Blockchain-Sicherheit: Wie man Blockchain-Audits versteht, um in DeFi sicher zu bleiben

Das vergangene Jahr war eine ziemlich dunkle Zeit in Krypto. Wir haben nicht nur den katastrophalen Zusammenbruch von Luna, die Entartung von 3 Arrows Capital, Insolvenz- und Bankrottprobleme mit BlockFi, Celsius, Voyager, VAULD und mehr, makroökonomische Bedingungen gesehen, die uns in die Tiefen eines Krypto-Winters gestürzt haben, sondern auch Es war auch ein monumental katastrophales Jahr für Blockchain- und DeFi-Hacks und Exploits, was dazu geführt hat, dass Menschen schneller vor DeFi weglaufen als Schwimmer, die aus von Haien verseuchten Gewässern fliehen.

Jetzt denkst du dir wahrscheinlich, „Wow, danke für das deprimierende Intro. Krypto klingt wie ein Minenfeld!“

Und da liegen Sie nicht falsch, Krypto hat sicherlich seinen gerechten Anteil an Risiken. Aber bevor Sie sich von all diesem Untergang und der Düsternis dazu bringen lassen, Krypto für immer fallen zu lassen und sich unter Ihrem Bett zu verstecken, fürchten Sie sich nicht, denn dieser Artikel wird Ihnen helfen, wie Sie auf die sicherste Weise durch die DeFi-Gewässer navigieren und Ihnen zeigen, was Sie tun müssen über Blockchain-Sicherheitsaudits Bescheid wissen.

Auch wenn dies nicht hilft, sich gegen jedes Risiko in Krypto zu schützen, gibt es keinen Schutz für jemanden, der sich entscheidet, seine Lebensersparnisse in die nächste Memecoin zu „YOLO“, die Informationen in diesem Artikel werden Ihnen zumindest dabei helfen, Sie mit einem weiteren Pfeil in Ihrem Köcher auszustatten die Sie einsetzen können, um Ihre insgesamt sichere Navigation im DeFi-Raum erheblich zu verbessern.

Machen Sie sich keine Sorgen, dass dieser Artikel zu technisch ist, nur um frühzeitig einige Ängste zu zerstreuen. Dieser hilfreiche Leitfaden wird so einfach zu verstehen sein, dass sogar mein Vater, der die gesamte Kryptoindustrie als „das Bitcoin-Zeug“ bezeichnet, ihn verstehen kann.

Und weil ich mich mit den Fähigkeiten der Blockchain-Entwicklung ungefähr so ​​gut auskenne wie ein Stein beim Haareschneiden, habe ich mich entschieden, mir für diesen Artikel professionelle Hilfe und Insider-Tipps zu holen. Ich habe unsere Freunde drüben erreicht Ackee-Blockchain um mir und dem durchschnittlichen Joe beizubringen, worum es bei diesen Blockchain-Audits geht.

Ich möchte dem Ackee-Team ein großes Dankeschön dafür aussprechen, dass es sich die Zeit genommen hat, uns und unserer Community zu helfen, indem es uns die Grundlagen von Blockchain-Audits beibrachte, und dass es mit uns an diesem Artikel zusammengearbeitet hat. Blockchain- und DeFi-Auditberichte sind ein so entscheidend wichtiger Aspekt von Krypto und etwas, das nur sehr wenige von uns wirklich verstehen.

Wenn wir unsere Due Diligence bei der Bestimmung der Sicherheit eines DApp- oder DeFi-Protokolls durchführen, werden viele von uns nach etwas suchen, das besagt, dass die Plattform geprüft wurde, und vielleicht denken: „Okay, gut genug“. Ich weiß, dass ich mich dessen in der Vergangenheit schuldig gemacht habe, aber was bedeutet es eigentlich, geprüft worden zu sein? Wie können wir das überprüfen? Und wie Sie in diesem Artikel erfahren werden, bedeutet das nicht automatisch grünes Licht, nur weil etwas geprüft wurde.

Schauen wir uns zunächst an, was Blockchain-Prüfungsunternehmen tatsächlich tun.

Was machen Blockchain-Prüfungsunternehmen?

Wenn wir den Begriff „Audit“ hören, stellen sich viele von uns automatisch einen spießigen alten Kerl in einem Anzug vor, der für die Regierung arbeitet, der anklopfen und alle unsere Finanzen und Kontoauszüge mit einem feinen Kamm durchgehen wird. In der traditionellen Finanzbranche haben Sie Recht, aber Blockchain-Prüfer könnten nicht weiter davon entfernt sein.

Blockchain-Auditoren sind keineswegs Buchhalter, sondern Experten für Codierungs- und Entwicklerfähigkeiten, die im Quellcode eines Blockchain-Projekts, eines Smart Contract oder eines Krypto-Tokens nach Bugs, Fehlern und bösartigem Code suchen.

