وقت القراءة: 6 دقائق
A "عقد الذكية"عبارة عن مجموعة من التعليمات التي تعمل على Ethereum Blockchain. للتدقيق ، يعني عقد إيثيريوم الذكي ضمان أنه آمن من التهديدات المحتملة ونقاط الضعف الشائعة.
بينما في السيناريو الحالي ، فإن الاختراقات وعمليات الاستغلال المتعلقة بالعقود الذكية في أعلى مستوياتها على الإطلاق ، فهي عاصفة تستحق الثناء لأنها تؤدي إلى تطورات وتحسينات في منصات DeFi، مما يجعلها أكثر أمانًا.
عندما نتحدث عن أمان العقود الذكية ، لا يمكننا التخلي عن "أهمية عمليات تدقيق العقود الذكية."تدقيق العقود الذكي هو عملية للتحقق من أكواد العقود الذكية بناءً على معايير مختلفة. وفي الأقسام القادمة ، سنقوم بتحليل أهمية تدقيق العقود الذكي ، والأساليب المتعددة للتدقيق الذكي للعقود ، والخطوات المتضمنة في تدقيق عقد إيثريوم الذكي.
أهمية تدقيق العقود الذكي
لفهم سبب طلب أي صاحب مصلحة تدقيقًا ذكيًا للعقد بشكل أفضل ، نحتاج إلى النظر في الماضي القريب ومعرفة الخسائر الهائلة التي تم تكبدها عبر منصات DeFi المختلفة.
- شبكة بولي : خسارة 600 مليون دولار
- Lendf.me - خسارة 25 مليون دولار ؛
- Synthetix - خسارة 37 مليون سيث ؛
- BZX - خسارة 645 ألف دولار.
هذه ليست سوى عدد قليل من الاختراقات الحديثة. حسب تقرير جديد-
"استحوذت DeFi على أكثر من 75٪ من Crypto Hacks في عام 2021. وهذا يصل إلى 361 مليون دولار ، أي 2.7 مرة أكثر من عام 2020."
CipherTrace
هذه الأعداد الضخمة مخيفة ، لكن كان من الممكن التخفيف من حدة هذه الهجمات بسهولة إذا كانت منصات DeFi قد اتخذت تدابير وقائية. في حين أن بعض الهجمات قد تكون شديدة ، إلا أنه كان من الممكن تجنب معظمها بسهولة.
تتمثل إحدى أفضل الطرق للحفاظ على منصة DeFi في مأمن من التهديدات المستقبلية المحتملة في التعرف على جميع الهجمات السابقة. للقيام بذلك ، أحد أفضل الموارد هو سجل SWC الذي يقدم قائمة بجميع نقاط الضعف في العقود الذكية وأمثلة لمعالجتها.
المصدر SWC سجل
إذن ما هي تلك الخطوات الذهبية للتدقيق الذكي للعقود التي ، عند اتباعها ، يمكن أن تساعد منصات DeFi المختلفة على توفير الملايين؟
مناهج عالمية لتدقيق العقود الذكي
هناك طريقتان معتمدتان على نطاق واسع لمراجعة العقود الذكية:
- تحليل الكود اليدوي
- تحليل الكود التلقائي
تحليل الكود اليدوي
إنها عملية فحص الكود سطراً بسطر لتحديد نقاط الضعف المحتملة. إنها عملية معقدة تتطلب المهارة والخبرة والمثابرة والصبر. لتحسين أمان مشروع DeFi ، يعد إجراء تحليل الكود اليدوي أفضل طريقة لتحديد نقاط الضعف التي قد يتركها تحليل الكود التلقائي.
في أغلب الأحيان ، نواجه سؤالاً متكررًا جدًا - "كم عدد الأشخاص الذين يجب أن يشكلوا فريق مراجعة الكود؟". في QuillAudits, نضع أمن المشروع أولاً ؛ ومن ثم لدينا فريق مراجعة من المراجعين ذوي الخبرة والمهارة للنظر في ديناميكيات رمز العقد الذكي.
على الرغم من وجود بعض القيود على التحليل اليدوي للكود ، مثل تجاوز المخزن المؤقت (خاصة أخطاء "off-by-one") ، والشفرة الميتة ، وبعض الأخطاء الأخرى التي قد يتجاهلها المراجع البشري أحيانًا ، إلا أنها مناسبة بشكل أفضل للأتمتة تحليل للعثور عليهم.
تحليل الكود التلقائي
يوفر تحليل الكود التلقائي الوقت والمال لأنه يستخدم اختبارات اختراق مختلفة للعثور على نقاط الضعف. نحن في QuillAudits الاستفادة من مختلف الأدوات مفتوحة المصدر الداخلية لتعظيم نتائج عمليات تدقيق الأمان. بعض من أفضل الأدوات المستخدمة من قبل المدققين الداخليين لدينا هي:
- ميثكس - خدمة أمان عقد ذكية تقوم بفحص مشروعك بناءً على التحليل الثابت والتحليل الديناميكي والتنفيذ الرمزي. لاستخدام MythX يتطلب مفتاح API من mythx.io.
