สำหรับ Decentralized Application (DApp) ต่าง ๆ การพัฒนา smart contract ให้มีความปลอดภัยนั้นเป็นสิ่งสำคัญอย่างมาก แต่นอกเหนือจากนั้น off-chain component อื่น ๆ (ส่วนของการทำงานที่อยู่นอก Blockchain) ก็มักถูกใช้งานร่วมกับ smart contract เพื่อให้บริการกับผู้ใช้ด้วยเช่นกัน ซึ่งในหลาย ๆ ครั้ง แม้ว่า smart contract จะได้รับการตรวจสอบความปลอดภัยอย่างดีแล้ว แต่แพลทฟอร์มกลับถูกโจมตีผ่านทาง off-chain component ก่อให้เกิดความเสียหายเป็นมูลค่ามหาศาล ตามที่เห็นได้จากหลากหลายตัวอย่าง ไม่ว่าจะเป็น:
- เหตุการณ์ Ronin Network ถูกโจมตีผ่าน Validator RPC Node มูลค่าความเสียหาย $624,000,000 หรือกว่า 20,000 ล้านบาท (https://roninblockchain.substack.com/p/community-alert-ronin-validators)
- เหตุการณ์ BadgerDAO ถูกโจมตีผ่านการสร้าง API Key โดยไม่ได้รับอนุญาต มูลค่าความเสียหายกว่า $121,000,000 หรือกว่า 4,000 ล้านบาท (https://badger.com/technical-post-mortem)
- เหตุการณ์ PancakeSwap ถูกโจมตีโดยการทำ DNS Hijacking (https://medium.com/pancakeswap/dns-incident-recap-36a183a2aee6)
- เหตุการณ์โปรเจกต์ Pirate X Pirate ถูกโจมตีผ่านฟีเจอร์บนเว็บไซต์ที่ไม่ปลอดภัย (https://medium.com/@PirateXPirateNFTsGame/pxp-statement-regarding-the-hacking-incident-and-remedies-44dc97ee0352, https://twitter.com/BlockSecTeam/status/1501474711599198211)
การตรวจสอบความปลอดภัยของระบบทั้งหมดแบบ End-to-End ให้ครอบคลุม smart contract รวมถึง off-chain component ทั้งหมด จำเป็นต้องใช้ผู้เชี่ยวชาญที่มีความรู้ความเข้าใจทั้งในทุกองค์ประกอบที่มีการใช้งาน หากมีความเชี่ยวชาญเพียงส่วนใดส่วนหนึ่ง ก็อาจทำให้ไม่สามารถค้นหาความเสี่ยงได้อย่างครบถ้วน
Inspex ซึ่งเป็นผู้ให้บริการ Blockchain and Smart Contract Security ชั้นนำที่ก่อตั้งโดยทีมงานที่มีประสบการณ์ทั้งด้าน Traditional Cybersecurity และ Blockchain and Smart Contract Security ได้เล็งเห็นถึงปัญหานี้ จึงเปิดให้บริการ End-to-End DApp Security Assessment Service เพื่อตอบโจทย์สำหรับทีมพัฒนา DApp Project ให้สามารถตรวจสอบความปลอดภัยของทั้งระบบได้อย่างครบวงจร เพื่อให้มั่นใจได้ว่าแพลทฟอร์มจะปลอดภัยจากการโจมตีในทุกช่องทาง
บริการ End-to-End DApp Security Assessment คืออะไร ?
บริการ End-to-End DApp Security Assessment Service เป็นการให้บริการแบบผสมผสานระหว่าง Smart Contract Audit Service และ Penetration Testing Service (บริการทดสอบเจาะระบบ)
โดย Smart Contract Audit จะครอบคลุมส่วนประกอบที่อยู่บน Blockchain หรือก็คือ smart contract ต่าง ๆ ของแพลทฟอร์ม และ Penetration Testing จะครอบคลุมส่วนประกอบที่เหลือที่ทำงานอยู่นอก Blockchain (off-chain) ไม่ว่าจะเป็น Website, Server, API, รวมถึง Off-chain service อื่น ๆ ที่มีการใช้งาน
การตรวจสอบแบบครบวงจรนี้ จะทำให้สามารถหาความเสี่ยงของแพลทฟอร์มได้อย่างครบรอบด้าน เพื่อให้ Inspex สามารถเสนอแนวทางป้องกันหรือลดความเสี่ยงที่เหมาะสมต่อระบบของลูกค้าได้
ผู้ใช้บริการ End-to-End DApp Security Assessment จะได้อะไร ?
ผู้ใช้บริการ End-to-End DApp Security Assessment Service ของ Inspex จะได้รับการตรวจสอบความปลอดภัยอย่างครบถ้วนตามมาตรฐานการให้บริการของ Inspex ที่จะครอบคลุมทั้งในส่วนของ smart contract และ off-chain component
โดยเมื่อการตรวจสอบครั้งแรกเสร็จสิ้น ทาง Inspex จะส่งมอบรายงานฉบับเบื้องต้น (Preliminary Report) ที่มีรายละเอียดช่องโหว่หรือความเสี่ยงที่พบอย่างชัดเจน พร้อมทั้งคำแนะนำในการแก้ไข รวมถึงการให้คำปรึกษาเกี่ยวกับการปิดช่องโหว่หรือแนวทางเพิ่มเติมในการลดความเสี่ยง
หลังจากที่ทีมพัฒนาได้ทำการแก้ไขช่องโหว่เสร็จสิ้น Inspex จะทำการตรวจสอบซ้ำ (Reassessment) เพื่อให้แน่ใจว่าช่องโหว่ที่เคยพบในการตรวจสอบครั้งแรก ได้รับการแก้ไขอย่างถูกต้อง เพื่อยืนยันสถานะและจัดทำเป็นรายงานฉบับเต็ม (Full Report) ให้กับลูกค้า
โดยหากช่องโหว่ที่มีความรุนแรงระดับ Medium หรือสูงกว่านั้น ได้รับการแก้ไขทั้งหมด โปรเจคนั้นจะได้รับสถานะ Verified by Inspex และ Badge จากทาง Inspex เพื่อรับรองว่าส่วนที่ได้รับการตรวจสอบนั้นมีความปลอดภัยสำหรับผู้ใช้งาน
นอกจากนั้น Inspex สามารถช่วยประกาศสถานะและผลของการตรวจสอบความปลอดภัยแบบสาธารณะ เพื่อให้ผู้ใช้งานแพลทฟอร์มสามารถเข้าถึงข้อมูลส่วนนี้ได้ผ่านช่องทาง Inspex Library ที่เว็บไซต์ https://app.inspex.co/library
หากสนใจใช้บริการ End-to-End DApp Security Assessment Service สามารถติดต่อได้ทาง Telegram และ email: @InspexCo (https://t.me/InspexCo) และ contact@inspex.co
About Inspex
Inspex is formed by a team of cybersecurity experts highly experienced in various fields of cybersecurity. We provide blockchain and smart contract professional services at the highest quality to enhance the security of our clients and the overall blockchain ecosystem.
For any business inquiries, please contact us via Twitter, Telegram, contact@inspex.co
