Blockchaini turvalisus: kuidas mõista plokiahela auditeid, et olla DeFi-s turvaline

Möödunud aasta on krüptosektoris olnud üsna must aeg. Me pole näinud mitte ainult Luna katastroofilist kokkuvarisemist, 3 Arrows Capitali mandumist, maksejõuetuse ja pankrotihädasid BlockFi, Celsiuse, Voyageri, VAULDi ja teistega, makromajanduslikke tingimusi, mis on meid krüptotalve sügavusse viinud, vaid see on olnud ka monumentaalselt katastroofiline aasta plokiahela ja DeFi häkkimiste ja ärakasutamiste jaoks, mille tulemusena on inimesed DeFi eest põgenenud kiiremini kui ujujad, kes põgenevad haidest nakatunud vetest.

Nüüd mõtled ilmselt endamisi, "Vau, aitäh masendava sissejuhatuse eest. Krüpto kõlab nagu miiniväli!”

Ja sa ei eksi siin, krüptol on kindlasti oma õiglane osa riske. Kuid enne, kui lasete kogu sellel hukatusel ja süngusel tekitada soovi krüptost igaveseks loobuda ja voodi alla peitu pugeda, ärge kartke, sest see artikkel aitab teile õpetada, kuidas DeFi vetes võimalikult ohutult navigeerida ja näidata teile, mida te soovite. pead teadma plokiahela turvaauditite kohta.

Kuigi see ei aita kaitsta kõigi krüptoriskide eest, ei saa kaitsta kedagi, kes otsustab oma säästud järgmisse mememünti "YOLO" kanda, kuid selles artiklis sisalduv teave aitab teil vähemalt ühe noolevärinaga varustada. mida saate kasutada, et oluliselt parandada oma üldist ohutut navigeerimist DeFi ruumis.

Ärge muretsege selle pärast, et see artikkel on liiga tehniline, et mõned hirmud varakult leevendada. Sellest abistavast juhendist on nii lihtne aru saada, et isegi mu isa, kes nimetab kogu krüptotööstust "That Bitcoin Stuff", saab sellest aru.

Ja kuna olen plokiahela arendamise oskustega sama hästi kursis kui kivi juuste lõikamisega, otsustasin selle artikli jaoks küsida professionaalset abi ja siseringi nõuandeid. Pöördusin meie sõprade poole kell Ackee Blockchain et aidata ennast ja tavalist Joe'd õpetada, mida kuradit need plokiahela auditid endast kujutavad.

Ma tahan avaldada Ackee meeskonnale suurt tunnustust selle eest, et nad leidsid aega, et aidata meid ja meie kogukonda, õpetades meile plokiahela auditi põhialuseid, ja meiega selle artikli kallal koostööd teinud. Blockchaini ja DeFi auditiaruanded on krüpto nii kriitilise tähtsusega aspektid, millest väga vähesed meist aru saavad.

DApp-i või DeFi-protokolli ohutuse ja turvalisuse kindlaksmääramisel oma hoolsusmeetmeid tehes otsivad paljud meist midagi, mis ütleb, et platvorm on auditeeritud, ja võivad mõelda: "okei, piisavalt hea." Ma tean, et olen selles varem süüdi olnud, aga mida see tegelikult tähendab, et mind on auditeeritud? Kuidas me saame seda kontrollida? Ja nagu sellest artiklist teada saad, ei tähenda see, et midagi on auditeeritud, see peaks automaatselt rohelise tule saama.

Alustuseks vaatame, mida plokiahela audiitorfirmad tegelikult teevad.

Mida plokiahela auditeerimisettevõtted teevad?

Kui kuuleme terminit „audit”, kujutavad paljud meist automaatselt ette umbset vanameest ülikonnas, mis töötab valitsuse heaks ja kes hakkab koputama ja läbima kõik meie finants- ja pangaväljavõtted peenete hammastega. Traditsioonilises finantstööstuses oleks teil õigus, kuid plokiahela audiitorid ei saaks sellest kaugemal olla.

Plokiahela audiitorid ei ole mingilgi määral raamatupidajad, nad on kodeerimise ja arendajaoskuste eksperdid, kes otsivad vigu, vigu ja pahatahtlikku koodi plokiahela projekti, nutika lepingu või krüptomärgi lähtekoodist.

