Kort om Ethereum Smart Contract Audit

Læsetid: 6 minutter

A "smart kontrakt” er et sæt instruktioner, der kører på Ethereum Blockchain. For at auditere betyder en ethereum smart kontrakt at sikre, at den er sikret mod potentielle trusler og almindelige sårbarheder. 

Mens hacks og udnyttelser relateret til smarte kontrakter i det nuværende scenarie er på et rekordhøjt niveau, er det en storm at blive rost for, fordi det resulterer i fremskridt og forbedringer for DeFi-platforme, hvilket gør dem mere sikre. 

Når vi taler om sikkerheden ved smarte kontrakter, kan vi ikke give slip på "vigtigheden af ​​smart kontraktrevision.” Smart kontraktrevision er en proces til at krydsverificere smarte kontraktkoder baseret på forskellige parametre. Og i de kommende afsnit vil vi analysere vigtigheden af ​​smart kontraktrevision, flere tilgange til smart kontraktrevision og trin involveret i revision af en Ethereum smart kontrakt. 

Vigtigheden af ​​Smart Contract Audit

For bedre at forstå, hvorfor enhver interessent ville kræve smart kontraktrevision, er vi nødt til at se ind i den seneste tid og se de omfangsrige tab på tværs af forskellige DeFi-platforme. 

• Poly-netværk : 600 millioner dollars tab
• Lendf.me – tab på 25 mio. USD;
• Synthetix – 37 mio. sETH-tab; 
• bZx – $645 tab. 

Dette er blot nogle få seneste hacks. Ifølge en ny rapport-

"DeFi har tegnet sig for over 75 % af Crypto Hacks i 2021. Det svarer til $361 millioner, 2.7 gange mere end i 2020." 

CipherTrace

Disse enorme tal er skræmmende, men disse angreb kunne let have været afbødet, hvis disse DeFi-platforme kunne have truffet forebyggende foranstaltninger. Selvom nogle af angrebene kan være alvorlige, kunne de fleste af dem nemt have været afværget. 

En af de bedste måder at holde din DeFi-platform sikker mod potentielle fremtidige trusler er at gøre dig bekendt med alle tidligere angreb. For at gøre det er en af ​​de bedste ressourcer SWC-registret, der præsenterer en liste over alle sårbarheder i intelligent kontrakt og eksempler på at tackle dem. 

Kilde: SWC udvidelse register 

Så hvad er de gyldne trin af smart kontraktrevision, som, når de følges, kan hjælpe forskellige DeFi-platforme med at spare millioner? 

Universelle tilgange til smart kontraktrevision 

Der er to vidt udbredte metoder til smart kontraktrevision:

• Manuel kodeanalyse
• Automatisk kodeanalyse

Manuel kodeanalyse

Det er processen med at undersøge koden linje for linje for at identificere de potentielle sårbarheder. Det er en kompleks proces, der kræver dygtighed, erfaring, vedholdenhed og tålmodighed. For at forbedre sikkerheden i DeFi-projektet er gennemgang af den manuelle kodeanalyse i det væsentlige den bedste måde at identificere de sårbarheder, som den automatiske kodeanalyse kan efterlade. 

Oftest støder vi på et meget hyppigt spørgsmål - "Hvor mange mennesker skal udgøre kodegennemgangsteamet?". På QuillAudits, vi sætter sikkerheden i projektet først; derfor har vi et review-team af erfarne og dygtige revisorer til at se på dynamikken i den smarte kontraktkodeks.

Selvom der er nogle begrænsninger ved den manuelle kodeanalyse, såsom bufferoverløb (især "off-by-one" fejl), død kode og nogle andre fejl, som nogle gange kan blive overset af en menneskelig anmelder, er de bedre egnede til automatiseret analyse for at finde dem. 