Verschiedene Wirtschaftsprüfungsunternehmen können sich auch auf unterschiedliche Bereiche spezialisieren, weshalb es immer gut ist, eine Plattform zu sehen, die von mehr als einem Unternehmen geprüft wurde. Jedes durchgeführte Audit reduziert das Risiko, und ein Unternehmen kann etwas aufgreifen, das das andere Unternehmen übersehen hat.

1inch ist ein großartiges Beispiel dafür. 1inch ist ein DEX-Aggregator, der von mehreren verschiedenen Unternehmen geprüft wurde, was das Vertrauen der Benutzer in die Plattform stärkt und unterstreicht, dass das 1inch-Team ein starkes Engagement für die Gewährleistung der Sicherheit seiner Community hat.

Blockchain-Prüfungsunternehmen verfügen über ein Team von Ingenieuren, die Aufgaben wie die folgenden ausführen können:

• Security Audit
• Werkzeuganalyse
• Manuelle Codeüberprüfung
• Führen Sie automatisierte Tests aus und schreiben Sie sie
• Führen Sie Bug-Bounty-Wettbewerbe durch

Während andere Wirtschaftsprüfungsunternehmen wie Ackee Blockchain auch mehr „Full-Service“-Anforderungen erfüllen und in zusätzlichen Bereichen helfen können, wie zum Beispiel:

• Erstellen sicherer Smart Contracts auf Solidity oder Rust
• Unterstützung beim Aufbau eines vollständigen Ökosystems, Handhabung von UX, Design, Frontends, Backends und DevOps

Ackee Blockchain leistet auch einen Beitrag zur Blockchain-Industrie als Ganzes, was großartig zu sehen ist. Sie haben Open-Source-Sicherheitstools entwickelt, die jeder verwenden kann, und sind leidenschaftlich darin, aufstrebenden Blockchain-Entwicklern Möglichkeiten zu lehren und ihnen Möglichkeiten zu bieten. In der Vergangenheit haben sie Online-Kurse für Entwickler veranstaltet, die in der Blockchain arbeiten möchten, und sogar ein Stipendium von der Solana Foundation erhalten, um einen zu betreiben Sommerschule für Solana.

Das Team bietet Online-Sommerschulen an, in denen sie Solidity unterrichten, und im Herbst 2022 wird der CEO und Mitbegründer von Ackee Blockchain, Josef Gattermayer, Ph.D. werden Themen rund um die Blockchain-Entwicklung an der unterrichten Tschechische Technische Universität in Prag. Es lohnt sich auf jeden Fall, sich an das Akee-Team zu wenden, Anmeldung zu den Kursen auf ihrer Website und folgen Sie ihnen, wenn Sie an einer Zukunft in der Blockchain-Entwicklung und -Sicherheit interessiert sind.

Wie Sie sehen können, kann Blockchain-Audit mehr sein, als nur in einem dunklen Raum herumzutollen und Code zu durchsuchen, es gibt ein ganzes Ökosystem, das in der Nische eingeschlossen ist.

Warum ist Blockchain-Audit wichtig?

Wenn Menschen perfekt wären, gäbe es keine Notwendigkeit für Blockchain-Prüfungsunternehmen, da jede Codezeile fehlerfrei geschrieben und völlig unempfindlich gegen Exploits, Fehler und Angriffe wäre.

Was noch schlimmer ist, als dass Menschen Fehler machen, ist, dass Menschen korrupt und böswillig sein können. Ziemlich häufig kommt es vor, dass Angreifer absichtlich schädlichen Code in ihr Protokoll einfügen, der es ihnen ermöglicht, eine von ihnen erstellte Plattform auszunutzen, um Benutzergelder zu stehlen.

Zwischen menschlichem Versagen und böswilliger Absicht sind Smart Contracts und Blockchain-Anwendungen/DApps anfällig für die folgenden Risiken:

• Denial-of-Service-Angriffe, die das Protokoll unbrauchbar machen.
• Rug Pulls/Hintertür-Diebstahl, bei dem die Gründer bösartigen Code eingeben, der es ihnen ermöglicht, Gelder abzuheben, die in einen Smart Contract eingezahlt wurden.
• Ausnutzen des Codes auf eine Weise, die dem Hacker zugute kommt und Benutzern schadet, z. B. das Prägen neuer Token außerhalb der beabsichtigten Methoden oder das Abziehen von Kundengeldern aus intelligenten Verträgen.
• Einige Hacker wollen einfach „die Welt brennen sehen“ und nutzen jeden Fehler, den sie finden, aus, um eine Plattform zu beschädigen.

