Kuidas audiitorid tuvastavad DeFi vaiba tõmbamise pettuse: kas saate seda ise teha?

Häkkerid varastasid 2022. aastal detsentraliseeritud rahanduse (DeFi) platvormidelt rohkem krüptovaluutat kui kunagi varem. Peaaegu 98% kõigist DeFi lipulaevas DEX Uniswapis käivitatud žetoonidest tuvastati vaipade tõmbamisena.

Viimane, Defrost Finance, tuli kui krüptoinvestorite jõuluõudusunenägu, pühkides välja 12 miljonit dollarit nende rahast. 

Enamik DeFi platvormide häkkimisi toimub turvarikkumiste ja koodi ärakasutamise kaudu. Projektidel, mis lõppevad vaipade tõmbamisega pettustega, on tõsiseid turvaprobleeme, mis on lastud tahtlikult libiseda või võib-olla avastamata. Sarnaste riskide vältimiseks on DeFi turvaauditid kriitilise tähtsusega.

Siit saame rohkem teada nende auditite, nende läbiviimise ja selle kohta, kas DeFi auditit on võimalik ise läbi viia. 

DeFi projekte rakendatakse keerukate isetäitvate nutikate lepingutena, mis on sageli läbipaistvad ja avatud lähtekoodiga. Need toimivad kahe osapoole vahelise juriidilise lepinguna. Ja kuna nende taga pole ühtegi tsentraliseeritud üksust, võib isegi väike viga nutikates lepingutes kaasa tuua pöördumatuid tagajärgi.

See tähendab, et nutikates lepingutes ei tohiks vigadele ruumi jääda. DeFi nutikate lepingute turvaauditid on mõeldud selle tagamiseks.

Turvaauditid uurivad nutikate lepingute koodi ja seda, kuidas see lepingutingimusi põhjendab. Üksikasjalik analüüs otsib koodist võimalikke turvavigu, rikkumisi ja süsteemivigu, nii et seda ei saa ära kasutada. 

Turvaauditid, mida tavaliselt viivad läbi kolmandad osapooled, on projektide turvalisuse ja usaldusväärsuse tagamiseks ning terve DeFi ökosüsteemi säilitamiseks üliolulised.

Vaiba tõmbamine on teatud tüüpi väljumispettus, mis toimib lihtsas mudelis: arendajad loovad seadusliku välimusega DeFi-protokolli, käitavad ja reklaamivad seda, kuni projekt meelitab piisavalt likviidsust, seejärel tõmbavad raha välja ja kaovad. 

No mitte alati. Aeg-ajalt süüdistavad petturid häkkereid likviidsuse varastamises ja jätkavad tegevust järgmise korrani.

Rünnaku rakendamiseks manustavad petturid nutikatesse lepingutesse pahatahtliku koodi. Nad muudavad neid, et takistada investoreid müümast: määrake maksimaalne (100%) müügitasu, lisage žetoonide omanikud musta nimekirja ja lukustage kasutajate raha lepingusse.

Mõned nutikad lepingud hõlmavad nendesse pahatahtliku tagaukse kodeerimist, mis võimaldab arendajatel likviidsust eemaldada.  

Enamasti ei kontrolli turvaaudiitorid muudetud nutikaid lepinguid ja on avalikkuse eest varjatud. Kuna enamik ahelasiseseid lepinguid on avalikult kättesaadavad, puudub läbipaistvus GitHub võib olla punane lipp. 

Plokiahela ja nutikate lepingute tööstus on veel suhteliselt noor, nagu ka nutikate lepingute auditi sektor. Paljud ettevõtted on spetsialiseerunud nutikatele lepingute turvaaudititele, arendavad oma tööriistu ja kujundavad oma oskusteavet. 

Nutikate lepingute turvalisuse valdkonna standardid ja parimad tavad arenevad. Sellele vaatamata kasutavad DeFi audititööstuse mängijad mõningaid üsna standardseid auditimeetodeid.

Tavaliselt algavad nende uurimised nutika lepingu hindamisega. Audiitor analüüsib DeFi protokolli valget paberit, äriloogikat ja tehnilisi spetsifikatsioone, et hinnata võimalikke riske ja turvaelemente.

Seejärel suunavad nad tähelepanu nutika lepingu koodile. See on siis, kui koodi ülevaatus ja analüüs algab. 

Audiitorid kontrollivad koodi rida-realt, otsides erineva tasemega turvaauke: kriitilisi, mille tagajärjeks võib olla likviidsusleke; keskmise tasemega, mis võib nutikat lepingut osaliselt kahjustada; ja madala tasemega probleemid, mis mõjutavad lepingu turvalisust kõige vähem.

