Mỗi lần thấy ai đó thổi phồng “chúng tôi đã được kiểm toán, mã nguồn GitHub là mã nguồn mở, tuyệt đối an toàn”, tôi lại muốn cười. Thứ gọi là báo cáo kiểm toán đó, nói thẳng ra chỉ giống như giấy khám sức khỏe. Lúc khám thì cơ thể bạn đang ổn, nhưng điều đó chẳng chứng minh ngày mai bạn sẽ không đột ngột qua đời. Còn kho GitHub thì càng không nói làm gì: code có viết đẹp đến mấy, chỉ cần việc nâng cấp thay đổi quyền kiểm soát đa chữ ký, hoặc trong hợp đồng giấu một cái “cửa hậu”, thì bạn căn bản không thể nhìn ra.



Gần đây, các L1/L2 mới phát hành chương trình khuyến khích để kéo TVL, người dùng cũ lại đang than “đào rồi bán”. Thực ra thứ người mới nên xem không phải là con số TVL, mà là danh sách địa chỉ nâng cấp đa chữ ký và quyền hạn. Cũng như đi thuê nhà vậy: chủ nhà nói căn nhà đã được sửa sang xong, nhưng bạn phải xem trong hợp đồng có điều khoản nào kiểu “bất cứ lúc nào cũng có thể tăng tiền thuê” hay không. Người nắm giữ đa chữ ký là ai? Là chính đội dự án hay là cộng đồng? Nếu chỉ có 3 địa chỉ, mà 2 trong số đó thuộc cùng một nhóm, thì căn nhà này bất cứ lúc nào cũng có thể bị “tháo dỡ”.

Tóm lại, thói quen của tôi là: trước hết xem lịch sử commit trên GitHub, xem có ai đó vừa đột nhiên thêm vào hợp đồng một hàm kiểu “rút tiền khẩn cấp” không; rồi xem báo cáo kiểm toán, xem có “vấn đề đã biết” nào bị bỏ qua không; cuối cùng đi tra ngưỡng ký và người nắm giữ của đa chữ ký. Đừng tin mấy câu “luôn đồng thuận”, kẻ thống trị thật sự là thanh khoản.
L1-84,79%
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
  • Phần thưởng
  • Bình luận
  • Đăng lại
  • Retweed
Bình luận
Thêm một bình luận
Thêm một bình luận
Không có bình luận
  • Đã ghim