Viele DeFi-Benutzer betrachten es als eines der wichtigsten Dinge, auf die man bei einer DeFi-Plattform achten muss, ob der Code Open Source ist oder nicht. Dies ist ein großartiger erster Schritt, da viele Projekte den Code auf einer öffentlichen Website wie Github veröffentlichen, wo jeder hineingehen und den Code selbst überprüfen/verifizieren kann.

Wenn Sie sich die GitHub-Seite eines Projekts ansehen, ist dies häufig eines der Dinge, nach denen Benutzer suchen, die eine DApp verwenden möchten, wobei 1 Zoll erneut als Beispiel verwendet wird:

Dies ist ein guter erster Ansatz, um die Authentizität eines Protokolls zu überprüfen, da hier Community-Mitglieder oder jeder einsteigen und überprüfen kann, ob dort kein bösartiger Code versteckt ist.

Es ist auch hilfreich zu wissen, dass jeder alles auf GitHub posten kann. Der in GitHub veröffentlichte Code bestätigt nicht automatisch, dass dies derselbe Code ist, der den Smart Contract ausführt. Glücklicherweise können Benutzer dies überprüfen, indem sie in einen Block-Explorer wie Etherscan gehen und überprüfen, ob der Code in GitHub tatsächlich bereitgestellt und verwendet wird. Hier ist der 1-Zoll-Token in Etherscan, zum Beispiel. Ich stimme eher dem Gefühl zu, dass Open-Source-Veröffentlichung auf GitHub ein gutes Zeichen ist, aber wenn ich auf GitHub klicke, um einen Blick darauf zu werfen, sehe ich nur Folgendes:

Anstatt also mein Gehirn wie ein Ei auf einem heißen Bürgersteig zu braten, um dies herauszufinden, sehe ich gerne, dass ein Team von Fachleuten einer Blockchain-Prüfungsgesellschaft all dies durchforstet und ihm den Daumen nach oben gegeben hat.

Es ist wichtig, eines klarzustellen, und zwar, dass ein Protokoll, nur weil es geprüft wurde, nicht bedeutet, dass es 100 % sicher ist. Kein Code kann jemals als völlig unempfindlich gegen Hackerversuche angesehen werden, da die Werkzeuge und Fähigkeiten der Hacker immer ausgefeilter werden. So wie (gute) White-Hat-Hacker und Blockchain-Entwickler immer besser werden und sich ständig weiterentwickeln, so sind es auch die Bösewichte.

Man kann es sich wie ein Katz-und-Maus-Spiel vorstellen, das Schreiben von Code ist im Wesentlichen wie das Erstellen eines kreativen Puzzles und das Lösen von Problemen, und Hacker suchen nach Wegen, das Puzzle auf immer cleverere und raffiniertere Weise zu lösen oder anzugreifen, also wird es so sein immer ein Risikofaktor bleiben.

Warum 2022 für Krypto-Exploits besonders schlecht war

Wenn wir Schlagzeilen wie diese sehen:

Es kann ziemlich herzzerreißend sein. Die Kryptoindustrie hat ein ernsthaftes blaues Auge bekommen, da es anscheinend jede Woche einen weiteren massiven Hack oder Exploit gibt, der zu Millionen von verlorenen Geldern führt.

Dies ist nicht nur traurig, da es sich um durchschnittliche Leute handelt, die ihr Geld verlieren, sondern auch besorgniserregend, da diese Angriffe die gesamte Kryptoindustrie zunehmend scharfer Kritik aussetzen, die Akzeptanz verlangsamen, Investoren fernhalten und Regierungen die Ausreden liefern, die sie brauchen, um ihre Autorität zu erhöhen Kontrolle zum „Schutz“ von Investoren, die oft drakonische Maßnahmen auferlegt, denen sich viele von uns an Krypto wandten, um zu entkommen.

Der Hauptgrund dafür ist schlampiges Entwickler-Engineering.

Als ich mich mit Josef von Ackee zusammensetzte, fragte ich ihn, warum es eine Rekordzahl von Exploits gegeben habe, seine Erklärung machte Sinn.

Stark paraphrasierend fuhr Josef fort, mir zu erklären, dass die Kryptoindustrie schnell wächst und es einen erbitterten Wettlauf um die Teams gibt, ihre Produkte auf den Markt zu bringen. Es gibt einen Mangel an qualifizierten und erfahrenen Blockchain-Entwicklern, die in der Lage sind, die Nachfrage zu befriedigen, was dazu führt, dass viele Projekte unerfahrene Entwickler einstellen und eine „gut genug“-Einstellung haben und DApps starten, ohne dass die richtigen Prüfungen und Audits durchgeführt werden.

Josef erklärte weiter, dass der Bedarf an Blockchain-Prüfungsdiensten in die Höhe schnellt und es nicht genügend Blockchain-Prüfungsunternehmen gibt, um die Nachfrage aus Projekten zu decken. Dies hat dazu geführt, dass Projektteams nicht darauf warten wollten, dass ein Audit-Team verfügbar wird, sondern ein Upgrade starten oder veröffentlichen, entweder ohne Audit oder sich auf ein veraltetes Audit verlassen, das dies nicht abdeckt die neue Version oder Iteration einer Plattform.

