Læsetid: 6 minutter
Solana hævder at være det hurtigst voksende blockchain-netværk på grund af dets højere skalerbarhed. Betjent på proof-of-history konsensus er hele grunden til dens større skalerbarhed ved behandling af op til 710,000 transaktioner i sekundet.
På trods af Solanas enorme popularitet, er sikkerheden af dets smarte kontrakter ikke grundigt testet. Og test er lige så afgørende for at levere brandværdien som lovet til partnerne og fremme investorens pålidelighed på dit projekt.
I denne artikel vil vi afvikle de mulige Solana-kodningsfejl, og hvordan revision hjælper med at identificere og rette dem.
Forskellige scenarier af hacks på Solana Blockchain forklaret
Ormehulshack
Wormhole, en blockchain-bro, der letter tokeniserede udvekslinger mellem forskellige blockchains, slutter sig til rækken af hackede kryptoprojekter. Det samlede tab af midler er omkring $320 millioner - en af de største hvidvaskbegivenheder inden for kryptoområdet.
Historien om hack
Som vi ved, tillader Wormhole overførsel af aktiver mellem forskellige blockchains. Men spørgsmålet er, hvordan det gøres?
Token oprettet på hver kæde, dvs. Ethereum eller Solana, styres af de smarte kontrakter. Og for at overføre tokens godkendes transaktionerne af Guardians, der kontrollerer, om de prægede tokens er korrekt genereret ved at verificere deres signaturer.
I Ormehul-hændelsen, den verificere _signatur funktion udnyttes, hvormed hackeren oprettede en instruktion med falske data for at validere deres transaktioner.
Herigennem skabte hackeren en signatursæt indeholdende tilstrækkeligt antal signaturer, der kræves til Validator Action Approval (VAA). Derved fik hackeren adgang til at igangsætte den uautoriserede udmøntning.
Herved var hackeren i stand til at lægge hænder på 120,000 indpakkede Ethereum til en værdi af $320 millioner og plyndre dem væk.
Crema Finance Hack
Crema Finance, likviditetsprotokollen på listen over Solana blockchain-projekter, led et hack, der tabte $8.78 millioner.
Hacks historie
Hackeren implementerede en smart kontrakt for at tage et flashlån på Solana og tilføje likviditet til Crema. Prisdataene blev derefter manipuleret, hvilket gjorde det muligt for hackerne at få det til at se ud som om de ejer et enormt gebyrbeløb— alle med falske data.
Crema-holdet sporede strømmen af penge, som hackeren formåede at bytte fra Solana til Ethereum. Holdet advarede straks hackeren om at returnere de stjålne midler ved at acceptere dusøren.
Og kort efter returnerede hackeren midlerne og beholdt $1.6 mio. som en dusør for hvid hat.
Cashio Hack
Cashio (CASH), en indfødt algoritmisk støttet stablecoin fra Solana, tabte hele $52.8 millioner på grund af uendelig mint-fejl. Efter dette gik værdien af mønten fra $1 til $0.00005, hvilket styrtede DeFi-økosystemet.
Historien om hacket
Ved at udnytte Cashios kodebase prægede hackeren først to milliarder CASH tokens. Hvad var der galt med koden?
The Infinite Mint Glitch— Denne fejl i protokollen giver brugeren adgang til at præge et hvilket som helst antal tokens uden at stille sikkerhed. Brugeren kan derefter sælge disse prægede tokens i børserne, hvilket styrter prisen på mønten.
I Cashio exploit brændte hackeren fra de to millioner CASH tokens til Sabre USDT-USDC LP tokens. Liquidity Pair-tokenserne byttes derefter til USDC- og USDT-tokens, hvilket resulterer i, at $52.8 mio.
Hvordan beskytter man projekter mod hacks og tyverier?
Selvom sikkerhed altid er et arbejde i gang, kan de afprøvede og testede teknikker, der er vedtaget af udviklere og revisorer, afbøde hackere fra nemt at udføre angreb.
Sikkerhedsforanstaltninger har vist sig effektive til at eliminere styringsangreb, prisorakelmanipulation, genindtræden-fejl osv. Så lad os nu finde de sikkerhedsforanstaltninger, der afholder angribere fra at udnytte kontrakter og hvidvaske penge.
Smart kodning af kontrakter: Skriv kontrakter ved hjælp af sikker kodningspraksis, som omfatter brug af testede biblioteker, anbefalelsesværdigt programmeringssprog, implementering af særlig sikkerhed på tegnebøger, tydelig definition af funktioner og så videre.
Actionize blockchain-sikkerhedstjekliste: Mange velundersøgte ressourcer er tilgængelige, som kan tjekkes igennem for at sikre beskyttelse mod hacks.
Brug af sikkerhedsrevisionsværktøjer: Open source-sikkerhedsscannere er tilgængelige til at udføre automatiske sårbarhedstjek på kontrakter og identificere potentielle fejl i kontrakterne.
Det er dog muligvis ikke effektivt til at opdage fejl, men det hjælper til en grundlæggende kontrol. Forskellige slags revisionsværktøjer hjælper med at identificere fejl i blockchain og smarte kontrakter som MythX, Echidna, Manticore, Oyente, SmartCheck osv.
Foretag Pentesting og revisionsydelser: Sidst, men ikke mindst, kan revision af smarte kontrakter aldrig undervurderes. Minutters smuthuller hjælper hackerne med at finde en måde at trænge ind på og ødelægge kontrakterne.