Erinevad audiitorfirmad võivad spetsialiseeruda ka erinevatele valdkondadele, mistõttu on alati hea näha platvormi, mida on auditeerinud rohkem kui üks ettevõte. Iga läbiviidud audit vähendab riske ja üks ettevõte võib tabada midagi, millest teine ​​ettevõte märkamata jäi.

1inch on selle suurepärane näide. 1-tolline on DEX-i koondaja, mida on auditeerinud mitmed erinevad ettevõtted, mis suurendab kasutajate usaldust platvormi vastu ja rõhutab, et 1-tolline meeskond on kindlalt pühendunud oma kogukonna turvalisuse tagamisele.

Plokiahela auditeerimisettevõtetel on inseneride meeskond, kes suudab täita selliseid ülesandeid nagu:

• Turvalisus Audit
• Tööriistade analüüs
• Käsitsi koodi ülevaatus
• Käivitage ja kirjutage automatiseeritud teste
• Korraldage vigade bounty võistlusi

Kuigi teised audiitorettevõtted, nagu Ackee Blockchain, suudavad täita ka rohkem "täisteenuse" nõudeid ja aidata sellistes valdkondades nagu:

• Turvaliste nutikate lepingute loomine kindluse või rooste korral
• Abi täieliku ökosüsteemi loomisel, UX-i, disaini, esiservade, taustaprogrammide ja DevOpsi haldamisel

Ackee Blockchain annab oma panuse ka plokiahela tööstusesse tervikuna, mida on suurepärane näha. Nad on välja töötanud avatud lähtekoodiga turbetööriistad, mida igaüks saab kasutada, ning on kirglik õpetamise ja võimaluste pakkumise vastu pürgivatele plokiahela arendajatele. Varem on nad korraldanud veebikursusi arendajatele, kes soovivad töötada plokiahelas, ja isegi saanud Solana fondilt toetust Solana suvekool.

Meeskond pakub veebis suvekoole, kus õpetatakse Solidityt, ning 2022. aasta sügisel osaleb Ackee Blockchaini tegevjuht ja kaasasutaja Ph.D. Josef Gattermayer. õpetab plokiahela arendamise teemasid Tšehhi tehnikaülikool Prahas. Kindlasti tasub pöörduda Ackee meeskonna poole, kursustele registreerimine nende saidil ja jälgige neid, kui olete huvitatud plokiahela arendamise ja turvalisuse tulevikust.

Nagu näete, võib plokiahela auditeerimine tähendada enamat kui lihtsalt pimedas ruumis nohistamist ja koodi otsimist, niššis on kapseldatud terve ökosüsteem.

Miks on plokiahela auditeerimine oluline?

Kui inimesed oleksid täiuslikud, poleks plokiahela auditeerimisettevõtteid vaja, kuna iga koodirida oleks kirjutatud veatult ja täielikult ärakasutamiste, vigade ja rünnakute suhtes läbitungimatu.

Veelgi hullem kui inimesed teevad vigu, on see, et inimesed võivad olla korrumpeerunud ja pahatahtlikud. Üsna sagedane juhtum on see, et halvad osalejad sisestavad oma protokolli tahtlikult pahatahtliku koodi, mis võimaldab neil kasutada nende loodud platvormi, et varastada kasutajate raha.

Inimliku vea ja pahatahtliku kavatsuse vahel on nutikad lepingud ja plokiahela rakendused/DApp-id vastuvõtlikud järgmistele riskidele:

• Teenuse keelamise rünnakud, mis muudavad protokolli kasutamiskõlbmatuks.
• Vaipade tõmbamine/tagaukse vargus, kus asutajad sisestavad pahatahtliku koodi, mis võimaldab neil nutikasse lepingusse pandud raha välja võtta.
• Koodi ärakasutamine viisil, mis toob kasu häkkerile ja kahjustab kasutajaid, näiteks uute žetoonide vermimine väljaspool kavandatud meetodeid või klientide raha kulutamine nutikatest lepingutest.
• Mõned häkkerid tahavad lihtsalt "vaadata, kuidas maailm põleb" ja kasutavad kõiki leitud vigu platvormi kahjustamiseks.

