DeFi había sido el abanderado del auge de las criptomonedas en 2020 y el calor también se negó a apagarse hasta 2021. Con más y más personas que invierten sus fondos en la agricultura de rendimiento, DeFi sigue siéndolo a largo plazo.
Es posible que conozca a muchos que multiplicaron sus ganancias con DeFi. No ha sido raro en los círculos criptográficos encontrar personas que catapultaron sus fondos 7x or 10x con agricultura de rendimiento. Los préstamos flash han sido una herramienta importante en sus manos, permitiéndoles mover su dinero rápidamente entre protocolos dentro del tiempo estipulado y acuñar oro.
Papel de los contratos inteligentes en la ejecución de DeFi
Sin embargo, pocas personas se dan cuenta del papel de los contratos inteligentes en la ejecución de estas poderosas aplicaciones de manera automatizada. Los contratos inteligentes son programas informáticos inmutables almacenados en una cadena de bloques. Estos programas emprenderán una acción cuando se cumpla una condición predeterminada. Gracias al contrato inteligente, todas las partes interesadas pueden estar seguras del resultado, sin involucrarse realmente.
¿Qué hace que los contratos inteligentes se conviertan en un eslabón débil?
Los contratos inteligentes han resultado ser una revelación innovadora. Sin embargo, también hay otra cara de la moneda. Los contratos inteligentes han demostrado ser el eslabón débil del ecosistema DeFi. Los desarrolladores pueden terminar escribiendo un código incorrecto, dando a los elementos sin escrúpulos lagunas para robar dinero y guardar los fondos bloqueados en el protocolo. Muchos proyectos de DeFi se derivan de los protocolos existentes. En tales casos, los errores en el protocolo existente también se transmiten al bifurcado.
A menudo, los desarrolladores no tienen la experiencia ni los conocimientos necesarios para escribir código seguro. Los proyectos tienden a contratar desarrolladores sin experiencia para ahorrar costos, sin darse cuenta de que un montón de errores producidos por estas personas podría costarles caro. A veces, los desarrolladores pueden dejar errores intencionalmente para desviar los fondos del protocolo a sus propias billeteras. Y luego, en muchos casos, los piratas informáticos pueden ser lo suficientemente inteligentes como para detectar errores y vulnerabilidades en un código aparentemente saludable y atacar desprevenidos. Independientemente de cómo los errores hayan encontrado su camino hacia el código, estos pueden representar una amenaza existencial para el proyecto.
Una descripción general de las fugas de DeFi en 2021
Eche un vistazo a las vulnerabilidades de DeFi que ocurrieron en 2021 y se sorprenderá al encontrar la gran cantidad de protocolos que filtraron fondos a través del contrato inteligente.
Anhelar finanzas - Los perpetradores explotaron la función de préstamo flash del protocolo para embolsar $11 millones en fondos de usuario a través de un exploit de contrato inteligente.
alfa homora - Este protocolo de liquidez apalancada se convirtió en víctima de una $37.5 millones explotar. El exploit implicó el uso de una función que liberaba préstamos sin garantía para contratos inteligentes confiables.
Finanzas de suricata - Se atacó la bóveda de contrato inteligente de este protocolo de cultivo de rendimiento en Binance Smart Chain, lo que resultó en una pérdida de aproximadamente 13 millones de BUSD y 73,000 bnb
Red de pago - Un ataque de menta infinito en PAID culminó en una pérdida de alrededor de $ 180 millones.
fácilfi - Un ataque a EasyFi, construido sobre la red Polygon, terminó con el atacante quitando activos por valor $75 millones.
FuerzaDAO - Los piratas informáticos apuntaron a ForceDAO para drenar 183 ETH del protocolo.
Finanzas de uranio - Mientras el protocolo realizaba su migración de tokens, sufrió un ataque que supuso una pérdida de $50 millones.
espartano - Múltiples ataques de préstamos flash en este protocolo DeFi basado en BSC llevaron a una pérdida de aproximadamente $30 millones.
Capital RARI - Los piratas informáticos agotaron las bóvedas de rendimiento y los fondos de préstamos de Rari Capital para infligir una pérdida de $11 millones.
Cómo se roban los fondos de los protocolos DeFi
Hay tres formas de desviar fondos de los protocolos DeFi:
Lagunas legales en los contratos - Son los contratos inteligentes que ejecutan funciones clave como la liquidez y las apuestas, lo que los convierte en un objetivo perenne de los piratas informáticos. Los errores en los contratos inteligentes son la causa principal de las vulnerabilidades.
Préstamos flash - Los atacantes utilizan préstamos flash masivos para inflar el precio de una moneda estable específica y multiplicar sus tenencias en el proceso. Sin embargo, no podemos eliminar los préstamos flash, ya que facilitan algunas características de DeFi muy útiles como arbitraje, intercambio de garantías, autoliquidación y muchas más.
Manipulación de Oracle - Las redes descentralizadas pueden acceder a datos externos solo a través de oráculos. El papel de Oracle es crucial para obtener datos seguros y confiables. Los piratas informáticos intentarían manipular los oráculos para influir en las cosas a su favor. Al igual que los préstamos flash, no puede deshacerse de Oracle, pero lo que puede hacer es integrar su protocolo con un Oracle descentralizado, que generalmente es más confiable.