Sikkerhedsrevisioner og periodisk pentesting analyserer projektet grundigt og eliminerer selv de mindste muligheder for hackerne. Efter at have vidst, at revisions- og pentesting-tjenester har større betydning for at tilbyde sikkerhed, lad os trinvist forstå, hvordan det gøres.
Revisions rolle i sikring af smarte kontrakter
Revision involverer en række trin fra automatiseret test til manuel gennemgang, der bredt dækker alle aspekter af kodning og kontrol af eventuelle svage punkter i koden. Nogle af de specifikationer, der er dækket i Solana-revisionsprocessen, omfatter;
- Funktionstjek
- Fastfrysning af en kontrakt
- Manipulering af tokenforsyning
- Bruger balance manipulation
- Kill-switch mekanisme
- Driftsforsøg og begivenhedsgenerering og så videre
Trin fulgt af QuillAudits for at revidere en Solana Smart-kontrakt
Revisionen af Solanas smarte kontrakter udføres med den største omhu, og en veluddybende revisionsrapport leveres med alle analyserne fra revisionen. Trin-for-trin arbejdsgangen er angivet nedenfor.
Trin 1 - Indsamling af detaljer
Idéen og det påtænkte formål med projektet indsamles og studeres fra klienten for at forstå og få fuldstændig viden om koden og dens funktion. Når diskussionerne er slut, fryser revisorerne koden for at gå videre til næste trin i revisionsprocessen.
Trin 2 - Manuel test
Vores erfarne interne revisorer tjekker for forviklingerne og sårbarhedsproblemerne i koden. Det inkluderer at kigge efter matematiske fejl, logiske problemer osv.
Trin 3- Funktionalitetstest
Denne proces omfatter test af kontrakter under forskellige betingelser og verifikation af data hentet af Solanas smarte kontrakter. Den smarte kontrakt er testet for at sikre, at de tilsigtede handlinger udføres korrekt.
Trin 4- Test af nyeste angrebsvektorer
De seneste angreb studeres, og test udføres på smarte kontrakter for at sikre, at de yder fuld modstand mod angreb. Det inkluderer kontrol for angreb såsom markedsmanipulation, LP-priser, frontløbende vektorer osv.
Trin 5- Automatiseret værktøjstest
Værktøjer som Soteria, cargo-Clippy, cargo-audit og specialiserede værktøjer til Solana smart kontraktrevision er implementeret for at holde øje med eventuelle fejl. Vi implementerer også teknikker som fnugdannelse for at sikre, at vi kan artikulere virkelige angrebsvektorer så meget som muligt.
Trin 6- Indledende revisionsrapport
Den første revisionsrapport præsenterer fejlene i kontrakten, og derefter sender vi den til udviklerteamet for at løse dem.
Trin 7- Endelig revisionsrapport
Rapporten testes for de rettelser, som udviklingsteamet har foretaget, og derefter afleveres den endelige revisionsrapport.
Sidste tanker,
Vægten på behovet for Solanas smarte kontraktrevisionstjenester at løse de tænkelige fejl og tekniske uheld for at beskytte dem mod hackere, gøres klart heraf.
Og for ikke at nævne, QuillAudits har ekspertisen bevæbnet med helt avancerede værktøjer og teknikker til at udføre revisionstjenesterne og levere sikre resultater. Du behøver ikke søge andre steder, da vi kun er et klik væk.
Ofte Stillede Spørgsmål
Hvad er Solanas smarte kontraktkodningssprog?
Solana smart kontrakt er skrevet ved hjælp af Rust programmeringssprog med programmet indeholdende Solana-specifikke mekanismer.
Er Solana hurtigere end Ethereum?
Ja, Solana kan behandle op til 70,000 transaktioner i sekundet og Ethereum kun 30 transaktioner. Blokeringstiden for Solana er også et sekund, mens Ethereum er 15 sekunder.
Hvad er de største udfordringer, som Solanas smarte kontrakter står over for?
De generelle problemer, som Solanas smarte kontrakt står over for, omfatter forældede afhængigheder, redundant/gentagen kode, uinitialiseret hukommelse i rustkode osv.
Hvordan reviderer du Solanas smarte kontrakter?
QuillAudits udfører en dybdegående undersøgelse af komponenterne i smarte kontrakter og biblioteker importeret bortset fra rustkodning. Vi laver manuel kodegennemgang og laver en udtømmende scanning for at verificere programmets input via Fuzzing.
Hvad er betydningen af smart kontraktrevision?
Blockchain tiltrækker milliarders opmærksomhed, inklusive hackere. Kort sagt er revision afgørende for at forebygge potentielle sårbarheder og sikre projektets troværdighed.
156 Views
- Bitcoin
- blockchain
- Blockchain og smart kontraktsikkerhed
- overholdelse af blockchain
- blockchain konference
- coinbase
- coingenius
- Konsensus
- kryptokonference
- krypto minedrift
- cryptocurrency
- decentral
- Defi
- Digitale aktiver
- ethereum
- machine learning
- ikke fungibelt symbol
- plato
- platon ai
- Platon Data Intelligence
- Platonblockchain
- PlatoData
- platogaming
- Polygon
- bevis for indsatsen
- Quillhash
- Smart kontraktrevision
- Smart kontrakt sikkerhed
- W3
- zephyrnet