Paljud DeFi kasutajad peavad DeFi platvormil üheks kõige olulisemaks asjaks seda, kas kood on avatud lähtekoodiga või mitte. See on suurepärane esimene samm, kuna paljud projektid avaldavad koodi avalikul saidil nagu Github, kuhu igaüks saab siseneda ja koodi ise kontrollida/kinnitada.

Projekti GitHubi lehte vaadates on see sageli üks asi, mida kasutajad, kes kaaluvad DAppi kasutamist, otsivad, kasutades taas näitena 1 tolli:

See on hea esialgne lähenemisviis protokolli autentsuse kontrollimiseks, kuna see on koht, kus kogukonna liikmed või kõik saavad siseneda ja kontrollida, kas seal pole pahatahtlikku koodi peidetud.

Samuti on kasulik teada, et igaüks võib GitHubis midagi postitada. GitHubis postitatud kood ei kinnita automaatselt, et see on sama kood, mis kasutab nutikat lepingut. Õnneks saavad kasutajad seda kontrollida, minnes plokiuurijasse (nt Etherscan) ja kontrollides, kas GitHubi kood on tegelikult juurutatud ja kasutatud. Siin on 1-tolline Token Etherscanis, näiteks. Ma kaldun nõustuma arvamusega, et GitHubis avatud lähtekoodiga avaldamine on hea märk, kuid kui ma GitHubile klõpsan, et vaadata, siis näen ma ainult järgmist:

Nii et selle asemel, et mu aju praadida nagu muna kuumal kõnniteel, püüdes seda aru saada, meeldib mulle näha, et plokiahela audiitorfirma professionaalide meeskond on kõik selle läbi uurinud ja pöidlad pihku andnud.

Oluline on üks asi selgeks teha ja see on see, et see, et protokoll on auditeeritud, ei tähenda, et see on 100% ohutu. Ühtegi koodi ei saa kunagi pidada häkkimiskatsete suhtes täiesti läbitungimatuks, kuna häkkerite tööriistad ja oskused muutuvad kogu aeg keerukamaks. Nii nagu valge mütsiga (head) häkkerid ja plokiahela arendajad muutuvad kogu aeg paremaks ja arenevad, on ka pahad.

Seda võib mõelda nagu kassi ja hiire mängust, koodi kirjutamine on sisuliselt nagu loomingulise pusle koostamine ja probleemide lahendamine ning häkkerid otsivad viise, kuidas mõistatust lahendada või rünnata üha nutikamal ja keerukamal viisil, nii et jääda alati riskielemendiks.

Miks on 2022. aasta krüptotöö jaoks eriti halb olnud?

Kui näeme selliseid pealkirju:

See võib olla üsna südantlõhestav. Krüptotööstusele on antud tõsine must silm, kuna näib, et igal nädalal toimub järjekordne ulatuslik häkkimine või ärakasutamine, mille tulemuseks on miljoneid rahalisi vahendeid.

See pole mitte ainult kurb, kuna tegemist on tavaliste inimestega, kes oma raha kaotavad, vaid ka murettekitav, kuna need rünnakud allutavad kogu krüptotööstust üha karmimale kriitikale, aeglustavad kasutuselevõttu, hoiavad investorid eemal ja pakuvad valitsustele vabandusi, mida nad vajavad oma autoriteetsuse suurendamiseks. kontrolli investorite "kaitsmiseks", kehtestades sageli karmid meetmed, millest paljud meist põgenemiseks krüpto poole pöördusid.

Selle peamine põhjus taandub hooletule arendaja inseneritööle.

Kui ma Ackee'st pärit Josefiga maha istusin, küsisin tema arvamust selle kohta, miks on toimunud rekordarv ärakasutamist, tema selgitus oli loogiline.

Tugevalt parafraseerides jätkas Josef mulle selgitamist, et krüptotööstus kasvab kiiresti ja meeskondade pärast käib äge võidujooks oma toodete turuletoomiseks. Puudu on kvalifitseeritud ja kogenud plokiahela arendajatest, kes suudaksid nõudlust rahuldada, mistõttu paljud projektid palkavad algajaid arendajaid ja suhtuvad "piisavalt hästi" ning käivitavad DApps ilma nõuetekohaste kontrollide ja audititeta.