Dieses Thema war während des Bullenlaufs 2021 besonders präsent, aber jetzt, wo wir uns in einem Bärenmarkt befinden, sind die Dinge viel entspannter. Projekte sind nicht in Eile, um gestartet zu werden, und es gibt weniger Projekte im Auditing-Engpass. Es ist wahr, dass Bärenmärkte die Zeit des Aufbaus sind, und Teams neigen dazu, in langsameren Marktzeiten einen sorgfältigeren Ansatz zu verfolgen.

Wir sind zwei spezifische erfolgreiche Angriffe durchgegangen, um genau zu untersuchen, was passiert ist, um all dies ins rechte Licht zu rücken.

Der Ethereum DAO-Hack von 2016

Was hier passierte, war im Wesentlichen ein sogenannter Re-Entrancy-Bug. Vereinfacht gesagt führt der Code zwei Anweisungen aus:

1. Auszahlung an Stripe
2. Guthaben aktualisieren

Wenn es chronologisch durchgeführt wird, funktioniert es so, wie es sollte. Da Ethereum jedoch ein verteiltes System ist (im Gegensatz zu Web2-Programmen), kann der Vertrag von einem anderen Vertrag aus aufgerufen werden, was eine Option zur Implementierung einer benutzerdefinierten Rückruffunktion bietet, die von der Auszahlungsanweisung aufgerufen wird.

Und diese vom Hacker implementierte Rückruffunktion ruft den Vertrag noch einmal mehrmals auf, bevor die Anweisung zum Aktualisieren des Kontostands schließlich ausgeführt wird. Dadurch kann sich der Angreifer mehrfach zurückziehen.

Dies ist ein häufiger Fehler, der von unerfahrenen Web3-Entwicklern gemacht wird. Selbst 5 Jahre nach diesem Angriff tritt das Problem immer noch auf, weil sich Entwickler nicht die Zeit nehmen, aus diesem Fall zu lernen. Die Lösung ist in diesem Fall ganz einfach, und das heißt, diese beiden Codezeilen einfach in die entgegengesetzte Reihenfolge zu bringen. Erst aktualisieren, dann zurückziehen.

Auditoren suchen nach bekannten Problemen wie diesem, wenn sie ein Protokoll auditieren.

Solana-Wurmlochangriff 2022

Das Jahr 2022 hatte keinen guten Start, da Anfang Februar der erste große Angriff auf Solana stattfand. Der Angreifer hat eine Signaturüberprüfung in einem Rust-Programm umgangen, sodass es so aussah, als hätten die Wächter eine 120-ETH-Einzahlung in Wormhole on Solana unterschrieben, obwohl sie dies nicht getan hatten. Der Angreifer hat dann geprägt Eingewickelte ETH im Wert von 120 auf Solana.

Vor diesem Wurmlochangriff gingen viele in der Krypto-Community davon aus, dass die Entwicklung von Solana und Rust zu schwer zu erlernen sei, um Amateurentwickler anzuziehen. Dies führte zu der Überzeugung, dass nur die besten Entwickler an Solana arbeiteten, was bedeutet, dass Audits nicht so dringend erforderlich waren. Nach diesem Angriff erwähnte Josef, dass er und sein Team einen deutlichen Anstieg der Prüfanfragen für Solana-DApps und -Protokolle verzeichneten.

Nach all dem denken Sie vielleicht, wenn Menschen die Quelle von Fehlern und schädlichen Absichten sind, wäre es dann nicht sinnvoll, einfach Computer und Maschinen mit künstlicher Intelligenz zu haben, die wahrscheinlich keine Fehler machen und nicht zu böswilligen Absichten fähig sind, einfach all diesen Code schreiben für uns?

Das ist eine großartige Frage, und aufgrund von Artikeln wie dem obigen ist mir das auch in den Sinn gekommen. Wir werden das im nächsten Abschnitt behandeln.

Die Zukunft der Blockchain-Sicherheit

Es ist offensichtlich, dass wir uns auf eine Zukunft zubewegen, in der viele unserer Jobs an Computer und KI-Programme ausgelagert werden, die die Arbeit von Menschen viel besser erledigen können als wir.

Wir sehen dies bereits bei automatisierten Kassierern und Autofabriken, die mehr Roboter als Menschen haben. Computer übernehmen sogar hochspezialisierte Jobs wie Ärzte und Apotheker, da ein Roboter mit einem Skalpell präziser sein kann und ein Computerprogramm die gesamte Medikamentendatenbank durchsuchen und innerhalb von Sekunden Berichte darüber erstellen kann, welche Medikamente sich mit anderen Chemikalien vermischen können und welche nicht Medikamente, eine Aufgabe, die für einen Menschen unmöglich ist.

