غیرممکن می‌شد.

به‌هرحال با استفاده از رابط کاربری بایگانی وی‌بک ماشین (Wayback Machine) ردپای این آدیت پیدا شد:

این ردپا دو نکته را نشان می‌دهد؛ اولا ادعای DeFiAi مبنی بر آدیت توسط Certik صحت داشته است. ثانیا نشان می‌دهد که برخی موسسه‌های حسابرسی عادت دارند، تمام اطلاعات پروژه‌های آدیت‌شده‌ای را که به پروژه کلاهبرداری تبدیل می‌شوند، از فهرست خود حذف می‌کنند.

۲. پرونده هوپ فایننس (Hope Finance)

کلاهبرداری Hope Finance ماجرای عجیبی دارد. در ۲۰ فوریه ۲۰۲۳ (۱ اسفند ۱۴۰۱) تیم پروژه اعلام کرد که یکی از اعضای آن‌ها (که اطلاعات هویتی او را در فضای آنلاین منتشر کردند) ۲ میلیون دلار از وجوه پروژه را در روز راه‌اندازی سرقت کرده است.

با توجه به اینکه تایید تراکنش راگ پول به هر سه اکانت موجود در قرارداد چندامضایی نیاز داشته است، برخی معتقدند که کل تیم در این کلاهبرداری دست داشته است. نکته قابل‌توجه دیگر این است که «هویت واقعی» عضوی که به عنوان کلاهبردار معرفی شد، به‌نظر کاملا جعلی و یک فتوشاپ ناشیانه بوده است. همچنین سایر اعضا که هویتشان فاش نشده است، بعد از آخرین توییت خود در مورد نحوه برداشت وجوه (البته از یک پروتکل خالی) ناپدید شدند. به‌نظر می‌رسد، هوپ فایننس یک کلاهبرداری خروج (Exit Scam) بوده است که به یک راگ‌پول پیچیده یک‌طرفه تبدیل شده است.

فرقی نمی‌کند کلاهبرداری کار یکی از اعضا بوده یا کل تیم، یا حتی کل تیم همان یک نفر بوده است؛ نحوه کلاهبرداری خروج مشخصا در کد قرارداد وجود داشته است و از دید حسابرسان دو موسسه پنهان مانده بود.

هوپ فایننس دو بار پیش از کلاهبرداری (۹ و ۷ روز قبل) اعلام کرد که دو آدیت را با موفقیت پشت‌سر گذاشته است.

توییت هوپ فایننس در مورد دو حسابرسی موفق:

خرسندیم اعلام کنیم که کد برنامه غیرمتمرکز هوپ فایننس نخستین آدیت را در موسسه Auditrate Tech با موفقیت پشت‌سر گذاشت.

مفتخریم اعلام کنیم که دومین آدیت کد پروژه توسط CognitosAudit انجام شد. از تیم توسعه‌دهنده به خاطر انجام تعهدات و تلاش فران تشکر می‌کنیم.

موسسه حسابرسی Cognitos در عین حال که موفق به کشف دو آسیب‌پذیری مهم (اصلاح‌کننده نادرست و ورود مجدد) در عملکرد قرارداد هوشمند شده بود، مجوز حسابرسی را برای هوپ فایننس صادر کرده بود. موسسه حسابرسی Auditrate Tech هم بعد از کلاهبرداری پروژه، تمام اطلاعات مربوطه به غیر از گواهی KYC را از سایت خود حذف کرد.

هوپ فایننس هم مانند DeFiAi از آدیت به عنوان راهی برای اعتمادسازی کاربران و جذب سرمایه در پروژه کلاهبرداری خود استفاده کرد و میلیون‌ها دلار سرمایه کاربران را نابود کرد. حالا این سوالات مطرح است که چطور شرکت‌های حسابرسی برجسته متوجه روش پنهان درب پشتی نمی‌شوند؟ چرا یک قرارداد هوشمند با آسیب‌پذیری بالا موفق به دریافت مجوز می‌شود؟ چرا موسسات حسابرسی تمام تاریخچه اطلاعات و ردپای آدیت پروژه‌هایی که به کلاهبرداری تبدیل می‌شوند را حذف می‌کنند؟

به هر حال آنچه که مسلم است این است که کلاهبرداران هیچ نگرانی بابت آدیت قرارداد پروژه خود ندارند؛ زیرا می‌دانند که از عهده آن برمی‌آیند.

۳. پرونده کوکومو فایننس (Kokomo Finance)

کوکومو فایننس نیز با وجود اینکه توسط موسسه 0xGuard حسابرسی شده بود، در ۲۷ مارس (۷ فروردین) به روش راگ پول، ۴ میلیون دلار کلاهبرداری کرد. این آدیت فقط برای بخش توکن قرارداد انجام شده بود، نه برای کل پروتکل.

سوالات متداول (FAQ)

سخن پایانی

دنیای امور مالی غیرمتمرکز یک فضای هیجان‌انگیز و در عین حال با ریسک بالا است. هر روز تعداد زیادی پروتکل جدید و به‌روز‌رسانی‌های مختلف معرفی می‌شوند. به همین دلیل امنیت پروتکل‌ها و حسابرسی قراردادهای هوشمند برای سرمایه‌گذاران مسئله بسیار مهمی‌ است؛ اما متاسفانه در برخی موارد موسسات حسابرسی علی‌رغم شناسایی نقایص امنیتی، تحت فشار پروژه مجوز آن را صادر می‌کنند. بعلاوه حسابرسی های جعلی در فضای کریپتو، طعمه‌ای برای معتبر جلوه دادن پروژه و جذب کاربر است. در آدیت‌های جعلی، صاحب پروژه فقط قراردادی را که عاری از اشتباه است به موسسه ارائه می‌دهد و صرفا بر اساس همین ارزیابی، در هر پلتفرمی ادعا می‌کند که پروژه ایمن است. کلاهبرداری Hope Finance یا DeFi AI با ترفند حسابرسی جعلی، نشان می‌دهد که بخش حسابرسی وب ۳ برای تضمین امنیت وجوه کاربران و حفظ اعتبار خود به اقدامات جدی نیاز دارد.

نظر شما در مورد حسابرسی های غیر واقعی در فضای کریپتو چیست؟ از سه گزینه اقدامات نهادهای نظارتی، تعهدات موسسات حسابرسی و آگاهی بخشی به کاربران، کدام یک نقش مهم‌تری در پایان دادن به این هرج ومرج دارند؟