Josef selgitas ka, et vajadus plokiahela audititeenuste järele kasvab hüppeliselt ning projektide nõudluse rahuldamiseks pole piisavalt plokiahela auditeerimisettevõtteid. Selle tulemusel ei ole projektimeeskonnad soovinud oodata auditeerimismeeskonna kättesaadavaks saamist, mistõttu nad käivitavad või vabastavad versiooniuuenduse, kas ilma auditita või tuginedes aegunud auditile, mis ei hõlma platvormi uus versioon või iteratsioon.

See teema oli eriti aktuaalne 2021. aasta härjajooksu ajal, kuid nüüd, mil oleme karuturul, on asi palju rahulikum. Projektidega pole eriti kiiret ja auditeerimise kitsaskohas on projekte vähem. On tõsi, et karuturud on ehitamise aeg ja aeglasematel turuaegadel kipuvad meeskonnad hoolsamalt lähenema.

Vaatasime üle kaks konkreetset edukat rünnakut, et uurida, mis täpselt kukkus, et aidata seda kõike perspektiivi näha.

2016. aasta Ethereum DAO häkkimine

Sisuliselt oli see, mis siin juhtus, midagi, mida tuntakse taassisenemise veana. Lihtsamalt öeldes täidab kood kahte käsku:

1. Tagasi
2. Värskenda saldo

Kui teostada kronoloogiliselt, töötab see nii nagu peab. Kuid kuna Ethereum on hajutatud süsteem (erinevalt web2 programmidest), saab lepingut välja kutsuda teisest lepingust, mis annab võimaluse rakendada kohandatud tagasihelistamisfunktsiooni, mis kutsutakse välja tagasivõtmise juhisest.

Ja see häkkeri rakendatud tagasihelistamise funktsioon kutsub lepingu uuesti mitu korda välja, enne kui värskendusbilansi käsk lõpuks täidetakse. See võimaldab ründajal mitu korda taganeda.

See on algajate web3 arendajate sage viga. Isegi viis aastat pärast seda rünnakut kerkib probleem endiselt esile sellest, et arendajad ei võta aega sellest juhtumist õppida. Lahendus on antud juhul üsna lihtne ja see on lihtsalt need kaks koodirida vastupidises järjekorras asetada. Kõigepealt värskendamine, seejärel eemaldamine.

Audiitorid otsivad protokolli auditeerimisel selliseid teadaolevaid probleeme.

Solana Wormhole Attack 2022

2022. aasta ei alanud hästi, kuna veebruari alguses toimus Solanale esimene suur rünnak. Ründaja möödus Rust programmi allkirja kontrollimisest, nii et paistis, et eestkostjad olid allkirjastanud 120 XNUMX ETH deposiidi Solana Wormhole'i, kuigi nad seda ei teinud. Seejärel vermib ründaja 120 XNUMX väärtuses pakitud ETH-d Solanas.

Enne seda ussiaugu rünnakut eeldasid paljud krüptokogukonnas, et Solana ja Rusti arendamine on amatöörarendajate meelitamiseks liiga raske õppida. See tõi kaasa veendumuse, et Solana kallal töötasid ainult parimad arendajad, mis tähendab, et auditite vajadus ei olnud nii suur. Pärast seda rünnakut mainis Josef, et tema ja ta meeskond nägid Solana DAppide ja protokollide audititaotluste märkimisväärset kasvu.

Pärast kõike seda võite mõelda, et kui inimesed on vigade ja kahjulike kavatsuste allikas, siis kas poleks mõttekas lasta arvutitel ja tehisintellekti masinatel, mis tõenäoliselt ei tee vigu ega ole võimelised pahatahtlikeks kavatsusteks, lihtsalt kogu selle koodi kirjutama. meile?

See on suurepärane küsimus ja ülaltoodud artiklite tõttu on see midagi, mis on mulle ka pähe tulnud. Me käsitleme seda järgmises jaotises.

Blockchaini turvalisuse tulevik

On ilmne, et liigume tuleviku suunas, kus paljud meie töökohad antakse arvutitele ja tehisintellektiprogrammidele, mis suudavad inimeste ülesandeid palju paremini teha kui meie.