Ich war mir sicher, dass das Programmieren und Entwickeln einer der ersten Jobs sein würde, die durch Computer ersetzt werden. Wenn es alle Buchstaben und Zahlen auf einem Bildschirm sind, die so konstruiert sind, dass sie bestimmte Aufgaben erledigen können, dann könnte ein Computer das doch sicherlich besser als ein Mensch, mit weniger Fehlern, oder?

Ich dachte, Blockchain-Prüfungsunternehmen würden den Weg des Dodo-Vogels (ausgestorben) gehen, denn sobald Computer anfangen, sich autonom zu entwickeln, gibt es keine Fehler mehr zu finden. Dies zeigte, wie wenig ich über die Entwicklung wusste, da das Ackee-Team einige Konzepte erklärte, die ich nicht geschätzt hatte.

Ein großer Teil der Blockchain-Entwicklung besteht darin, Probleme zu lösen und eine 360-Grad-Ansicht eines Problems zu betrachten. Es erfordert viel Kreativität und ein „out of the box“-Denken, das Computer nicht leisten können. Es ist nicht so einfach wie „wenn ‚X‘ passiert, führe ‚Y‘ aus.“

Wir müssen auch berücksichtigen, dass viele dieser DApps und Anwendungen versuchen, „menschliche“ Probleme zu lösen und wie wir mit Systemen, Protokollen und Verfahren interagieren. Tut mir leid, kleiner Butterbot, aber du bist nicht dafür geschaffen, menschliche Probleme zu verstehen und menschliche Lösungen anzubieten.

Nicht nur die Stellen in der Blockchain-Entwicklung und im Sicherheitsbereich schießen in die Höhe, sondern es sieht so aus, als ob diese Rollen in den kommenden Jahren benötigt werden.

Das soll jedoch nicht heißen, dass im Bereich der Web3-Entwicklung keine Automatisierung stattfindet. Es gibt viele kostenlose Tools für Entwickler, die ihnen Feedback zur Sicherheit geben und dabei helfen, einen Teil der Arbeit auszulagern, damit sich die Entwickler auf andere Aufgaben konzentrieren können.

Auf Ethereum gibt es beispielsweise einen guten statischen Code-Analysator mit dem Namen Schlittern Das ist sehr beliebt und Ackee Blockchain arbeitet an einem eigenen statischen Open-Source-Analysator namens Wachte, das Dinge anders erkennt als Slither, wodurch die Belastung durch die manuelle Analyse des Codes verringert wird.

Das Ackee-Team hat auch einen Trend zu Solana bezüglich eines Problems mit Tests aufgedeckt. Die Entwickler haben nicht genug davon geschrieben, da es ziemlich arbeitsintensiv ist und viel Boilerplate-Code geschrieben werden muss. Also leitete Ackee Blockchain ein Projekt, in dem sie ein Open-Source-Testframework namens Solana schrieben Trdelnik Dadurch können Entwickler einfacher Tests schreiben. Das Team erhielt eine lobende Erwähnung und gewann einen Marinade-Preis während a hackathon in Prag für Trdelnik.

All dies zeigt uns, dass Automatisierung und Computer wahrscheinlich eine immer wichtigere Rolle bei der Unterstützung von Blockchain-Entwicklern und Sicherheitsprüfern spielen werden, sie aber wahrscheinlich nicht in absehbarer Zeit ersetzen werden.

Die allgemeine Meinung unter Blockchain-Entwicklern ist, dass viele dieser Hacks und Exploits darauf zurückzuführen sind, dass es sich um eine noch junge und unerfahrene Branche handelt. Da sich die Blockchain-Industrie weiterentwickelt und reift, sollte es immer weniger Exploits geben, was dazu führt, dass der gesamte Kryptoraum sicherer und benutzerfreundlicher wird.

Okay, jetzt kommen wir zu den guten Sachen, dem wichtigsten Takeaway aus diesem Artikel.

So überprüfen Sie, ob eine Plattform geprüft wurde

Der allererste Schritt besteht darin, tatsächlich sicherzustellen, dass ein Audit vorhanden ist. Diese sind im GitHub-Repository des Projekts zu finden, und alle durchgeführten Audits sollten in den Dokumenten des Projekts oder auf der Plattform-Website selbst deutlich erwähnt werden. Wenn Sie keine Erwähnung einer Prüfung finden, würde ich die Finger davon lassen.

