Ο DeFi ήταν ο σημαιοφόρος της έκρηξης των κρυπτονομισμάτων το 2020 και η ζέστη αρνήθηκε να υποχωρήσει και μέχρι το 2021. Με όλο και περισσότερους ανθρώπους να καταναλώνουν τα κεφάλαιά τους στη γεωργία απόδοσης, το DeFi συνεχίζει να είναι μακροπρόθεσμα.
Ίσως γνωρίζετε πολλούς που πολλαπλασίασαν τα κέρδη τους με το DeFi. Δεν ήταν ασυνήθιστο στους κύκλους κρυπτογράφησης να βρίσκουμε ανθρώπους που εκτοξεύτηκαν τα κεφάλαιά τους 7x or 10x με καλλιέργεια απόδοσης. Τα δάνεια flash ήταν ένα σημαντικό εργαλείο στα χέρια τους, δίνοντάς τους τη δυνατότητα να μετακινούν γρήγορα τα χρήματά τους μεταξύ πρωτοκόλλων εντός προκαθορισμένου χρόνου και χρυσού νομισματοκοπείου.
Ο ρόλος των έξυπνων συμβολαίων στη λειτουργία του DeFi
Λίγοι άνθρωποι, ωστόσο, αντιλαμβάνονται τον ρόλο των έξυπνων συμβολαίων στην εκτέλεση αυτών των ισχυρών εφαρμογών με αυτοματοποιημένο τρόπο. Τα έξυπνα συμβόλαια είναι αμετάβλητα προγράμματα υπολογιστών που είναι αποθηκευμένα σε μια αλυσίδα μπλοκ. Αυτά τα προγράμματα θα αναλάβουν μια ενέργεια όταν πληρούται μια προκαθορισμένη συνθήκη. Χάρη στο έξυπνο συμβόλαιο, όλοι οι ενδιαφερόμενοι μπορούν να είναι σίγουροι για το αποτέλεσμα, χωρίς ουσιαστικά να εμπλακούν.
Τι κάνει τα έξυπνα συμβόλαια να μετατρέπονται σε αδύναμο κρίκο
Τα έξυπνα συμβόλαια έχουν γίνει μια πρωτοποριακή αποκάλυψη. Ωστόσο, υπάρχει και η άλλη όψη του νομίσματος. Τα έξυπνα συμβόλαια έχουν αποδειχθεί ότι είναι ο αδύναμος κρίκος στο οικοσύστημα DeFi. Οι προγραμματιστές μπορεί να καταλήξουν να γράφουν κακό κώδικα, δίνοντας στα αδίστακτα στοιχεία κενά για να κρυφτούν χρήματα και να κρύψουν τα χρήματα που είναι κλειδωμένα στο πρωτόκολλο. Πολλά έργα DeFi διαχωρίζονται από τα υπάρχοντα πρωτόκολλα. Σε τέτοιες περιπτώσεις, τα σφάλματα στο υπάρχον πρωτόκολλο περνούν και στο διχαλωτό.
Συχνά, οι προγραμματιστές δεν είναι αρκετά έμπειροι και γνώστες για να γράψουν ασφαλή κώδικα. Τα έργα τείνουν να προσλαμβάνουν άπειρους προγραμματιστές για να εξοικονομήσουν κόστος, χωρίς να συνειδητοποιούν ότι μια δέσμη σφαλμάτων που δημιουργούνται από αυτούς τους ανθρώπους μπορεί να τους κοστίσει ακριβά. Μερικές φορές, οι προγραμματιστές μπορεί να αφήσουν σκόπιμα σφάλματα για να εκτρέψουν τα χρήματα από το πρωτόκολλο στα δικά τους πορτοφόλια. Και στη συνέχεια, σε πολλές περιπτώσεις, οι χάκερ μπορεί να είναι αρκετά έξυπνοι ώστε να εντοπίσουν σφάλματα και ευπάθειες σε έναν φαινομενικά υγιή κώδικα και να χτυπήσουν χωρίς να το γνωρίζουν. Ανεξάρτητα από το πώς τα σφάλματα έχουν βρει τον δρόμο τους στον κώδικα, αυτά μπορεί να αποτελούν υπαρξιακή απειλή για το έργο.
