Hvad gør DeFi Smart Contract Auditing så afgørende

DeFi havde været flagbærer af kryptoboomet i 2020, og varmen nægtede også at dø ned gennem 2021. Med flere og flere mennesker, der skyller deres midler ind i udbytteavl, fortsætter DeFi med at være det i det lange løb.

Du kender måske mange, der multiplicerede deres indtjening med DeFi. Det har ikke været ualmindeligt i kryptokredse at finde folk, der slyngede deres penge 7x or 10x med udbytteavl. Flash-lån har været et vigtigt værktøj i deres hænder, hvilket gør det muligt for dem at flytte deres penge hurtigt mellem protokoller inden for den fastsatte tid og møntguld.

Smarte kontrakters rolle i driften af ​​DeFi

De færreste indser dog, hvilken rolle smarte kontrakter spiller i at køre disse kraftfulde applikationer på en automatiseret måde. Smart kontrakter er uforanderlige computerprogrammer gemt på en blockchain. Disse programmer vil tage en handling, når en forudbestemt betingelse er opfyldt. Takket være den smarte kontrakt kan alle interessenter være sikre på resultatet uden egentlig at blive involveret.

Hvad får smarte kontrakter til at blive til et svagt led

Smarte kontrakter er kommet ud som en banebrydende åbenbaring. Der er dog også en anden side af medaljen. Smarte kontrakter har vist sig at være det svage led i DeFi-økosystemet. Udviklere kan ende med at skrive dårlig kode, hvilket giver de skruppelløse elementer smuthuller til at snige penge og gemme de midler, der er låst i protokollen. Mange DeFi-projekter er splittet fra de eksisterende protokoller. I sådanne tilfælde går fejlene i den eksisterende protokol også videre til den gaflede.

Ofte er udviklere ikke erfarne og vidende nok til at skrive sikker kode. Projekter har en tendens til at ansætte uerfarne udviklere for at spare på omkostningerne, uden at være klar over, at en bunke fejl, som disse mennesker har trukket ud, kan koste dem dyrt. Nogle gange kan udviklere efterlade fejl med vilje for at omdirigere midlerne fra protokollen til deres egne tegnebøger. Og så kan hackerne i mange tilfælde være smarte nok til at opdage fejl og sårbarheder i en tilsyneladende sund kode og slå til uden at vide. Uanset hvordan fejlene har fundet vej til koden, kan disse udgøre en eksistentiel trussel mod projektet.

En oversigt over DeFi-lækager i 2021

Kig på DeFi-udnyttelserne, der skete i 2021, og du vil blive overrasket over at finde det store antal protokoller, der lækkede midler via den smarte kontrakt.

Længe finans – Gerningsmændene udnyttede protokollens flashlånsfunktion til at taske $11 millioner af brugermidler via en smart kontraktudnyttelse.

Alfa Homora – Denne løftestangslikviditetsprotokol blev et offer for en $37.5 million udnyttelse. Udnyttelsen involverede at bruge en funktion, der frigav usikrede lån til pålidelige smarte kontrakter.

Surikat Finans – Smart kontrakthvælving af denne udbytteavlsprotokol på Binance Smart Chain blev angrebet, hvilket resulterede i et tab på ca. 13 millioner BUSD og 73,000 BNB.

BETALT netværk – Et uendeligt mint-angreb på PAID kulminerede i et tab på omkring 180 millioner dollars.

EasyFi – Et angreb på EasyFi, bygget oven på Polygon-netværket, endte med, at angriberen tog aktiver væk $75 millioner.

ForceDAO – Hackere målrettede ForceDAO for at dræne 183 ETH fra protokollen.

Uran Finance – Mens protokollen gennemførte sin token-migrering, blev den udsat for et angreb, der tog op til et tab på $50 millioner.

Spartan – Flere flashlånsangreb på denne BSC-baserede DeFi-protokol førte til et tab på ca $30 millioner.

RARI hovedstad – Hackere drænede udbyttebokse og udlånspuljer af Rari Capital for at påføre et tab på $11 millioner.

Hvordan midler stjæles fra DeFi-protokoller

Der er tre måder at fjerne midler fra DeFi-protokoller på –

Smart kontrakt smuthuller – Det er de smarte kontrakter, der udfører nøglefunktioner såsom likviditet og indsats, hvilket gør dem til et evigt mål for hackerne. Fejl i smarte kontrakter er den primære årsag til udnyttelserne.