Me näeme seda juba automatiseeritud kassapidajate ja autotootmistehaste puhul, kus on rohkem roboteid kui inimesi. Arvutid võtavad üle isegi väga spetsialiseerunud töökohad, nagu arstid ja apteekrid, kuna robot võib skalpelliga olla täpsem ja arvutiprogramm suudab läbi uurida kogu ravimite andmebaasi ning koostada mõne sekundi jooksul aruandeid selle kohta, milliseid ravimeid võib ja mida mitte teiste kemikaalidega segada. ravimid, inimese jaoks võimatu ülesanne.

Arvasin kindlalt, et programmeerimine ja arendamine on üks esimesi töid, mis asendatakse arvutitega. Kui ekraanil on kõik tähed ja numbrid, mis on loodud teatud ülesannete täitmiseks, siis kindlasti saaks arvuti seda teha paremini kui inimene ja vähemate vigadega, eks?

Arvasin, et plokiahela auditeerimisettevõtted lähevad Dodo linnu teed (väljasurnud), sest kui arvutid hakkavad iseseisvalt arenema, pole enam vigu leida. See tõi esile, kui vähe ma teadsin arendusest, kuna Ackee meeskond selgitas mõningaid kontseptsioone, mida ma ei olnud hinnanud.

Suur osa plokiahela arendamisest on probleemide lahendamine ja probleemile 360-kraadise vaate vaatamine. See nõuab palju loovust ja "kastist väljas" mõtlemist, mida arvutid ei suuda. See pole lihtsalt nii lihtne kui "kui "X" juhtub, käivitage "Y".

Samuti peame arvestama, et paljud neist DA-rakendustest ja rakendustest püüavad lahendada "inimlikke" probleeme ja seda, kuidas me süsteemide, protokollide ja protseduuridega suhtleme. Vabandust, väike Butter Bot, aga te ei taha inimeste probleeme mõista ja inimlikke lahendusi pakkuda.

Mitte ainult töökohad plokiahela arendamise ja turvalisuse valdkonnas ei kasva hüppeliselt, vaid tundub, et nende rollide järele on vajadus veel aastaid.

See aga ei tähenda, et web3 arendusruumis automatiseerimist ei toimu. Arendajatele on palju tasuta tööriistu, mis annavad neile turvalisuse tagasisidet ja aitavad osa tööst maha laadida, et arendajad saaksid keskenduda muudele ülesannetele.

Näiteks Ethereumis on hea staatilise koodianalüsaator Libisema mis on väga populaarne ja Ackee Blockchain töötab oma avatud lähtekoodiga staatilise analüsaatori kallal Ärkasin, mis tuvastab asjad teisiti kui Slither, vähendades sellega koodi käsitsi analüüsimise koormust.

Ackee meeskond avastas ka Solana suundumuse seoses testidega seotud probleemiga. Arendajad ei kirjutanud neist piisavalt, kuna see on üsna töömahukas ja vaja on kirjutada palju standardkoodi. Niisiis juhtis Ackee Blockchain projekti, kus nad kirjutasid Solana jaoks avatud lähtekoodiga testimisraamistiku nimega Trdelnik mis võimaldab arendajatel teste lihtsamini kirjutada. Meeskond sai aumärgi ja pälvis Marinaadi auhinna a häkkimismaraton Prahas Trdelniku jaoks.

Kõik see näitab meile, et on tõenäoline, et automatiseerimine ja arvutid mängivad plokiahela arendajate ja turvaaudiitorite abistamisel üha olulisemat rolli, kuid tõenäoliselt ei asenda need niipea.

Plokiahela arendajate üldine arvamus on, et paljud neist häkkimistest ja ärakasutamistest tulenevad sellest, et tegemist on endiselt noore ja kogenematu tööstusega. Kuna plokiahela tööstus areneb ja küpseb, peaks kasutusi jääma järjest vähem, mille tulemusena muutub üldine krüptoruum turvalisemaks ja kasutajasõbralikumaks.

Olgu, asume nüüd heade asjade juurde, mis on selle artikli peamine väljavõte.

Kuidas kontrollida, kas platvormi on auditeeritud

Kõige esimene samm on tegelikult veenduda, et audit on olemas. Need leiate projekti GitHubi hoidlast ja kõik läbiviidud auditid tuleks selgelt mainida projekti dokumentides või platvormi veebisaidil. Kui te ei leia ühtegi mainimist auditi kohta, hoiaksin eemale.