Μια επισκόπηση των διαρροών DeFi το 2021
Ρίξτε μια ματιά στις εκμεταλλεύσεις του DeFi που συνέβησαν το 2021 και θα εκπλαγείτε αν βρείτε τον τεράστιο αριθμό πρωτοκόλλων που διέρρευσαν χρήματα μέσω του έξυπνου συμβολαίου.
Χρόνια χρηματοδότηση – Οι δράστες εκμεταλλεύτηκαν τη δυνατότητα του πρωτοκόλλου flash loan to bag $11 κεφάλαια χρηστών αξίας εκατομμυρίων μέσω ενός έξυπνου συμβολαίου εκμετάλλευσης.
Alpha Homora – Αυτό το πρωτόκολλο μόχλευσης ρευστότητας έγινε θύμα α $37.5 εκατομμύρια εκμετάλλευση. Η εκμετάλλευση περιλάμβανε τη χρήση μιας δυνατότητας που απελευθέρωσε δάνεια χωρίς εξασφαλίσεις για αξιόπιστα έξυπνα συμβόλαια.
Meerkat Finance – Το θησαυροφυλάκιο έξυπνων συμβολαίων αυτού του πρωτοκόλλου καλλιέργειας απόδοσης στο Binance Smart Chain δέχτηκε επίθεση, με αποτέλεσμα την απώλεια περίπου 13 εκατομμύρια BUSD και 73,000 BNB
ΠΛΗΡΩΜΕΝΟ Δίκτυο – Μια άπειρη επίθεση νομισματοκοπείου στο PAID κατέληξε σε απώλεια περίπου 180 εκατομμυρίων δολαρίων.
EasyFi – Μια επίθεση στο EasyFi, που χτίστηκε πάνω από το δίκτυο Polygon, κατέληξε με τον εισβολέα να αφαιρέσει περιουσιακά στοιχεία αξίας $75 εκατ.
ForceDAO – Οι χάκερ στόχευσαν το ForceDAO για να αποστραγγίσουν 183 ETH από το πρωτόκολλο.
Χρηματοδότηση ουρανίου – Ενώ το πρωτόκολλο εκτελούσε τη συμβολική του μετεγκατάσταση, υπέστη επίθεση που οδήγησε σε απώλεια $50 εκατ.
Σπαρτιάτης – Πολλαπλές επιθέσεις δανείου flash σε αυτό το πρωτόκολλο DeFi που βασίζεται σε BSC οδήγησαν σε απώλεια περίπου $30 εκατ.
Κεφάλαιο RARI – Οι χάκερ αποστράγγισαν τα θησαυροφυλάκια απόδοσης και τις δεξαμενές δανεισμού του Rari Capital για να προκαλέσουν απώλεια $11 εκατ.
Πώς κλέβονται χρήματα από πρωτόκολλα DeFi
Υπάρχουν τρεις τρόποι για να αφαιρέσετε χρήματα από πρωτόκολλα DeFi –
Παραθυράκια έξυπνων συμβολαίων – Είναι τα έξυπνα συμβόλαια που εκτελούν βασικές λειτουργίες, όπως η ρευστότητα και το ποντάρισμα, καθιστώντας τα έναν διαρκή στόχο των χάκερ. Τα σφάλματα στα έξυπνα συμβόλαια είναι η κύρια αιτία για τα exploits.
Flash δάνεια – Οι επιτιθέμενοι χρησιμοποιούν τεράστια δάνεια flash για να διογκώσουν τη ροή τιμών για ένα συγκεκριμένο stablecoin και να πολλαπλασιάσουν τα μερίδιά τους στη διαδικασία. Δεν μπορούμε να καταργήσουμε τα δάνεια flash, καθώς διευκολύνουν ορισμένες εξαιρετικά χρήσιμες λειτουργίες DeFi, όπως το arbitrage, την ανταλλαγή εξασφαλίσεων, την αυτο-ρευστοποίηση και πολλά άλλα.