Keine öffentlich zugängliche Prüfung bedeutet wahrscheinlich, dass:

• Es wurde kein Audit durchgeführt
• Es gab ein fehlgeschlagenes Audit, von dem das Projekt nicht wissen möchte, dass es bekannt ist
• Bei der Prüfung wurden Probleme entdeckt, die das Team nicht angegangen ist
• Der Code enthält bösartige Backdoor-Routen, die zu Diebstahl führen könnten

Wie bereits erwähnt, ist es auch schön zu sehen, dass der Code Open Source ist, indem er auf GitHub als „öffentlich“ gekennzeichnet ist. Dies ist keine Voraussetzung, aber es ist immer noch ein Bonus. Es gibt jedoch Gründe, den Quellcode nicht zu öffnen, sodass dies nicht immer ein Deal Breaker ist. Gründe, Code nicht zu öffnen, können Dinge sein wie:

• Unternehmen, die einen Wettbewerbsvorteil behalten möchten. Sobald ein Unternehmen seinen Code quelloffen macht, kann jeder dasselbe Protokoll erstellen und konkurrieren. Aus diesem Grund hält Coca-Cola sein Rezept geheim und KFC hat bekanntermaßen seine „streng geheimen 11 Kräuter und Gewürze“.
• Sobald ein Code öffentlich ist, können Hacker die Informationen verwenden, um nach Exploits zu suchen. Obwohl gute Praxis das Gegenteil bewirkt, wird ein Projekt, wenn es von seinem Code überzeugt ist, ihn veröffentlichen.
• Frühe Projekte möchten ihren Code möglicherweise nicht sofort quelloffen machen, bis sie eine große Community und genügend Benutzer aufgebaut haben, was eine Hürde für potenzielle Konkurrenten darstellt.

Ich habe mich kürzlich mit einem Projektteam getroffen, das es sofort bereut hat, seine Plattform offen zu beziehen, da ein konkurrierendes Unternehmen einfach seinen Code und sein Geschäftsmodell kopiert hat und mehr Mittel hatte, um Influencer und Follower zu bezahlen. Dies ließ den Anschein erwecken, dass die konkurrierende Firma von Anfang an die bessere Plattform war, da sie den Eindruck von mehr Benutzern und einer größeren Fangemeinde erweckte. Das konkurrierende Unternehmen ist dem ursprünglichen Gründerteam, das sich für ein stärker organisches und ethisches Wachstum entschieden hat, nun deutlich voraus.

Hier ist ein tolles Bild von Brücke global die einige der allgemeinen Unterschiede zwischen Open-Source- und Closed-Source-Software zusammenfasst:

Zwei interessante Ansätze für Open- und Closed-Source-Code lassen sich beim Vergleich beliebter Hardware-Wallets finden Trezor und Ledger. Trezor hat sich dafür entschieden, 100 % seines Quellcodes öffentlich zu veröffentlichen, damit jeder ihn überprüfen kann, während Ledger sich dafür entschieden hat, seine Karten näher zu spielen und einen Teil des Codes als Open Source zu veröffentlichen, aber seine Firmware als Closed Source zu belassen.

Dies führte dazu, dass viele Blockchain-Elitisten Trezor gegenüber Ledger wählten, da sie der Meinung waren, dass Ledger ihren Code als Open Source veröffentlichen sollte, und sich fragten, was sie zu verbergen versuchten. Ich persönlich sehe dies nicht als Grund zur Besorgnis, da Ledger seine Erfolgsbilanz und sein Engagement für den Weltraum bewiesen hat und sich zu einem der größten Hardware-Wallet-Anbieter der Welt entwickelt hat, der einige der hochwertigsten sicheren Kryptospeicher entwickelt Geräte.

Sobald ein Audit durchgeführt und lokalisiert wurde, kann jeder das Dokument öffnen und die Ergebnisse des Audits finden, solange es öffentlich gemacht wurde. Anstatt durch das gesamte Audit-Dokument zu scrollen, müssen wir für unseren einfachen Zweck nur nach der Seite „Executive Summary“ suchen, die oft in etwa so aussieht:

Diese Seite befindet sich entweder ganz am Anfang oder am Ende des Berichts. Es ist eine Seite, die die Ergebnisse des Audits in einem einfachen Format zeigt, das der Durchschnittsbürger verstehen kann. Lassen Sie uns in die Informationen eintauchen, die uns dies zeigt.

Ist das Audit neu? Audits sollten ein kontinuierlicher Service sein und es sollte definitiv ein neues Audit für JEDE Aktualisierung, Version oder neu eingeführte Funktion/Funktion durchgeführt werden. Wenn eine neue Funktion oder Version eingeführt wurde, sind die vorherigen Prüfergebnisse nicht mehr gültig, da sich die Codebasis wahrscheinlich geändert hat.

