وقت القراءة: 6 دقائق
تدعي Solana أنها شبكة blockchain الأسرع نموًا نظرًا لقابليتها العالية للتوسع. يعمل على أساس إجماع إثبات التاريخ هو السبب وراء قابلية التوسع الأكبر في معالجة ما يصل إلى 710,000،XNUMX معاملة في الثانية.
على الرغم من الشعبية الهائلة لشركة Solana ، إلا أن أمان عقودها الذكية لم يتم اختباره بدقة. يعد الاختبار أمرًا بالغ الأهمية في تقديم قيمة العلامة التجارية كما وعد الشركاء وتعزيز موثوقية المستثمر في مشروعك.
في هذه المقالة ، سنزيل عيوب Solana البرمجية المحتملة وكيف يساعد التدقيق في تحديدها وتصحيحها.
شرح السيناريوهات المختلفة للاختراق على Solana Blockchain
دودة هاك
Wormhole ، جسر blockchain الذي يسهل التبادلات الرمزية بين blockchains المختلفة ، ينضم إلى سلسلة مشاريع التشفير التي تم اختراقها. تبلغ الخسارة الإجمالية للأموال حوالي 320 مليون دولار - أحد أحداث غسيل الأموال الرئيسية في مجال التشفير.
تاريخ الاختراق
كما نعلم ، يسمح Wormhole بنقل الأصول بين سلاسل الكتل المختلفة. لكن السؤال كيف يتم ذلك؟
الرمز الذي تم إنشاؤه في كل سلسلة ، مثل Ethereum أو Solana ، يتم إدارته بواسطة العقود الذكية. ولتحويل الرموز ، تتم الموافقة على المعاملات من قبل الأوصياء الذين يتحققون من إنشاء الرموز المميزة بشكل صحيح من خلال التحقق من التوقيعات الخاصة بهم.
في حادثة Wormhole ، كان التحقق من _ التوقيع يتم استغلال الوظيفة التي أنشأ بها المتسلل تعليمات ببيانات مزيفة للتحقق من صحة معاملاتهم.
من خلال هذا ، أنشأ المخترق ملف التوقيع_مجموعة تحتوي على عدد كافٍ من التواقيع المطلوبة للموافقة على إجراء المدقق (VAA). وبالتالي ، تمكن المخترق من الوصول لبدء عملية سك العملة غير المصرح بها.
وبهذا ، تمكن المخترق من وضع 120,000 ألف إيثريوم ملفوفة بقيمة 320 مليون دولار ، وقام بنهبها بعيدًا.
Crema Finance هاك
تعرض Crema Finance ، بروتوكول السيولة في قائمة مشاريع Solana blockchain ، لاختراق خسر 8.78 مليون دولار.
تاريخ هاك
نشر المخترق عقدًا ذكيًا لأخذ قرض سريع على Solana وإضافة سيولة إلى Crema. ثم تم التلاعب ببيانات التسعير ، مما سمح للقراصنة بجعلها تبدو وكأنها تمتلك مبلغًا ضخمًا من الرسوم- كل ذلك ببيانات مزيفة.
تتبع فريق Crema تدفق الأموال التي تمكن المخترق من مبادلتها من Solana إلى Ethereum. وحذر الفريق المتسلل على الفور من إعادة الأموال المسروقة بقبول المكافأة.
وبعد فترة وجيزة ، أعاد المخترق الأموال التي احتفظت بـ 1.6 مليون دولار كقبعة بيضاء.
كاشيو هاك
خسر Cashio (CASH) ، وهو عملة مستقرة أصلية مدعومة خوارزميًا من Solana ، 52.8 مليون دولار بسبب خطأ غير محدود في النعناع. بعد ذلك ، ارتفعت قيمة العملة من 1 دولار إلى 0.00005 دولار ، مما أدى إلى انهيار نظام DeFi البيئي.
تاريخ هاك
من خلال استغلال قاعدة كود Cashio ، قام المخترق أولاً بسك ملياري عملة CASH. ما هو الخطأ في الكود؟
خلل Infinite Mint - يتيح هذا الخطأ في البروتوكول للمستخدم الوصول إلى أي عدد من الرموز المميزة دون وضع أي ضمانات. يمكن للمستخدم بعد ذلك بيع هذه الرموز المميزة في البورصات ، مما يؤدي إلى انهيار سعر العملة.