Automatisk kodeanalyse 

Automatisk kodeanalyse sparer tid og penge, da den bruger forskellige penetrationstests til at finde sårbarheder. Vi kl QuillAudits udnytte forskellige interne open source-værktøjer for at maksimere resultaterne af sikkerhedsrevisioner. Nogle af de bedste værktøjer i klassen, der bruges af vores interne revisorer, er:

• MythX – En smart kontraktsikkerhedstjeneste, der undersøger dit projekt baseret på statisk analyse, dynamisk analyse og symbolsk udførelse. For at bruge MythX kræver en API-nøgle fra mythx.io.
• Mythril – Et sikkerhedsanalyseværktøj til Ethereum smarte kontrakter. Den undersøger en række sikkerhedsproblemer – heltalsunderløb, ejer-overskrivning-til-Ether-tilbagetrækning og andre. 
• Slither – En statisk analyseramme skrevet i Python 3, den identificerer sårbarheder og udskriver visuel information om kontraktdetaljer og giver en API til, at den tilpassede analyse kan skrives fleksibelt. 
• echidna – Et mærkeligt væsen, der spiser insekter! Et Haskell-program udviklet til fuzzing/ejendomsbaseret test af Ethereum smarte kontrakter. 
• Lytter – At analysere Ethereum-kode for at finde sårbarheder. 

Det var blot en kortfattet liste over værktøjer, som vores interne team af revisorer udnyttede til at udføre automatisk kodeanalyse. Men hvad er de gyldne trin til at udføre en smart kontraktrevision? 

Trin til revision af en Ethereum Smart-kontrakt 

Selvom der kan være mere end én grund til at udføre en smart kontraktrevision, er det primære motiv at sikre din Defi-platform. Vi kl QuillAudits følge en omfattende metode til at udføre en smart kontraktrevision.

#1: Indsamling af kodedesignmønstre 

Det er et af de vigtigste trin i at udføre en smart kontraktrevision. For den virksomhed, der udfører revisioner, er det vigtigt at have en klar forståelse af koden og arbejdsspecifikationerne for den smarte kontraktplatform. 

#2: Enhedstest 

Vi udfører smart kontraktenhedstest ved hjælp af forskellige kodedækningsværktøjer. Vi implementerer også unit test cases for at verificere, at hver funktion fungerer i overensstemmelse med den overordnede smart kontraktkode. 

#3: Manuel analyse

Nogle gange kan automatiseret analyse resultere i falsk-positive rapporter; Derfor bliver det nødvendigt at lave linje-for-linje manuel forskning for at finde potentielle sårbarheder som – raceforhold, transaktionsbestillingsafhængighed, tidsstempelafhængige eksterne opkald og lammelsesangreb. 

#4: Indledende rapport 

Vi præsenterer derefter for dig en indledende rapport med alle de fejl og fejl, der skal rettes af dit team. 

#5: Kode rettet

Ret alle de fejl og fejl, der blev opdaget i den foreløbige analyse, og send det derefter til revisorerne til den endelige gennemgang. 

#6: Statisk analyse og formel verifikation

Vi udfører kodegennemgange ved hjælp af vores interne open source automatiserede værktøjer til at opdage eventuelle smuthuller, ondsindede koder i den smarte kontrakt. 

#7: Endelig revisionsrapport 

Den endelige revisionsrapport præsenteres for kunden og offentliggøres på GitHub, så enhver kan henvise til.  

Dette er den omfattende strategi, som vores interne team af dygtige revisorer følger, selvom det er synligt, at din smarte kontrakt bliver revideret to gange til samme pris. 

Selvom revision af et DeFi-projekt én gang ikke garanterer dets sikkerhed, anbefaler vi, at det revideres mindst to gange (eller) tre gange. Tidligere har der været hændelser som hacket "Popsicle Finance" for $ 20M. Den blev revideret to gange, men den blev også udnyttet på grund af en fælles sårbarhed. 

Derfor skitserer hændelser som denne tydeligt vigtigheden af ​​smart kontraktrevision - "jo flere jo bedre!".

Afsluttende ord

Nå, hvis du har været hos os indtil her, er du bekendt med, hvordan en ethereum smart kontrakt revideres. 

Mens det stigende antal DeFi-hacks og udnyttelser kan alarmere dig, udfører du en robust smart kontraktrevision fra et troværdigt firma som f.eks. QuillAudits vil spare dig for millioner af dollars. 

1,624 Views

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://blog.quillhash.com/2023/02/08/how-properly-auditing-an-ethereum-smart-contract-can-save-you-millions/