Avalikult kättesaadava auditi puudumine tähendab tõenäoliselt järgmist:

• Auditit läbi viidud ei ole
• On toimunud ebaõnnestunud audit, millest projekti ei taheta teada saada
• Auditi käigus avastati probleeme, millega meeskond ei tegelenud
• Kood sisaldab pahatahtlikke tagaukse marsruute, mis võivad viia varguseni

Nagu varem mainitud, on ka tore näha, et kood on avatud lähtekoodiga, kuna see on GitHubis "avalik". See ei ole nõue, kuid see on siiski boonus. Siiski on põhjuseid, miks mitte avatud lähtekoodiga koodi kasutada, nii et see ei ole alati tehingu katkestaja. Põhjused, miks avatud lähtekoodiga koodi ei soovitata, võivad olla järgmised:

• Ettevõtted, kes soovivad säilitada konkurentsieelise. Niipea, kui ettevõte oma koodi avab, saab igaüks luua sama protokolli ja võistelda. Seetõttu hoiab Coca-Cola oma retsepti saladuses ja KFC-l on kuulsad "11 ülisalajast ürti ja vürtsi".
• Kui kood on avalik, saavad häkkerid seda teavet kasutada ärakasutamiste otsimiseks. Kuigi hea tava toimib vastupidiselt, avaldavad nad selle, kui projekt on oma koodis kindel.
• Varased projektid ei pruugi soovida oma koodi kohe avada enne, kui nad on loonud suure kogukonna ja piisavalt kasutajaid, luues potentsiaalsetele konkurentidele takistuse.

Kohtusin hiljuti projektimeeskonnaga, kes kahetses kohe oma platvormi avatud hankimist, kuna konkureeriv ettevõte lihtsalt kopeeris nende koodi ja ärimudeli ning tal oli rohkem raha, et maksta mõjutajatele ja maksta jälgijate eest. See andis mulje, et konkureeriv ettevõte oli parem platvorm kohe käivitamisest alates, kuna see jättis mulje rohkematest kasutajatest ja suuremast jälgijaskonnast. Konkureeriv ettevõte on nüüd oluliselt ees algsest asutajameeskonnast, kes otsustas kasvada orgaanilisemalt ja eetilisemalt.

Siin on suurepärane visuaal Ülemaailmne sild mis võtab kokku mõned üldised erinevused avatud lähtekoodiga ja suletud lähtekoodiga tarkvara vahel:

Populaarsete riistvaraliste rahakottide võrdlemisel võib leida kaks huvitavat lähenemist avatud ja suletud lähtekoodile Trezor ja pearaamat. Trezor otsustas avaldada 100% oma lähtekoodist avalikkusele, et igaüks saaks seda kontrollida, samas kui Ledger otsustas mängida oma kaardid rinnale lähemal ja avada koodi, kuid hoida püsivara suletud lähtekoodina.

See viis selleni, et paljud plokiahela eliidid valisid Ledgeri asemel Trezori, kuna nad arvasid, et Ledger peaks oma koodi avama, mõeldes, mida nad varjata üritavad. Mina isiklikult ei pea seda murelikuks, kuna Ledger on tõestanud oma kogemusi ja pühendumust ruumile ning kasvanud üheks suurimaks riistvararahakoti pakkujaks maailmas, luues ühe kõrgeima klassi turvalise krüptosalvestuse. seadmeid.

Pärast auditi läbiviimist ja asukohta, nii kaua kui see on avalikustatud, saab igaüks dokumendi avada ja auditi tulemusi näha. Selle asemel, et kogu auditidokumenti läbi kerida, on meie lihtsal eesmärgil vaja otsida ainult lehekülge „Kokkuvõte”, mis näeb sageli välja umbes selline:

See leht asub aruande alguses või lõpus. See on leht, mis näitab auditi tulemusi lihtsas, tavainimesele arusaadavas formaadis. Sukeldume sellesse, millist teavet see meile näitab.

Kas audit on värske? Auditid peaksid olema pidevad teenused ja IGA värskenduse, versiooni või uue funktsiooni/funktsiooni kohta tuleks kindlasti läbi viia uus audit. Kui on käivitatud uus funktsioon või versioon, siis eelmised auditi tulemused enam ei kehti, kuna koodibaas on tõenäoliselt muutunud.