في استغلال Cashio ، قام المتسلل بحرق مليوني عملة CASH من أجل رموز Sabre USDT-USDC LP. يتم بعد ذلك تبديل الرموز المميزة لزوج السيولة مقابل توكنات USDC و USDT مما أدى إلى استنزاف 52.8 مليون دولار.
كيف نحمي المشاريع من الاختراقات والسرقات؟
على الرغم من أن الأمان دائمًا ما يكون قيد التقدم ، إلا أن الأساليب المجربة والمختبرة التي يعتمدها المطورون والمدققون يمكن أن تخفف من المتسللين من تنفيذ الهجمات بسهولة.
لقد أثبتت الإجراءات الأمنية فعاليتها في القضاء على هجمات الحوكمة ، والتلاعب بالأسعار ، وأخطاء العودة ، وما إلى ذلك ، لذا ، فلنجد الآن الإجراءات الأمنية التي تمنع المهاجمين من استغلال العقود وغسيل الأموال.
الترميز الذكي للعقود: اكتب العقود باستخدام ممارسات التشفير الآمنة ، والتي تشمل استخدام المكتبات المختبرة ولغة البرمجة الموصى بها وتنفيذ أمان خاص على المحافظ وتحديد الوظائف بوضوح وما إلى ذلك.
تفعيل قائمة التحقق من أمان blockchain: تتوفر العديد من الموارد المدروسة جيدًا والتي يمكن التحقق منها لضمان الحماية من الاختراقات.
استخدام أدوات تدقيق الأمن: تتوفر ماسحات ضوئية أمنية مفتوحة المصدر لإجراء فحوصات آلية للثغرات الأمنية في العقود وتحديد العيوب المحتملة في العقود.
ومع ذلك ، قد لا يكون فعالاً في اكتشاف الأخطاء ، ولكنه يساعد في إجراء فحص أساسي. تساعد الأنواع المختلفة من أدوات التدقيق في تحديد الأخطاء في blockchain والعقود الذكية مثل MythX و Echidna و Manticore و Oyente و SmartCheck وما إلى ذلك.
القيام بخدمات التدقيق والتدقيق: أخيرًا وليس آخرًا ، لا يمكن أبدًا التقليل من شأن مراجعة العقود الذكية. تساعد الثغرات الدقيقة المتسللين في العثور على طريقة للتطفل على العقود وتعطيلها.
تدقيقات الأمان والتحليل المختبري الدوري يحلل المشروع بدقة ويقضي حتى على أدنى احتمالات للمتسللين. بعد أن عرفنا أن خدمات التدقيق والتحليل المختبري لها أهمية أكبر في توفير الأمان ، دعنا نفهم بشكل تدريجي كيف يتم ذلك.
دور التدقيق في تأمين العقود الذكية
يتضمن التدقيق سلسلة من الخطوات من الاختبار الآلي إلى المراجعة اليدوية ، والتي تغطي على نطاق واسع جميع جوانب الترميز والتحقق من أي نقاط ضعف موجودة في الكود. تتضمن بعض المواصفات التي تغطيها عملية تدقيق Solana ؛
- فحوصات الوظائف
- تجميد العقد
- التلاعب في توريد الرموز
- التلاعب في رصيد المستخدم
- آلية قتل التبديل
- تجارب التشغيل وتوليد الأحداث ، وما إلى ذلك
الخطوات التي اتبعتها QuillAudits لتدقيق عقد Solana Smart
يتم إجراء تدقيق عقود Solana الذكية بأقصى قدر من العناية ، ويتم تقديم تقرير تدقيق مفصل جيدًا مع جميع التحليلات من التدقيق. سير العمل خطوة بخطوة مذكورة أدناه.
الخطوة 1 - جمع التفاصيل
يتم جمع الفكرة والغرض المقصود من المشروع ودراستها من العميل لفهم واكتساب معرفة كاملة بالشفرة وأدائها. بمجرد انتهاء المناقشات ، يقوم المدققون بتجميد الكود للانتقال إلى الخطوة التالية من عملية التدقيق.
الخطوة 2 - الاختبار اليدوي
يتحقق المدققون الداخليون ذوو الخبرة لدينا من التعقيدات ومخاوف الضعف في الكود. يتضمن البحث عن الأخطاء الرياضية والقضايا المنطقية وما إلى ذلك.