Dies kann durch einen Blick auf die Projektversion und/oder den Commit-Hash überprüft werden. Die Version ist so etwas wie wenn Sie sehen Uniswap „V2“ (Version 2), und der Commit-Hash identifiziert eine Revision im Quellcode-Repository. Beim Betrachten des im Audit angezeigten Versions- oder Commit-Hashs, der im Bild oben in der Tabelle mit der Überschrift „Repository“ zu sehen ist, können Benutzer überprüfen, ob er mit dem in GitHub angezeigten Versions- oder Commit-Hash übereinstimmt.

Das wird ungefähr so ​​aussehen:

Hier ist ein weiterer Blick aus einem der Ackee Blockchain Audits:

Wenn der Commit-Hash jedoch nicht übereinstimmt, bedeutet das nicht unbedingt, dass es eine rote Flagge gibt. Der Commit-Hash auf dem GitHub des Projekts ändert sich jedes Mal, wenn eine neue Anpassung oder Iteration vorgenommen wird. Jede Anpassung ändert den Commit-Hash und sollte kein Grund zur Sorge sein, wenn es nur eine geringfügige Anpassung gab.

Wenn Sie den Commit-Hash aus dem Audit auf der Hauptseite von GitHub nicht sehen, können Sie in die „Commit History“ gehen und nach dem Commit-Hash suchen und selbst sehen, wie viel sich seit der Durchführung des Audits geändert hat.

Das geht, indem Sie hier klicken:

Dann suche hier:

Da für jede Änderung ein neuer Commit-Hash mit jeweils einem Datums- und Zeitstempel ausgefüllt wird, können Sie dies tun, wenn zwischen der Durchführung des Audits und dem Commit-Hash, auf dem sich das Projekt derzeit befindet, eine erhebliche Anzahl neuer Commits stattgefunden hat in Betracht ziehen möchten, bis ein weiteres Audit durchgeführt wird, bevor Sie sich beteiligen.

Wenn Sie ein analytisches Auge haben und tiefer eintauchen möchten, können Sie in jeden neuen Commit-Hash klicken und den alten rot angezeigten Code mit dem neuen grün angezeigten Code vergleichen und selbst überprüfen, was sich genau geändert hat:

Wenn Sie einen neuen Commit-Hash bemerken, der sich von dem unterscheidet, als das Audit durchgeführt wurde, und so etwas sehen:

Das ist eine dieser unbedeutenden Änderungen, die ich erwähnt habe, und obwohl sie einen neuen Commit-Hash aufgefüllt hat, ist dies kein Grund zur Sorge, da dies eine einfache Umbenennung einer Datei war. Das obige GitHub-Bild zeigt 0 Hinzufügungen und 0 Löschungen.

Nun zur nächsten Sache, nach der Sie in der Zusammenfassung suchen sollten:

Ausgaben - Die Zusammenfassung zeigt alle Probleme, die während des Audits aufgedeckt wurden, und, was noch wichtiger ist, ob das Team die Probleme gelöst hat. Dieser Abschnitt ist weiter unten zu sehen, wo „Total Issues“ angezeigt wird, und geht dann weiter, um sie nach Schweregrad aufzuschlüsseln und ob sie gelöst wurden oder nicht. Das Auditing-Unternehmen identifiziert zuerst Probleme, meldet sie dem Entwicklerteam und überprüft den Code erneut, sobald die Entwickler die Probleme behoben haben, bevor das Auditing-Team das Problem als „gelöst“ markiert.

Natürlich sollten alle Probleme, die als „Kritisch“ oder „Hohes Risiko“ gekennzeichnet sind, gelöst werden. Auch wenn der Bericht zeigt, dass alle kritischen oder risikoreichen Probleme gelöst wurden, sollte dies dennoch mit einer gewissen Skepsis gegenüber dem Projekt vermerkt werden. Wenn das Prüfungsteam zu Beginn eine große Anzahl kritischer Probleme festgestellt hat, kann dies darauf hindeuten, dass das Entwicklerteam hinter dem Projekt möglicherweise ein ziemlicher Neuling ist, was später zu weiteren und zusätzlichen Problemen führen kann.

Probleme mit mittlerem oder niedrigem Risiko sind häufig und normalerweise kein Grund zur Besorgnis. Das Prüfungsteam kann sogar etwas als Problem mit geringem Risiko markieren, wenn es lediglich eine Alternative vorschlägt oder unterschiedliche Meinungen darüber hat, wie es an etwas herangehen soll.

Hier ist eine Zusammenfassung dessen, was jede der Kategorien bedeutet:

Kritisch – Alles, was als kritisch markiert ist, bedeutet, dass etwas gerade ausnutzbar ist.

Das Team von Ackee Blockchain erzählte mir eine Geschichte über ein Audit, bei dem sie ein kritisches Problem in einem bereits gestarteten Protokoll fanden. Sie weckten das Entwicklerteam des Projekts um 5 Uhr morgens in einem „alle Mann an Deck“-Notfall, um den Code so schnell wie möglich zu reparieren. Glücklicherweise haben sie das Problem rechtzeitig erkannt, bevor Hacker die Schwachstelle identifizieren konnten.