Nad kasutavad mitmeid audititehnikaid, sealhulgas automaatset ja käsitsi analüüsi. Mõlemal on oma plussid ja miinused.

Automatiseeritud turvaaudit tähendab koodi skannimist automatiseeritud analüüsitarkvaraga, mis otsib vigu teadaolevate turvaaukude andmebaasist ja tuvastab nende täpse asukoha koodis.

Tarkvarapõhine audit viiakse tavaliselt läbi enne käsitsi analüüsi, et tuvastada vigu, mida inimesed võivad kahe silma vahele jätta. See on kiirem ja vähem aeganõudev, kuid samal ajal ei pruugi see alati kontekstist teadlik olla ja seega teatud haavatavused märkamata jätta. 

Manuaalne koodianalüüs on nutika lepingu auditeerimise kuningas ja see on kõikehõlmava ja täpse nutika koodi turvaauditi kõige olulisem osa. Seda viivad läbi vähemalt kaks eraldi eksperti, kes kontrollivad koodi rida-realt.

Eesmärk on kontrollida, et iga projekti spetsifikatsiooni detail on nutikas lepingus juurutatud ja miski ei riku selle algselt kavandatud käitumist. 

Audiitorid kontrollivad koodi tahtmatu, ootamatu käitumise, oluliste turvaprobleemide ja haavatavuste suhtes, nagu naasmine, andmetega manipuleerimine, kiirlaenud ja muud manipulatsioonid, mida võidakse rakendada, kui nutikas leping teistega suhtleb.

Lisaks käitavad manuaalsed auditid simulatsioone, et hinnata, kui hästi DeFi projekti nutikas leping tundmatutele ohtudele reageerib ja kui hästi suudab see end nende eest kaitsta. 

Manuaalse koodianalüüsi viimases osas võrdleb audiitor nutika lepingu loogikat selle kirjeldusega projekti valges raamatus. 

Kui kõik haavatavused on tuvastatud ja parandatud, viivad audiitorid läbi topeltkontrolli, et tagada nutika koodi ootuspärane töötamine.

Lõpuks, pärast turvaauditi lõppu, koostavad audiitorid põhjaliku aruande. Siin annavad nad üksikasjalikku tagasisidet selle kohta, mida nad avastasid. Tavaliselt sisaldab nende aruanne soovitusi selle kohta, kuidas tuvastatud koodi nõrkusi projekti turvalisuse leevendamiseks parandada. 

Nutikad lepingud on suhteliselt uus uuendus. Nende turvastandardid arenevad vastavalt. See tähendab, et ükski kuldreegel ei taga nutikate lepingute täielikku turvalisust.

Pealegi ei ole kõik targad lepingute audiitorfirmad ühesugused ja kõik auditid ei taga turvalisust. Audiitoritel võivad olla erinevad oskuste tasemed, erinevad eesmärgid ja erinevad kulud.

Rääkimata tõsiasjast, et turg on täis visandlikke arendajaid, kes sepistavad auditeid ja saavad siiski auväärse ettevõtte nimest kasu. Nii juhtus enam kui aasta tagasi plokiahela turva- ja andmeanalüütikafirma Peckshieldiga.

Sellised olukorrad on krüptovaluutade valdkonnas üsna tavalised. Nad võtavad seadusliku ja auväärse audiitori nime ja lisavad selle oma valgesse raamatusse, öeldes, et nende protokolli auditeeriti.

Ainus viis selliseid juhtumeid vältida on kontrollida kinnitust audiitori algkanalitel. Kui neid pole, on tõenäoline, et audiitori nimi on varastatud. 

Kontrollige alati oma kliendiportfelli, et hinnata, kas audiitor on kindel ja hea mainega. Googeldage juhtumeid, et kontrollida nende kogemusi ja kontrollida, kas mõni auditeeritud projekt on kannatanud vaiba tõmbamise või muude rünnakute all.

Kuna krüptoruumis on nii palju häkkimisi ja vaibatõmbeid, on naiivne ette kujutada, et DeFi projektid on ohutud ilma neid üksikasjalikumalt uurimata. Nutikad lepinguauditid pakuvad kriitilist turvalisust. 

Kuid isegi kõige professionaalsemad ei garanteeri, et DeFi projekt on täiesti veavaba. Nutikad lepingud on keerulised. Need nõuavad üksikasjalikku ja kõikehõlmavat analüüsi, teadmisi, tööriistu ja, mis kõige tähtsam, rohkem kui ühte silmapaari.