Πώς οι ελεγκτές εντοπίζουν μια απάτη DeFi Rug Pull: Μπορείτε να το κάνετε μόνοι σας;

Οι χάκερ έκλεψαν περισσότερα κρυπτονομίσματα από πλατφόρμες αποκεντρωμένης χρηματοδότησης (DeFi) από ποτέ το 2022. Σχεδόν το 98% όλων των tokens που κυκλοφόρησαν στο flagman DEX Uniswap της DeFi αναγνωρίστηκαν ως rug pulls.

Το τελευταίο, Defrost Finance, ήρθε ως χριστουγεννιάτικος εφιάλτης για τους επενδυτές κρυπτογράφησης, εξαλείφοντας 12 εκατομμύρια δολάρια από τα χρήματά τους. 

Τα περισσότερα hacks σε πλατφόρμες DeFi συμβαίνουν μέσω παραβιάσεων ασφαλείας και εκμεταλλεύσεων κώδικα. Τα έργα που καταλήγουν να είναι απάτες με τα χαλιά έχουν σοβαρά ζητήματα ασφάλειας που έχουν επιτραπεί να γλιστρήσουν ή ίσως να μην εντοπιστούν επίτηδες. Για την αποφυγή παρόμοιων κινδύνων, οι έλεγχοι ασφαλείας DeFi είναι κρίσιμοι.

Εδώ θα μάθουμε περισσότερα σχετικά με αυτούς τους ελέγχους, τον τρόπο διεξαγωγής τους και εάν είναι δυνατό να εκτελέσετε έναν έλεγχο DeFi μόνοι σας. 

Τα έργα DeFi υλοποιούνται ως πολύπλοκα, αυτοεκτελούμενα έξυπνα συμβόλαια, συχνά διαφανή και ανοιχτού κώδικα. Λειτουργούν ως νομικές συμφωνίες μεταξύ δύο μερών. Και δεδομένου ότι δεν υπάρχει κεντρική οντότητα πίσω από αυτά, ακόμη και ένα μικρό σφάλμα στα έξυπνα συμβόλαια μπορεί να οδηγήσει σε μη αναστρέψιμες συνέπειες.

Αυτό σημαίνει ότι δεν πρέπει να υπάρχει χώρος για λάθη στα έξυπνα συμβόλαια. Οι έλεγχοι ασφάλειας των έξυπνων συμβολαίων DeFi έχουν σκοπό να το διασφαλίσουν.

Οι έλεγχοι ασφαλείας εξετάζουν τον κώδικα των έξυπνων συμβολαίων και τον τρόπο με τον οποίο θεμελιώνει τους όρους και τις προϋποθέσεις των συμβολαίων. Η λεπτομερής ανάλυση αναζητά πιθανά ελαττώματα ασφαλείας, παραβιάσεις και σφάλματα συστήματος στον κώδικα, επομένως δεν είναι δυνατή η αξιοποίησή του. 

Οι έλεγχοι ασφαλείας, που συνήθως διεξάγονται από τρίτους, είναι ζωτικής σημασίας για τη διασφάλιση της ασφάλειας και της αξιοπιστίας των έργων και τη διατήρηση ενός υγιούς οικοσυστήματος DeFi.

Το rug pull είναι ένας τύπος απάτης εξόδου που λειτουργεί σε ένα απλό μοντέλο: οι προγραμματιστές δημιουργούν ένα νόμιμο πρωτόκολλο DeFi, το τρέχουν και το προωθούν έως ότου το έργο προσελκύσει αρκετή ρευστότητα, στη συνέχεια αφαιρούν τα κεφάλαια και εξαφανίζονται. 

Λοιπόν, όχι πάντα. Περιστασιακά, οι απατεώνες κατηγορούν τους χάκερ για την κλοπή ρευστότητας και παραμένουν στην επιχείρηση μέχρι την επόμενη φορά.

Για να υλοποιήσουν μια επίθεση, οι απατεώνες ενσωματώνουν κακόβουλο κώδικα στα έξυπνα συμβόλαια. Τα τροποποιούν για να εμποδίσουν τους επενδυτές να πουλήσουν: ορίστε τη μέγιστη προμήθεια πώλησης (100%), βάλτε στη μαύρη λίστα τους κατόχους διακριτικών και κλειδώστε τα χρήματα των χρηστών σε ένα συμβόλαιο.

Ορισμένα έξυπνα συμβόλαια περιλαμβάνουν την κωδικοποίηση μιας κακόβουλης «πίσω πόρτας» σε αυτά, η οποία επιτρέπει στους προγραμματιστές να αποσύρουν τη ρευστότητα.  