- ميثريل - أداة تحليل أمان لعقود إيثريوم الذكية. إنه يفحص مجموعة من المشكلات الأمنية - التدفقات السفلية الصحيحة ، وسحب المالك فوق الأثير ، وغيرها.
- انزلق - إطار تحليل ثابت مكتوب في Python 3 ، وهو يحدد نقاط الضعف ويطبع المعلومات المرئية حول تفاصيل العقد ، ويوفر واجهة برمجة تطبيقات للتحليل المخصص ليتم كتابته بمرونة.
- إيكيدنا - مخلوق غريب يأكل الحشرات! تم تطوير برنامج Haskell للاختبار المبهم / القائم على الملكية لعقود Ethereum الذكية.
- أوينتي - لتحليل كود Ethereum للعثور على نقاط الضعف.
كانت هذه مجرد قائمة موجزة من الأدوات التي استفاد منها فريق المدققين الداخليين لدينا لإجراء تحليل تلقائي للكود. ولكن ما هي تلك الخطوات الذهبية لإجراء تدقيق ذكي للعقد؟
خطوات تدقيق عقد إيثريوم الذكي
على الرغم من أنه قد يكون هناك أكثر من سبب لإجراء تدقيق ذكي للعقد ، فإن الدافع الأساسي هو تأمين منصة Defi الخاصة بك. نحن في QuillAudits اتبع منهجية شاملة لإجراء تدقيق ذكي للعقود.
رقم 1: تجميع أنماط تصميم الكود
إنها واحدة من أهم الخطوات في إجراء تدقيق ذكي للعقد. بالنسبة للشركة التي تجري عمليات التدقيق ، من المهم أن يكون لديها فهم واضح للكود ومواصفات العمل لمنصة العقود الذكية.
# 2: اختبار الوحدة
نجري اختبار وحدة العقد الذكي بمساعدة أدوات تغطية الكود المختلفة. نقوم أيضًا بتنفيذ حالات اختبار الوحدة للتحقق من أن كل وظيفة تعمل بشكل متماسك مع رمز العقد الذكي العام.
# 3: التحليل اليدوي
قد يؤدي التحليل الآلي أحيانًا إلى تقارير إيجابية كاذبة ؛ ومن ثم يصبح إجراء بحث يدوي سطريًا ضروريًا للعثور على نقاط الضعف المحتملة مثل - ظروف السباق ، والاعتماد على ترتيب المعاملات ، والاعتماد على الطابع الزمني ، والمكالمات الخارجية التي تعتمد على الطابع الزمني ، وهجمات رفض الخدمة.
رقم 4: التقرير الأولي
ثم نقدم أمامك تقريرًا أوليًا بجميع الأخطاء والأخطاء التي يتعين على فريقك إصلاحها.
# 5: رمز ثابت
إصلاح جميع الأخطاء والأخطاء المكتشفة في التحليل الأولي ثم إرسالها إلى المراجعين للمراجعة النهائية.
رقم 6: التحليل الثابت والتحقق الرسمي
نقوم بإجراء مراجعات للكود باستخدام أدواتنا الآلية مفتوحة المصدر الداخلية للكشف عن أي ثغرات أو أكواد ضارة في العقد الذكي.
رقم 7: تقرير المراجعة النهائي
يتم تقديم تقرير التدقيق النهائي أمام العميل ونشره على GitHub ليتمكن أي شخص من الرجوع إليه.
هذه هي الإستراتيجية الشاملة التي يتبعها فريق المدققين المهرة داخل الشركة ، على الرغم من أنه من الواضح أن عقدك الذكي يخضع للتدقيق مرتين بنفس السعر.
أثناء تدقيق مشروع DeFi مرة واحدة لا يضمن أمانه ، نوصي بتدقيقه مرتين (أو) ثلاث مرات على الأقل. في الماضي ، كانت هناك حوادث مثل اختراق "Popsicle Finance" لـ $20M. تم تدقيقه مرتين ، ولكن تم استغلاله أيضًا بسبب ثغرة أمنية مشتركة.
لذلك ، فإن حوادث مثل هذه تحدد بوضوح أهمية تدقيق العقود الذكي - "الأكثر الأفضل!".
كلمات أخيرة
حسنًا ، إذا كنت معنا حتى هنا ، فأنت على دراية بكيفية تدقيق عقد إيثريوم الذكي.
في حين أن العدد المتزايد من عمليات اختراق DeFi واستغلاله قد يثير قلقك ، إلا أن إجراء تدقيق قوي ذكي للعقد من شركة جديرة بالثقة مثل QuillAudits سيوفر لك ملايين الدولارات.