Hoher Schweregrad – Probleme, die derzeit nicht ausnutzbar sind, aber auftreten könnten, wenn bestimmte Sequenzen erfüllt sind.

Mittel bis niedrig – Dabei handelt es sich häufig um geringfügige erforderliche Anpassungen oder Empfehlungen und nicht unbedingt um Sicherheitsbedrohungen.

Verschiedene Wirtschaftsprüfungsgesellschaften werden auch Zusammenfassungen in verschiedenen Formaten erstellen. Die oben gezeigte Zusammenfassung wurde von einer Wirtschaftsprüfungsgesellschaft erstellt Quantenstempel. Akee Blockchain stellt das PDF mit dem Audit und einer Web-Zusammenfassung zur Verfügung, die erste und nachfolgende Ergebnisse in einem leichter lesbaren Essay-Format kombiniert. Ein Beispiel dafür finden Sie in ihrer Audit-Zusammenfassung.

Zusätzliche Dinge zu suchen:

• Wurde ein Audit von mehr als einem Unternehmen durchgeführt? Je mehr Augen nach Problemen suchen, desto geringer ist die Wahrscheinlichkeit, dass ein Fehler im Code vorhanden ist.
• Ist die Blockchain-Prüfungsgesellschaft professionell und in der Community respektiert? Wenn Sie noch nie von der Wirtschaftsprüfungsgesellschaft gehört haben, werfen Sie einen Blick auf ihre Website und suchen Sie nach anderen Projekten, an denen sie gearbeitet haben. Sind einige der von ihnen geprüften Plattformen seriös? Überprüfen Sie, ob eine der Plattformen ausgenutzt wurde, nachdem das Unternehmen eine Prüfung durchgeführt hat. Dies könnte auf eine Erfolgsbilanz mit schlechten Prüfungsfähigkeiten hindeuten. Suchen Sie nach Dingen wie gewonnenen Hackathons und Unterstützung/Zuschüssen von Layer-1-Netzwerkstiftungen.

Ein gutes Beispiel dafür ist Ackee Blockchain, das von vier wichtigen Stiftungen offizielle Entwicklungs-/Community-Zuschüsse erhalten hat: Coinbase Giving, die Ethereum Foundation, die Solana Foundation und die Tezos Foundation.

Wenn Sie jemand sind, der in diesem Zeitalter der Fehlinformationen verständlicherweise misstrauisch geworden ist, wenn Sie eine Behauptung wie das obige Bild von der Ackee Blockchain-Website sehen, können Sie immer zu den Websites der Stiftungen navigieren, anstatt ihr Wort dafür zu nehmen erwähnt und überprüfen Sie die Behauptungen für sich.

Der Grund, warum ich das sage, ist, dass in den Jahren, in denen ich Rezensionen schreibe, die Anzahl der Websites, die behaupten, „in Forbes oder Yahoo Finance vorgestellt“ zu sein, obwohl sie es nie waren, überwältigend ist. Ich wünschte, es gäbe eine Art Internetpolizei, die Unternehmen für solche Lügen und irreführenden Aussagen ins Internet-Gefängnis bringen könnte. Deshalb gibt es in Krypto ein Sprichwort: „Vertraue nicht, verifiziere“. Keine Sorge, Ackee checkt aus und wird tatsächlich von den oben genannten Stiftungen vertraut, ich habe es überprüft 😉

Abschließende Gedanken

Nun, da haben Sie es. Einige Informationen zur Blockchain-Sicherheit, die Sie hoffentlich nützlich fanden. Ich hoffe, dieser Artikel hilft Ihnen, sich sicherer zu fühlen, wenn Sie sich mit einer weiteren Panzerungsschicht in die Welt der Kryptos wagen und sicherer als zuvor durch die Krypto-Gewässer navigieren können. Ich weiß, dass ich diese Informationen sorgfältig verifizieren werde, wenn ich das nächste Mal auswähle, welchen DApps und Protokollen ich meine Krypto-Assets anvertraue.

Wie das Sprichwort sagt: „Bei Krypto geht es nicht darum, wie viel Sie verdienen, sondern wie viel Sie behalten“, denn leider haben viele von uns alten verkrusteten Krypto-Veteranen in unzähligen Hacks mehr als unseren fairen Anteil an Satoshis verloren. Betrug, Teppichziehen, Konkurse usw. Je mehr Wissen wir haben, desto besser können wir uns vor vielen der harten Risiken schützen, die in dieser neuen und aufkeimenden verrückten Welt der Kryptographie bestehen.

Haftungsausschluss: Dies sind die Meinungen des Autors und sollten nicht als Anlageberatung betrachtet werden. Die Leser sollten selbst recherchieren.