Τις περισσότερες φορές, τα τροποποιημένα έξυπνα συμβόλαια δεν επαληθεύονται από ελεγκτές ασφαλείας και είναι κρυμμένα από το κοινό. Δεδομένου ότι οι περισσότερες συμβάσεις on-chain είναι διαθέσιμες στο κοινό, υπάρχει έλλειψη διαφάνειας GitHub μπορεί να είναι κόκκινη σημαία. 

Ο κλάδος του blockchain και των έξυπνων συμβολαίων είναι ακόμα σχετικά νέος, όπως και ο τομέας ελέγχου έξυπνων συμβολαίων. Πολλές εταιρείες ειδικεύονται σε έξυπνους ελέγχους ασφάλειας συμβολαίων, αναπτύσσουν τα εργαλεία τους και διαμορφώνουν την τεχνογνωσία τους. 

Τα πρότυπα και οι βέλτιστες πρακτικές της βιομηχανίας ασφάλειας έξυπνων συμβάσεων εξελίσσονται. Παρόλα αυτά, μερικές αρκετά τυπικές μέθοδοι ελέγχου χρησιμοποιούνται από τους παίκτες του κλάδου του ελέγχου DeFi.

Συνήθως οι έρευνές τους ξεκινούν με την έξυπνη αξιολόγηση συμβολαίου. Ο ελεγκτής αναλύει τη λευκή βίβλο, την επιχειρηματική λογική και τις τεχνικές προδιαγραφές του πρωτοκόλλου DeFi για να εκτιμήσει τους πιθανούς κινδύνους και τα χαρακτηριστικά ασφαλείας.

Στη συνέχεια στρέφουν την προσοχή τους στον κωδικό του έξυπνου συμβολαίου. Τότε ξεκινά η αναθεώρηση και η ανάλυση κώδικα. 

Οι ελεγκτές επιθεωρούν τον κώδικα γραμμή προς γραμμή, αναζητώντας τρωτά σημεία διαφορετικών επιπέδων: κρίσιμα που μπορεί να οδηγήσουν σε διαρροή ρευστότητας. μεσαίου επιπέδου, το οποίο θα μπορούσε να βλάψει εν μέρει το έξυπνο συμβόλαιο· και ζητήματα χαμηλού επιπέδου, τα οποία επηρεάζουν λιγότερο την ασφάλεια της σύμβασης.

Αναπτύσσουν μια σειρά από τεχνικές ελέγχου, συμπεριλαμβανομένης της αυτοματοποιημένης και μη αυτόματης ανάλυσης. Και τα δύο έχουν τα υπέρ και τα κατά τους.

Ένας αυτοματοποιημένος έλεγχος ασφαλείας σημαίνει σάρωση του κώδικα με λογισμικό αυτοματοποιημένης ανάλυσης, το οποίο αναζητά σφάλματα στη βάση δεδομένων γνωστών τρωτών σημείων και προσδιορίζει την ακριβή θέση τους στον κώδικα.

Ο έλεγχος που βασίζεται σε λογισμικό διεξάγεται συνήθως πριν από τη μη αυτόματη ανάλυση για τον εντοπισμό σφαλμάτων που οι άνθρωποι μπορεί να παραβλέψουν. Είναι ταχύτερο και λιγότερο χρονοβόρο, αλλά ταυτόχρονα, μπορεί να μην έχει πάντα επίγνωση του πλαισίου και, επομένως, να χάνει ορισμένα τρωτά σημεία. 

Η χειροκίνητη ανάλυση κώδικα είναι ο βασιλιάς στον έλεγχο έξυπνων συμβολαίων και είναι το πιο κρίσιμο μέρος ενός ολοκληρωμένου και ακριβούς ελέγχου ασφάλειας έξυπνου κώδικα. Διενεργείται από τουλάχιστον δύο ξεχωριστούς ειδικούς που επιθεωρούν τον κώδικα γραμμή προς γραμμή.

Ο στόχος είναι να επαληθευτεί ότι κάθε λεπτομέρεια στις προδιαγραφές του έργου ενσωματώνεται στο έξυπνο συμβόλαιο και ότι τίποτα δεν παραβιάζει τη συμπεριφορά που είχε αρχικά προβλεφθεί. 

Οι ελεγκτές ελέγχουν τον κώδικα για ακούσια, απροσδόκητη συμπεριφορά, κρίσιμα ζητήματα ασφάλειας και ευπάθειες όπως η επανεισαγωγή, οι χειρισμοί δεδομένων, τα φλας δάνεια και άλλοι χειρισμοί που ενδέχεται να εφαρμοστούν ενώ το έξυπνο συμβόλαιο αλληλεπιδρά με άλλα.