الخطوة 3 - اختبار الوظائف
تشمل هذه العملية اختبار العقود في ظل ظروف مختلفة والتحقق من البيانات التي يتم جلبها بواسطة عقود Solana الذكية. يتم اختبار العقد الذكي لضمان تنفيذ الإجراءات المقصودة بشكل صحيح.
الخطوة 4 - اختبار أحدث نواقل الهجوم
تتم دراسة الهجمات الأخيرة وإجراء الاختبارات على عقود ذكية للتأكد من أنها توفر مقاومة كاملة للهجمات. يتضمن التحقق من الهجمات مثل التلاعب بالسوق ، وتسعير LP ، ونواقل التشغيل الأمامية ، وما إلى ذلك.
الخطوة 5 - اختبار الأداة الآلي
يتم تنفيذ أدوات مثل Soteria و cargo-Clippy وتدقيق البضائع والأدوات المتخصصة لتدقيق العقود الذكية Solana للبحث عن أي أخطاء. نحن أيضا نطبق تقنيات مثل التضبيب للتأكد من أننا قد نقوم بصياغة ناقلات هجوم في العالم الحقيقي قدر الإمكان.
الخطوة 6- تقرير التدقيق الأولي
يعرض تقرير التدقيق الأولي الأخطاء الموجودة في العقد ، ثم نرسلها إلى فريق المطورين لحلها.
الخطوة 7 - تقرير المراجعة النهائي
يتم اختبار التقرير للتصحيحات التي قام بها فريق التطوير ، ثم يتم تقديم تقرير التدقيق النهائي.
افكار اخيرة،
التأكيد على الحاجة إلى خدمات تدقيق العقود الذكية Solana لحل العيوب التي يمكن تصورها والحوادث التقنية لحمايتها من المتسللين يتضح من هذا.
ناهيك عن QuillAudits لديهم الخبرة المسلحة بجميع الأدوات والتقنيات المتقدمة للقيام بخدمات التدقيق وتقديم نتائج مؤكدة. لا تحتاج إلى البحث في مكان آخر لأننا على بعد نقرة واحدة فقط.
الأسئلة الشائعة
ما هي لغة ترميز Solana Smart Contract؟
تمت كتابة عقد Solana الذكي باستخدام لغة برمجة Rust مع البرنامج الذي يحتوي على آليات خاصة بـ Solana.
هل سولانا أسرع من إيثريوم؟
بالتأكيد نعم ، يمكن لـ Solana معالجة ما يصل إلى 70,000 معاملة في الثانية و Ethereum 30 معاملة فقط. أيضًا ، وقت الكتلة في Solana هو ثانية واحدة بينما Ethereum هو 15 ثانية.
ما هي التحديات الرئيسية التي تواجهها عقود سولانا الذكية؟
تشمل المشكلات العامة التي يواجهها عقد Solana الذكي التبعيات القديمة ، والرمز الزائد / المكرر ، والذاكرة غير المهيأة في رمز الصدأ ، وما إلى ذلك.
كيف تقوم بتدقيق عقود Solana الذكية؟
يقوم QuillAudits بإجراء فحص متعمق لمكونات العقود الذكية والمكتبات المستوردة بصرف النظر عن تشفير الصدأ. نقوم بمراجعة الكود يدويًا ونقوم بمسح شامل للتحقق من مدخلات البرنامج عبر Fuzzing.
ما هي أهمية تدقيق العقود الذكي؟
تجذب Blockchain انتباه المليارات ، بما في ذلك المتسللين. باختصار ، يعد التدقيق أمرًا بالغ الأهمية لمنع نقاط الضعف المحتملة وضمان مصداقية المشروع.
156 المشاهدات
- إلى البيتكوين
- سلسلة كتلة
- Blockchain وأمن العقود الذكية
- الامتثال blockchain
- بلوكشين المؤتمر
- coinbase
- عملة عبقرية
- إجماع
- مؤتمر تشفير
- والتشفير التعدين
- العملات المشفرة
- اللامركزية
- الصدمة
- الأصول الرقمية
- ethereum
- آلة التعلم
- رمز غير قابل للاستبدال
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- بلاتوبلوكشين
- أفلاطون داتا
- بلاتوغمينغ
- المضلع
- إثبات للخطر
- كويلهاش
- مراجعة العقود الذكية
- أمن العقود الذكية
- W3
- زفيرنت