Seda saab kontrollida, vaadates projekti versiooni ja/või tehes räsi. Versioon on umbes selline, kui näete Lahutage "V2" (versioon 2) ja sissekandmise räsi tuvastab redaktsiooni lähtekoodi hoidlas. Vaadates auditis näidatud versiooni või sissekandmise räsi, mida võib näha ülaltoodud tabeli pildil pealkirjaga „hoidla”, saavad kasutajad kontrollida, kas see ühtib GitHubis näidatud versiooni või sissekandmise räsiga.

See näeb välja umbes selline:

Siin on veel üks pilk ühest Ackee Blockchain Auditist:

Kui aga räsi ei ühti, ei tähenda see tingimata punase lipu olemasolu. Kinnitusräsi projekti GitHubis muutub iga kord, kui tehakse uus kohandus või iteratsioon. Iga korrigeerimine muudab kinnistamise räsi ja ei tohiks olla murettekitav, kui tegemist oli vaid väikese korrigeerimisega.

Kui te ei näe GitHubi põhilehel auditi sissekandmise räsi, võite minna jaotisse „Kommitamise ajalugu“ ja otsida sissekandmise räsi ning vaadata ise, kui palju on pärast auditi läbiviimist muutunud.

Seda saab teha klõpsates siin:

Tehke siis otsing siit:

Kuna iga muudatuse jaoks täidetakse uus kinnistamise räsi, millest igaühel on kuupäeva- ja kellaajatempel, siis kui auditi läbiviimise ja projekti parajasti sissekandmise räsi vahel on olnud märkimisväärne arv uusi sissemakseid, võite soovivad enne kaasamist oodata, kuni viiakse läbi uus audit.

Kui teil on analüütiline pilk ja soovite sukelduda sügavamale, võite klõpsata iga uue sissekandmise räsi ja võrrelda vana punasega näidatud koodi uue rohelisega ning veenduda ise, mis täpselt on muutunud:

Kui märkate uut sissekandmise räsi, mis erineb auditi läbiviimisest, ja näete midagi sellist:

See on üks neist tähtsusetutest muudatustest, mida mainisin, ja kuigi see asutas uue sissekandmise räsi, pole see põhjust muretsemiseks, kuna see oli faili lihtne ümbernimetamine. Ülaltoodud GitHubi pilt näitab 0 lisamist ja 0 kustutamist.

Nüüd järgmise asja juurde, mida kokkuvõttes otsida:

Probleemid – Kokkuvõte näitab kõiki auditi käigus ilmnenud probleeme ja mis veelgi olulisem, kui meeskond probleemid lahendas. Seda jaotist näete allosas, kus kuvatakse „Probleemid kokku”, seejärel jaotatakse need tõsiduse järgi ja selle järgi, kas need lahendati või mitte. Audiitorettevõte tuvastab esmalt probleemid, märgib need arendajameeskonnale ja kontrollib seejärel koodi uuesti, kui arendajad on probleemid lahendanud, enne kui auditimeeskond märgib probleemi „lahendatud”.

On selge, et kõik probleemid, mis on märgistatud kui "kriitilised" või "kõrge riskiga", tuleks lahendada. Isegi kui aruanne näitab, et kõik kriitilised või kõrge riskiga probleemid on lahendatud, tuleks seda siiski projekti suhtes skeptiliselt märkida. Kui auditimeeskond leidis alustuseks palju kriitilisi probleeme, võib see rõhutada, et projekti taga olev arendajameeskond võib olla üsna algaja, mis toob kaasa täiendavaid ja täiendavaid probleeme.

Keskmise või madala riskiga probleemid on tavalised ega põhjusta tavaliselt muret. Auditimeeskond võib isegi märkida midagi madala riskiga probleemiks, kui nad lihtsalt pakuvad välja alternatiivi või kui neil on eriarvamused, kuidas millelegi läheneda.

Siin on kokkuvõte selle kohta, mida iga kategooria tähendab:

Kriitiline – Kõik, mis on märgitud kriitiliseks, tähendab, et midagi on praegu ära kasutatud.