Χειρισμός μαντείου – Τα αποκεντρωμένα δίκτυα μπορούν να έχουν πρόσβαση σε εξωτερικά δεδομένα μόνο μέσω χρησμών. Ο ρόλος του oracle είναι κρίσιμος για τη λήψη ασφαλών και αξιόπιστων δεδομένων. Οι χάκερ θα προσπαθούσαν να χειραγωγήσουν τους χρησμούς για να επηρεάσουν πράγματα προς όφελός τους. Όπως τα δάνεια flash, δεν μπορείτε να καταργήσετε το oracle, αλλά αυτό που μπορείτε να κάνετε είναι να ενσωματώσετε το πρωτόκολλό σας με ένα αποκεντρωμένο μαντείο, το οποίο είναι γενικά πιο αξιόπιστο.
Πρέπει να Διαβαστεί - Τι δεν πρέπει να ξεχνάτε κατά τον έλεγχο έξυπνων συμβάσεων στο DeFi
Πιθανοί τρόποι επίθεσης σε έξυπνα συμβόλαια
Θα μπορούσε να υπάρχει διάφοροι λόγοι για σφάλματα και ευπάθειες σε έξυπνα συμβόλαια. Αυτά περιλαμβάνουν επανείσοδο, εκ των προτέρων, μη κρυπτογραφημένα ιδιωτικά δεδομένα στην αλυσίδα, άσχετο κωδικό, κλήση μηνυμάτων με σκληρό κωδικοποιημένο ποσό αερίου, συγκρούσεις κατακερματισμού με ορίσματα πολλαπλών μεταβλητών μήκους, απροσδόκητη ισορροπία Ether, παρουσία αχρησιμοποίητων μεταβλητών, τυπογραφικό σφάλμα, DoS με μπλοκ όριο αερίου, αυθαίρετο άλμα με μεταβλητή τύπου συνάρτησης, ανεπαρκής θλίψη αερίου, εσφαλμένη σειρά κληρονομικότητας, παραβίαση απαίτησης, έλλειψη σωστής επαλήθευσης υπογραφής, αδύναμες πηγές τυχαίας από χαρακτηριστικά αλυσίδας, ελατότητα υπογραφής, DoS με αποτυχημένη κλήση, χρήση καταργημένων συναρτήσεων, μη προστατευμένος αιθέρας απόσυρση και πολλά άλλα. Οι προγραμματιστές θα πρέπει να γνωρίζουν όλες αυτές τις περιπτώσεις και τις περιγραφές του κώδικα τους.
Έλεγχος έξυπνου συμβολαίου
Ένα έξυπνο συμβόλαιο απαιτεί ενδελεχή έλεγχο πριν από την ανάπτυξη. Όλες οι ανακαλύψεις εξηγούνται στην τελική έκθεση μαζί με τις συστάσεις. Τα επίπεδα ασφάλειας έξυπνων συμβολαίων μετρώνται σύμφωνα με ένα σύνολο προδιαγραφών όπως κρίσιμο, υψηλό, μεσαίο, χαμηλό και χαμηλότερο.
Ο σωστός έλεγχος περιλαμβάνει τόσο αυτόματους όσο και χειροκίνητους ελέγχους. Ο αυτόματος έλεγχος αναπτύσσει λογισμικό που καθορίζει το τμήμα που είναι υπεύθυνο για κάθε εκτέλεση και διερευνά πού μπορεί να παρουσιαστεί το πιθανό σφάλμα. Η μη αυτόματη ανάλυση περιλαμβάνει μια ομάδα έμπειρων προγραμματιστών που εξετάζουν κάθε γραμμή κώδικα. Μπορεί να ελέγξουν με βάση μια λίστα τυπικών τρωτών σημείων ή να πραγματοποιήσουν έναν διερευνητικό έλεγχο με βάση την εμπειρία τους.
Ολοκληρώνοντας
Τα έξυπνα συμβόλαια είναι η μηχανή πίσω από το DeFi. Για την προστασία ενός έργου DeFi από τρωτά σημεία, είναι επιτακτική η διεξαγωγή ενδελεχούς ελέγχου της σύμβασης. Ο αυτόματος και ο χειροκίνητος έλεγχος πρέπει να διεξάγονται ταυτόχρονα για να γίνει ο έλεγχος όσο το δυνατόν πιο λεπτομερής και ακριβής.