1,624 المشاهدات
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://blog.quillhash.com/2023/02/08/how-properly-auditing-an-ethereum-smart-contract-can-save-you-millions/
- 000
- 1
- 10
- 2020
- 2021
- 7
- a
- من نحن
- في
- اعتمد
- التطورات
- إنذار
- الكل
- تحليل
- تحليل
- و
- أي شخص
- API
- اقتراب
- الهجمات
- التدقيق
- دققنا
- التدقيق
- المدققين
- التدقيق
- الآلي
- أوتوماتيك
- على أساس
- لان
- يصبح
- قبل
- يجري
- أفضل
- أفضل
- سلسلة كتلة
- العازلة
- البق
- دعوات
- لا تستطيع
- حمل
- تحمل
- الحالات
- واضح
- بوضوح
- زبون
- الكود
- مراجعة التعليمات البرمجية
- COM
- تأتي
- مشترك
- حول الشركة
- مجمع
- شامل
- الشروط
- إدارة
- عقد
- عقود
- استطاع
- تغطية
- مخلوق
- التشفير
- اختراق التشفير
- على
- ميت
- الصدمة
- منصة DeFi
- منصات التحدي
- الحرمان من الخدمة
- اعتماد
- تصميم
- تفاصيل
- المتقدمة
- اكتشف
- لا
- فعل
- دولار
- ديناميكي
- دينامية
- كل
- بسهولة
- ضمان
- أخطاء
- خاصة
- ethereum
- Ethereum blockchain
- ويبحث
- دراسة
- أمثلة
- الخبره في مجال الغطس
- تمكنت
- استغلال
- مآثر
- خارجي
- مألوف
- قليل
- نهائي
- شركة
- الاسم الأول
- ثابت
- يتبع
- متابعات
- قبل كل شيء
- رسمي
- قادم، صريح، يظهر
- الإطار
- متكرر
- تبدأ من
- وظيفة
- مستقبل
- جمع
- دولار فقط واحصل على خصم XNUMX% على جميع
- GitHub جيثب:
- Go
- الذهاب
- الذهبية
- ضمان
- الإختراق
- الخارقة
- مساعدة
- هنا
- مرتفع
- كيفية
- HTTPS
- ضخم
- الانسان
- يحدد
- تحديد
- تنفيذ
- أهمية
- أهمية
- تحسن
- تحسينات
- in
- معلومات
- في البداية
- تعليمات
- المشاركة
- مسائل
- IT
- احتفظ
- القفل
- يترك
- القيود
- قائمة
- بحث
- الثغرات
- خسارة
- خسائر
- جعل
- يصنع
- كتيب
- كثير
- كثير من الناس
- تعظيم
- يعني
- الإجراءات
- آلية العمل
- طرق
- مليون
- ملايين
- الأخطاء
- مليون
- مال
- الأكثر من ذلك
- أكثر
- متعدد
- ضروري
- حاجة
- جديد
- عدد
- أرقام
- ONE
- المصدر المفتوح
- أخرى
- أخرى
- الخطوط العريضة
- الكلي
- المعلمات
- الماضي
- الصبر
- مجتمع
- نفذ
- إصرار
- المنصة
- بلاتفورم
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- محتمل
- أشاد ومدح
- يقدم
- قدم
- الهدايا
- السعر
- ابتدائي
- مطبوعات
- عملية المعالجة
- البرنامج
- تنفيذ المشاريع
- ويوفر
- نشرت
- وضع
- بايثون
- سؤال
- كويلهاش
- سباق
- نطاق
- سبب
- الأخيرة
- نوصي
- سجل
- ذات صلة
- تقرير
- التقارير
- تطلب
- يتطلب
- بحث
- الموارد
- نتيجة
- مما أدى
- مراجعة
- التعليقات
- ارتفاع
- قوي
- يجري
- خزنة
- نفسه
- حفظ
- سيناريو
- أقسام
- تأمين
- أمن
- تدقيقات الأمن
- الخدمة
- طقم
- حاد
- ينبغي
- مهارة
- ماهر
- سمارت
- عقد الذكية
- مراجعة العقود الذكية
- أمن العقود الذكية
- العقود الذكية
- So
- بعض
- تحدث
- مواصفات
- أصحاب المصلحة
- خطوات
- عاصفة
- الإستراتيجيات
- هذه
- فريق
- تجربه بالعربي
- الاختبار
- اختبارات
- •
- التهديدات
- عبر
- الوقت
- مرات
- الطابع الزمني
- إلى
- أداة
- أدوات
- جدير بالثقة
- فهم
- فهم
- وحدة
- us
- تستخدم
- مختلف
- تحقق من
- مرئي
- نقاط الضعف
- الضعف
- طرق
- ابحث عن
- التي
- في حين
- على نحو واسع
- سوف
- عامل
- أعمال
- سوف
- مكتوب
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- نفسك
- زفيرنت