Ackee Blockchaini meeskond rääkis mulle loo nende läbiviidud auditist, kus nad leidsid kriitilise probleemi juba käivitatud protokollis. Nad äratasid projekti arendajameeskonna kell 5 hommikul hädaolukorras "kõik käed tekil", et kood võimalikult kiiresti parandada. Õnneks tabasid nad probleemi õigeaegselt, enne kui häkkerid suutsid haavatavuse tuvastada.

Suure raskusastmega – Probleemid, mida ei saa praegu kasutada, kuid mis võivad tekkida, kui teatud järjestused on täidetud.

Keskmine kuni madal – Need on sageli vajalikud väikesed muudatused või soovitused ja mitte tingimata turvaohud.

Erinevad audiitorfirmad koostavad kokkuvõtteid ka erinevates vormingutes. Ülaltoodud kokkuvõtte koostas audiitorfirma Kvantstamp. Ackee Blockchain pakub PDF-faili auditi ja veebikokkuvõtte, mis ühendab esialgsed ja järeltulemused lihtsamini loetavas esseevormingus. Selle näite leiate nendest Auditi kokkuvõte.

Täiendavad asjad, mida otsida:

• Kas auditi on läbi viinud rohkem kui üks ettevõte? Mida rohkem silmi probleeme otsib, seda väiksem on tõenäosus, et koodis esineb vigu.
• Kas plokiahela audiitorfirma on professionaalne ja kogukonnas lugupeetud? Kui te pole audiitorfirmast varem kuulnud, vaadake nende veebisaiti ja otsige teisi projekte, millega nad on töötanud. Kas mõni nende auditeeritud platvorm on hea mainega? Kontrollige, kas mõnda platvormi kasutati ära pärast ettevõtte auditi läbiviimist. See võib esile tuua kehvade auditeerimisoskuste kogemused. Otsige selliseid asju nagu võidetud häkatonid ja 1. kihi võrgustiku sihtasutuste toetus/toetused.

Hea näide sellest on Ackee Blockchain, millele on ametlikke arendus-/kogukonnatoetusi määranud neli peamist sihtasutust: Coinbase Giving, Ethereumi sihtasutus, Solana sihtasutus ja Tezose sihtasutus.

Kui olete keegi, kes on praegusel valeinformatsiooni ajastul muutunud arusaadavalt ebausaldusväärseks, kui näete väidet, nagu ülaltoodud Ackee Blockchaini veebisaidilt võetud pilt, võite selle asemel, et sõna võtta, alati sihtasutuste veebisaitidele liikuda. mainitud ja kontrollige väiteid ise.

Põhjus, miks ma seda väidan, on see, et minu aastate jooksul arvustusi kirjutades on tohutult palju veebisaite, mis väidavad, et Forbesis või Yahoo Finance'is on esile tõstetud. Soovin, et oleks mingi Interneti-politsei, mis suudaks ettevõtted selliste valelike ja eksitavate avalduste eest Interneti-vanglasse vedada. Seetõttu on krüpto keeles ütlus: "Ära usalda, kontrolli". Ärge muretsege, Ackee kontrollib välja ja tegelikult usaldavad ülaltoodud fondid, ma kontrollisin 😉

Sulgemise mõtted

Noh, see on käes. Veidi teavet plokiahela turvalisuse kohta, mis loodetavasti oli teile kasulik. Loodan, et see artikkel aitab teil end kindlamalt tunda, kui lähete veel ühe soomuskihiga krüptomaailma ja saate senisest turvalisemalt krüptovetes navigeerida. Tean, et kontrollin hoolikalt seda teavet järgmisel korral, kui valin, milliseid DApp-e ja protokolle ma oma krüptovarasid usaldan.

Nagu öeldakse: "Krüpto puhul pole oluline see, kui palju te teenite, vaid see, kui palju te alles hoiate", kuna kahjuks on paljud meist, vanadest krüptoveteranidest, lugematute häkkimiste käigus kaotanud rohkem kui meie õiglane osa Satoshist. pettused, vaibatõmbed, pankrotid jne. Mida rohkem teadmisi meil on, seda paremini suudame end kaitsta paljude karmide riskide eest, mis selles uues ja tärkavas krüptomaailmas eksisteerivad.

Kohustustest loobumine: need on kirjaniku arvamused ja neid ei tohiks pidada investeerimisnõuanneteks. Lugejad peaksid ise uurima.