Tôi đã kiểm tra hơn 200 báo cáo phân tích blockchain trong 5 năm qua. Nhưng chưa bao giờ thấy một báo cáo nào rỗng như cái tôi nhận được tuần trước.
Mười bốn trang, đầy đủ khung biểu đồ, bảng đánh giá rủi ro, ma trận đội ngũ – nhưng mọi ô dữ liệu đều ghi 'N/A – Thông tin không đủ'. Dự án giấu tên. Công nghệ giấu tên. Tokenomics giấu tên. Thậm chí cả nguồn tin cũng là 'Không xác định'.
Lỗ hổng không ngủ. Lỗ hổng lớn nhất không phải trong smart contract, mà trong cách chúng ta chấp nhận những báo cáo vô hồn này như một thứ gì đó có giá trị.
Context: Chu kỳ thổi phồng của ngành
Thị trường giảm. Ai cũng muốn một phao cứu sinh: báo cáo phân tích độc lập. Các dự án cạnh tranh nhau thuê audit, viết whitepaper, công bố tokenomics. Nhưng có một xu hướng đáng sợ: càng ngày càng nhiều dự án chỉ đưa ra những thông tin mang tính trang trí – đúng form, đúng mẫu, nhưng không có dữ liệu thật.
Đây không chỉ là sự lười biếng. Đây là một chiến thuật: xây dựng một vỏ bọc ‘đã được phân tích’ để hút thanh khoản từ những nhà đầu tư không có thời gian đọc kỹ. Một báo cáo trống rỗng nhưng có bố cục đẹp còn nguy hiểm hơn một báo cáo sai sót – bởi nó tạo ảo giác về sự minh bạch.
Trong audit thực tế, tôi từng gặp một giao thức DeFi mang tên 'LiquiSwap'. Đội ngũ phát triển cung cấp cho tôi một 'báo cáo kỹ thuật sơ bộ' dày 120 trang, trong đó 90% là lý thuyết về AMM, chỉ 10% mô tả thực tế contract của họ – và phần đó có 3 lỗ hổng nghiêm trọng. Họ cố tình nhấn chìm dữ liệu quan trọng trong biển văn bản vô dụng.
Báo cáo trống là một dạng của kỹ thuật obfuscation. Không phải giấu thông tin, mà là giấu việc không có thông tin.
Core: Tháo gỡ có hệ thống – Cấu trúc của một báo cáo rỗng
Hãy mổ xẻ báo cáo tôi nhận được. Nó có đủ 9 phần: kỹ thuật, tokenomics, thị trường, sinh thái, tuân thủ, đội ngũ, rủi ro, tường thuật, chuỗi giá trị. Mỗi phần đều có bảng biểu, đồ thị giả lập, nhưng trường dữ liệu chính đều trống.
Ví dụ, phần Tokenomics: - Loại token: N/A - Mô hình cung: N/A - Tỷ lệ phân bổ: 100% 'Không xác định' - APR hiện tại: N/A - Tỷ lệ doanh thu thực: N/A
Điều đáng sợ là người viết báo cáo này đã dành rất nhiều thời gian để tạo ra vỏ bọc hoàn hảo. Họ biết rõ cách làm cho một báo cáo trông có vẻ chuyên nghiệp: màu sắc hài hòa, font chữ đẹp, footnote đầy đủ. Nhưng không có một số liệu thực tế nào.
Từ kinh nghiệm audit của tôi, có ba cấp độ của 'báo cáo giả': 1. Cấp độ 1 – Sai dữ liệu: Cố tình đưa số liệu không đúng. Dễ phát hiện nếu kiểm tra chéo. 2. Cấp độ 2 – Thiếu dữ liệu: Bỏ trống một số ô quan trọng. Người đọc có thể tự suy luận nhưng rủi ro cao. 3. Cấp độ 3 – Vỏ rỗng: Có đầy đủ cấu trúc nhưng không có dữ liệu thực ở bất kỳ ô nào. Đây là cấp độ nguy hiểm nhất vì nó lừa được cả những người có kinh nghiệm – họ thấy 'đã có báo cáo', mặc kệ nội dung.
Báo cáo tôi nhận được thuộc cấp độ 3. Một kiệt tác của sự trống rỗng.
Mọi hợp đồng thông minh đều có điểm mù. Nhưng điểm mù lớn nhất nằm ở những thứ không được viết ra, không được kiểm tra.
Tôi đã thử tìm kiếm dự án được nhắc đến trong báo cáo (nếu có) qua các công cụ blockchain. Không có địa chỉ contract, không có ví deployer, không có lịch sử giao dịch. Dự án này có thể là một kế hoạch chưa từng tồn tại, hoặc đã được lên kế hoạch biến mất ngay sau khi huy động vốn.
Contrarian: Phần phe bò đúng
Nhưng hãy đứng về phía phe bò một chút. Có những lý do chính đáng để một báo cáo phân tích 'thiếu thông tin'.
Thứ nhất, trong giai đoạn thị trường giảm, nhiều dự án cố tình giữ bí mật thông tin chi tiết để tránh bị copycat. Một số dự án Layer2 mới thực sự có công nghệ đột phá, họ chỉ công bố whitepaper chung chung trước, rồi mới tiết lộ dần.
Thứ hai, không phải dự án nào cũng có tokenomics từ ngày đầu. Một số giao thức DeFi khởi đầu với mô hình không token, sau đó mới phát hành. Báo cáo trống về tokenomics có thể phản ánh đúng hiện trạng.
Thứ ba, về mặt kỹ thuật, một số dự án chưa có contract nào được triển khai trên mainnet. Audit chỉ có thể thực hiện trên testnet hoặc whitepaper. Khi đó, bảng phân tích kỹ thuật sẽ trống một cách trung thực.
Tôi từng audit một oracle của dự án AI+Crypto tên 'NeuralPrice'. Ở giai đoạn đầu, họ chỉ có một repo GitHub với 200 dòng code giả. Mọi báo cáo phân tích đều ghi 'Không có contract thực thi'. Đó là sự thật, không phải lừa dối. Sau 6 tháng, họ ra mắt sản phẩm thật và tôi phát hiện lỗi nghiêm trọng trong thuật toán lấy mẫu dữ liệu. Nhưng báo cáo ban đầu trống là đúng.
Vấn đề không nằm ở sự trống rỗng, mà nằm ở việc dự án có chủ ý lợi dụng sự trống rỗng đó để đánh lừa hay không. Ranh giới rất mong manh.
Takeaway: Trách nhiệm thuộc về ai?
Báo cáo phân tích trống là tấm gương phản chiếu sự thiếu minh bạch của toàn ngành. Nhà đầu tư vội vàng ký hợp đồng, dự án vội vàng thuê audit, nhà phân tích vội vàng xuất bản. Kết quả là một hệ sinh thái của những con số không.
Liệu bạn có dám đọc kỹ từng ô trong báo cáo trước khi đổ tiền? Hay bạn chỉ nhìn vào bố cục đẹp và tự nhủ 'có báo cáo rồi, an toàn'?
Lỗ hổng không chỉ nằm trong code. Đôi khi nó nằm trong chính cách chúng ta đọc. Hãy là người kiểm tra khó tính nhất. Nếu báo cáo không có dữ liệu, hãy đặt câu hỏi. Nếu dự án không trả lời, hãy bỏ qua.
Một báo cáo rỗng có giá trị duy nhất: dạy chúng ta rằng không có thông tin cũng là một thông tin.