Επιπλέον, οι χειροκίνητοι έλεγχοι εκτελούν προσομοιώσεις για να αξιολογήσουν πόσο καλά ανταποκρίνεται το έξυπνο συμβόλαιο του έργου DeFi σε άγνωστες απειλές και πόσο ικανό είναι να αμυνθεί έναντι αυτών. 

Στο τελευταίο μέρος της χειροκίνητης ανάλυσης κώδικα, ο ελεγκτής συγκρίνει τη λογική του έξυπνου συμβολαίου με την περιγραφή του στη λευκή βίβλο του έργου. 

Μόλις εντοπιστούν και διορθωθούν όλα τα τρωτά σημεία, οι ελεγκτές εκτελούν μια διαδικασία διπλού ελέγχου για να διασφαλίσουν ότι ο έξυπνος κώδικας εκτελείται όπως αναμένεται.

Τέλος, αφού ολοκληρωθεί ο έλεγχος ασφαλείας, οι ελεγκτές συντάσσουν μια ολοκληρωμένη έκθεση. Αυτό είναι όπου παρέχουν λεπτομερή ανατροφοδότηση σχετικά με αυτό που ανακάλυψαν. Συνήθως η έκθεσή τους συνοδεύεται από συστάσεις σχετικά με τον τρόπο με τον οποίο μπορούν να διορθωθούν οι εντοπισμένες αδυναμίες κώδικα για να μετριαστεί η ασφάλεια του έργου. 

Τα έξυπνα συμβόλαια είναι μια σχετικά νέα καινοτομία. Τα πρότυπα ασφαλείας τους εξελίσσονται ανάλογα. Αυτό σημαίνει ότι κανένας χρυσός κανόνας δεν εγγυάται την πλήρη ασφάλεια των έξυπνων συμβολαίων.

Επιπλέον, δεν είναι όλες οι εταιρείες ελέγχου έξυπνων συμβολαίων ίδιες και δεν εγγυώνται όλοι οι έλεγχοι την ασφάλεια. Οι ελεγκτές μπορεί να έχουν διαφορετικά επίπεδα δεξιοτήτων, διαφορετικούς στόχους και διαφορετικό κόστος.

Για να μην αναφέρουμε το γεγονός ότι η αγορά είναι γεμάτη από πρόχειρους προγραμματιστές που πλαστογραφούν ελέγχους και εξακολουθούν να επωφελούνται από το όνομα μιας αξιοσέβαστης εταιρείας. Αυτό συνέβη στην Peckshield, μια εταιρεία ανάλυσης δεδομένων και ασφάλειας blockchain, πριν από περισσότερο από ένα χρόνο.

Καταστάσεις όπως αυτή είναι αρκετά συνηθισμένες στον χώρο των κρυπτονομισμάτων. Παίρνουν το όνομα ενός νόμιμου και αξιοσέβαστου ελεγκτή και το βάζουν στη λευκή τους βίβλο, λέγοντας ότι το πρωτόκολλό τους ελέγχθηκε.

Ο μόνος τρόπος για να αποφύγετε περιπτώσεις όπως αυτή είναι να ελέγξετε για επιβεβαίωση στα αρχικά κανάλια του ελεγκτή. Εάν δεν υπάρχουν, οι πιθανότητες είναι ότι το όνομα του ελεγκτή έχει κλαπεί. 

Ελέγχετε πάντα το χαρτοφυλάκιο των πελατών του για να αξιολογήσετε εάν ο ελεγκτής είναι σταθερός και αξιόπιστος. Google τις υποθέσεις για να επαληθεύσετε τα αρχεία εμπειρίας τους και να ελέγξετε εάν κάποιο από τα ελεγχόμενα έργα έχει υποστεί κάποιο χάλι ή άλλες επιθέσεις.

Με τόσα πολλά χάκερ και χάλια στον χώρο κρυπτογράφησης, είναι αφελές να φανταστούμε ότι τα έργα DeFi είναι ασφαλή χωρίς να τα εξετάσουμε με περισσότερες λεπτομέρειες. Οι έξυπνοι έλεγχοι συμβολαίων παρέχουν ένα κρίσιμο επίπεδο ασφάλειας. 

Ωστόσο, ακόμη και οι πιο επαγγελματίες δεν εγγυώνται ότι ένα έργο DeFi είναι απολύτως χωρίς σφάλματα. Τα έξυπνα συμβόλαια είναι πολύπλοκα. Απαιτούν λεπτομερή και ολοκληρωμένη ανάλυση, τεχνογνωσία, εργαλεία και, το πιο σημαντικό, περισσότερα από ένα ζευγάρια μάτια.