Debe leer - Qué no olvidar al auditar contratos inteligentes en DeFi
Posibles formas de ataque a los contratos inteligentes
Podría haber Muchas rasones en busca de errores y vulnerabilidades en contratos inteligentes. Estos incluyen reentrada, ejecución frontal, datos privados en cadena sin cifrar, código irrelevante, llamada de mensaje con cantidad de gas codificada, colisiones hash con múltiples argumentos de longitud variable, saldo de Ether inesperado, presencia de variables no utilizadas, error tipográfico, DoS con bloque límite de gas, salto arbitrario con variable de tipo de función, aflicción de gas insuficiente, orden de herencia incorrecto, violación de requisitos, falta de verificación de firma adecuada, fuentes débiles de aleatoriedad de atributos de cadena, maleabilidad de firma, DoS con llamada fallida, uso de funciones obsoletas, Ether desprotegido abstinencia y muchos más. Los desarrolladores deben conocer todas estas instancias y sus descripciones de código.
Auditoría de contrato inteligente
Un contrato inteligente requiere una auditoría exhaustiva antes de la implementación. Todos los descubrimientos se explican en el informe final junto con las recomendaciones. Los niveles de seguridad de los contratos inteligentes se miden de acuerdo con un conjunto de especificaciones como crítico, alto, medio, bajo y más bajo.
Una auditoría adecuada implica comprobaciones tanto automáticas como manuales. La auditoría automática implementa un software que determina la parte responsable de cada ejecución y explora dónde podría ocurrir el posible error. El análisis manual involucra a un equipo de desarrolladores experimentados que examinan cada línea de código. Pueden verificar una lista de vulnerabilidades estándar o realizar una verificación exploratoria basada en su experiencia.
Terminando
Los contratos inteligentes son el motor detrás de DeFi. Para proteger un proyecto DeFi de vulnerabilidades, es imperativo realizar una verificación exhaustiva del contrato. Las auditorías tanto automáticas como manuales deben realizarse en conjunto para que la auditoría sea lo más completa y precisa posible.
Comuníquese con QuillAudits
QuillAuditorias es una plataforma segura de auditorías de contratos inteligentes diseñada por QuillHash
Tecnologías.
Es una plataforma de auditoría que analiza y verifica rigurosamente los contratos inteligentes para verificar las vulnerabilidades de seguridad a través de manual revisar con estático y lugar de trabajo dinámico herramientas de análisis, analizadores de gas al igual que simuladores Además, el proceso de auditoría también incluye una amplia examen de la unidad al igual que análisis estructural.
Realizamos ambos contratos inteligentes auditorías y precios pruebas para encontrar potencial
vulnerabilidades de seguridad que pueden dañar la plataforma integridad.
Si necesitas alguna ayuda en los contratos inteligentes auditoría, no dude en contactar a nuestros expertos aquí!
Para obtener al día con nuestro trabajo, únete a nuestro Comunidad:-
Twitter | Etiqueta LinkedIn | Facebook | Telegram
Fuente: https://blog.quillhash.com/2021/10/06/what-makes-defi-smart-contract-auditing-so-pivotal/
- 2020
- 7
- de la máquina
- la columna Acción
- Ventaja
- Todos
- análisis
- aplicaciones
- arbitraje
- argumentos
- en torno a
- Activos
- auditoría
- Confirmación de Viaje
- binance
- Negro
- blockchain
- BNB
- auge
- Error
- loco
- Packs ahorro
- BUSD
- llamar al
- capital
- cases
- Causa
- Cheques
- código
- Monedas
- continúa
- contrato
- contratos
- Precio
- cripto
- datos
- Descentralizado
- DeFi
- desarrolladores
- Ganancias
- ecosistema
- ETH
- Éter
- experience
- Explotar
- de la agricultura
- Feature
- Caracteristicas
- Flash
- Gratuito
- función
- fondos
- GAS
- Diezmos y Ofrendas
- Gold
- los piratas informáticos
- hachís
- Alta
- alquiler
- Cómo
- HTTPS
- influir
- involucra
- IT
- únete
- saltar
- Clave
- Fugas
- LED
- préstamo
- Apalancamiento
- línea
- LINK
- Etiqueta LinkedIn
- Liquidez
- Lista
- Préstamos
- Largo
- gran
- Realizar
- mediano
- millones
- dinero
- movimiento
- del sistema,
- telecomunicaciones
- oráculo
- solicite
- Personas
- esencial
- plataforma
- Plataformas
- Albercas
- precio
- privada
- Programas
- proyecto
- proyecta
- proteger
- protocolo
- reporte
- una estrategia SEO para aparecer en las búsquedas de Google.
- Ejecutar
- correr
- EN LINEA
- set
- inteligente
- contrato inteligente
- Contratos Inteligentes
- furtivamente
- So
- Software
- Espacio
- Spot
- stablecoin
- replanteo
- Stash
- robada
- Target
- pruebas
- equipo
- ficha
- parte superior
- Bóveda
- Verificación
- Vulnerabilidades
- Carteras
- QUIENES
- dentro de
- Actividades:
- valor
- la escritura
- Rendimiento