Απευθυνθείτε στο QuillAudits
QuillAudits είναι μια ασφαλής πλατφόρμα έξυπνων ελέγχων συμβολαίου που σχεδιάστηκε από QuillHash
Τεχνολογίες.
Είναι μια πλατφόρμα ελέγχου που αναλύει και επαληθεύει αυστηρά τις έξυπνες συμβάσεις για να ελέγξει για ευπάθειες ασφαλείας μέσω αποτελεσματικών Ταχύτητες αναθεώρηση με στατικός και δυναμικός εργαλεία ανάλυσης, αναλυτές αερίων καθώς προσομοιωτές. Επιπλέον, η διαδικασία ελέγχου περιλαμβάνει επίσης εκτενή δοκιμή μονάδας καθώς δομική ανάλυση.
Εκτελούμε και τα δύο έξυπνα συμβόλαια έλεγχοι και διείσδυση δοκιμές για την εύρεση δυνατοτήτων
ευπάθειες ασφαλείας που ενδέχεται να βλάψουν τις πλατφόρμες ακεραιότητα.
Αν χρειάζεστε βοήθεια στα έξυπνα συμβόλαια έλεγχος, μη διστάσετε φτάνω στους ειδικούς μας εδώ!
Να είναι ενημερωμένοι με τη δουλειά μας, Join Our Κοινότητα:-
Twitter | LinkedIn | Facebook | Telegram
Πηγή: https://blog.quillhash.com/2021/10/06/what-makes-defi-smart-contract-auditing-so-pivotal/
- 2020
- 7
- πρόσβαση
- Ενέργειες
- Πλεονέκτημα
- Όλα
- ανάλυση
- εφαρμογές
- διαιτησία
- επιχειρήματα
- γύρω
- Ενεργητικό
- έλεγχος
- Αυτοματοποιημένη
- Binance
- Μαύρη
- blockchain
- BNB
- κεραία
- Έντομο
- σφάλματα
- Δέσμη
- BUSD
- κλήση
- κεφάλαιο
- περιπτώσεις
- Αιτία
- έλεγχοι
- κωδικός
- Κρυπτονόμισμα
- συνεχίζεται
- σύμβαση
- συμβάσεις
- Δικαστικά έξοδα
- κρυπτο
- ημερομηνία
- Αποκεντρωμένη
- Defi
- προγραμματιστές
- Κέρδη
- οικοσύστημα
- ETH
- Αιθέρας
- εμπειρία
- Εκμεταλλεύομαι
- καλλιέργεια
- Χαρακτηριστικό
- Χαρακτηριστικά
- φλας
- Δωρεάν
- λειτουργία
- χρήματα
- GAS
- Δίνοντας
- Χρυσό
- χάκερ
- χασίσι
- Ψηλά
- ενοικίαση
- Πως
- HTTPS
- επιρροή
- συμμετέχουν
- IT
- ενταχθούν
- άλμα
- Κλειδί
- Διαρροές
- Led
- δανεισμός
- Μόχλευση
- γραμμή
- LINK
- Ρευστότητα
- Λιστα
- Δάνεια
- Μακριά
- μεγάλες
- Κατασκευή
- medium
- εκατομμύριο
- χρήματα
- μετακινήσετε
- δίκτυο
- δίκτυα
- μαντείο
- τάξη
- People
- πιλοτικές
- πλατφόρμες
- Πλατφόρμες
- Πισίνες
- τιμή
- ιδιωτικός
- Προγράμματα
- σχέδιο
- έργα
- προστασία
- πρωτόκολλο
- αναφέρουν
- ανασκόπηση
- τρέξιμο
- τρέξιμο
- ασφάλεια
- σειρά
- έξυπνος
- έξυπνη σύμβαση
- Έξυπνα συμβόλαια
- σπιούνος
- So
- λογισμικό
- Χώρος
- Spot
- σταθερόκοκκο
- Staking
- Θέτω κατά μέρος
- κλαπεί
- στόχος
- δοκιμές
- ώρα
- ένδειξη
- κορυφή
- Τουίτερ
- Θόλος
- Επαλήθευση
- Θέματα ευπάθειας
- Πορτοφόλια
- Ο ΟΠΟΊΟΣ
- εντός
- Εργασία
- αξία
- γραφή
- Βελτιστοποίηση