Flash-lån – Angribere bruger massive flashlån til at puste prisfeedet op for en specifik stablecoin og multiplicere deres beholdninger i processen. Vi kan dog ikke gøre op med flashlån, da de letter nogle yderst nyttige DeFi-funktioner som arbitrage, sikkerhedsbytte, selvlikvidation og mange flere.

HVORFOR ER FLASH LÅNANgreb DET NYE SORT 🔥🔥?

Penge for ingenting 💸. Det er, hvad Flash-lån betegnes som i #DeFi plads. Men i den seneste tid er forskellige DeFi-platforme blevet suget af over millioner gennem 'Flash Loan'-angreb ⚠️

[1 / 3]#Blockchain pic.twitter.com/7SvGr2SMgL

- QuillAudits (@QuillAudits) Juli 31, 2021

Oracle manipulation – Decentrale netværk kan kun få adgang til eksterne data via orakler. Oracles rolle er afgørende for at få sikre og pålidelige data. Hackere ville forsøge at manipulere orakler for at påvirke tingene til deres fordel. Ligesom flashlån kan du ikke gøre op med oracle, men det du kan gøre er at integrere din protokol med et decentraliseret orakel, som generelt er mere troværdigt.

Skal læses - Hvad man ikke skal glemme, når man reviderer smarte kontrakter i DeFi

Mulige måder at angribe på smarte kontrakter

Der kunne være flere grunde for fejl og sårbarheder i smarte kontrakter. Disse omfatter genindtræden, front-running, ukrypterede on-chain private data, irrelevant kode, beskedopkald med hårdkodet gasmængde, hash-kollisioner med flere variable længde-argumenter, uventet Ether-balance, tilstedeværelse af ubrugte variable, typografiske fejl, DoS med blok gasgrænse, vilkårligt hop med funktionstypevariabel, utilstrækkelig gassorg, forkert arverækkefølge, kravovertrædelse, manglende korrekt signaturverifikation, svage kilder til tilfældighed fra kædeattributter, signaturformbarhed, DoS med mislykket opkald, brug af forældede funktioner, ubeskyttet ether tilbagetrækning og mange flere. Udviklerne bør være opmærksomme på alle disse tilfælde og deres kodebeskrivelser.

Revision af smart kontrakt

En smart kontrakt kræver grundig revision før implementering. Alle opdagelser er forklaret i den endelige rapport sammen med anbefalingerne. Smart kontraktsikkerhedsniveauer måles i overensstemmelse med et sæt specifikationer som kritisk, høj, medium, lav og lavest.

Korrekt revision involverer både automatiske og manuelle kontroller. Automatisk revision implementerer software, der bestemmer den del, der er ansvarlig for hver udførelse, og undersøger, hvor den mulige fejl kan opstå. Manuel analyse involverer et team af erfarne udviklere, der undersøger hver kodelinje. De tjekker muligvis mod en liste over standardsårbarheder eller udfører en sonderende kontrol baseret på deres erfaring.

Indpakning op

Smarte kontrakter er motoren bag DeFi. For at beskytte et DeFi-projekt mod sårbarheder er det bydende nødvendigt at udføre en grundig kontrol af kontrakten. Automatisk såvel som manuel revision skal udføres i tandem for at gøre revisionen så grundig og nøjagtig som muligt. 

Kontakt QuillAudits

QuillAudits er en sikker smart kontraktsrevisionsplatform designet af QuillHash
Technologies.
Det er en revisionsplatform, der omhyggeligt analyserer og verificerer smarte kontrakter for at kontrollere, om sikkerheden er sårbar gennem effektiv manuel anmeldelse med statisk , dynamisk analyseværktøjer, gasanalysatorer samt simulatorer. Endvidere omfatter revisionsprocessen også omfattende enhedstest samt strukturanalyse.
Vi har begge en smart kontrakt revisioner , trænge ind test for at finde potentiale
sikkerhedssårbarheder, der kan skade platformens integritet.

Hvis du har brug for noget hjælp i de smarte kontrakter revision, du er velkommen til række ud til vores eksperter her!

At være ajour med vores arbejde, Join Our Community:-

Twitter | LinkedIn | Facebook | Telegram 

Kilde: https://blog.quillhash.com/2021/10/06/what-makes-defi-smart-contract-auditing-so-pivotal/