Kui kaua võtab aega nutikate lepingute auditeerimine | DeFi

Peaaegu pooled Ethereumi ökosüsteemi nutikatest lepingutest on auditeerimata, mis toob kaasa üha suurema hulga häkkimisi. 

Nutikas lepinguaudit on üldiselt nutika lepingu või DeFi rakenduse teekonna viimane samm ja jäetakse sageli välja. Arvestades nutikate lepingute tähtsust DeFi maailmas või mis tahes Blockchaini rakenduses, on nutikate lepingute auditeerimine rakenduse oluline osa. 

Olgu selleks siis finantsrevolutsioon, varade tokeniseerimine või mis tahes kasutusjuhtumi rakendamine Blockchaini platvormi peal, nutikad lepingud on hädavajalikud. Sisuliselt on nutikad lepingud vaid mõned koodiread, mida kasutatakse tingimuse täitmiseks. Näiteks kui võtate laenu DeFi rakendusest nagu Aave ja Compound, andes tagatise ja makstes laenult teatud intressi, on kõik tingimused määratletud nutikate lepingute kaudu. 

Selle stsenaariumi korral on finantskoostöö digitaalse ökosüsteemi loomisega seotud mitu nutikat lepingut. Siin tuleb mõista, et need mitmed nutikad lepingud on üksteisest sõltuvad. Üks väike viga mis tahes nutika lepingu mis tahes koodireas võib viia drastiliste tulemusteni. 

Levinud on eksiarvamus, et arukas lepinguaudit võtab ebamõistlikult palju aega. See on üldistatud vaade, samas kui tegelikkuses sõltub nutika lepingu auditi jaoks kuluv aeg kasutusjuhtumi keerukusest ja paljudest muudest teguritest. Teadmiste puudumine auditi aja kohta on üks silmapaistvaid põhjuseid, miks paljud nutikad lepingud jäävad auditeerimata.

Kui kaua võtab aega nutikate lepingute audit

Allpool on mainitud mõned võimalused, mis aruka lepingu auditi jaoks aega võib võtta.

1. Kõige tavalisem tegur, mida auditi puhul arvesse võtta, on projekti suurus. Projekti keerukus on samuti oluline, kuid projekti suurus muutub auditile kuluva aja määramisel esmaseks tunnuseks.

Üldiselt võib lihtne nutikas leping, nagu ERC20 žetoonide leping, võtta paar päeva, mis tähendab, et selliste lepingute auditeerimisaeg võib kesta 24–48 tundi. See sõltub jällegi projekti keerukusest. Kui ERC20 kasutatakse Dappis, võib audit kesta peaaegu terve kuu. 

Teine lepingutüüp on sümboolne müügileping. Neid saab määratleda kui täiustatud ERC20 lepinguid, millel on määratletud tokenoomika ja täiustatud funktsioonid. Selliste lepingute osaks võivad olla ka sellised funktsioonid nagu panustamine ja vahetamine. Selliste lepingute täielik audit võib võtta aega üks kuni kaks nädalat, võrreldes ERC20 põhilepingu paari päevaga.

2. Nagu eespool mainitud, sõltub auditite aeg ka projekti keerukusest. Näiteks kui ehitate detsentraliseeritud börsi või detsentraliseeritud rahaturgu, nagu Aave, on auditiks vaja asjatundlikku audiitorit ja ulatuslikku ajakava, et tagada tagauste puudumine. Sellisel juhul tuleb isegi oraakleid koos automatiseeritud turutegijate ja muude ökosüsteemi osadega auditeerida.

Mõnel juhul avab protokolli või nutikate lepingute sõltuvus välistest teguritest selle tohutu haavatavusega, mis võib põhjustada kujuteldamatuid kaotusi. 

Seetõttu nõuab sellist tüüpi taotlus auditit, mis võtab aega kuni 1 kuu. 

Teised sellesse kategooriasse kuuluvad projektid on muu hulgas laenamine, laenamine, kindlustus ja tuletisväärtpaberid. 

3. Vajaliku aja määramisel mängivad olulist rolli ka auditi liigid. Kui teie nutikas leping on kodeeritud parimate arendusjuhistega ja olete kindel selle terviklikkuses, peaksite valima vaheauditi. 

Vaheauditi käigus määratakse projektile ekspert, kes vaatab üle struktuuri ja analüüsib võimalikke haavatavusi. Vaheaudit aitab tagada, et projekt kulgeb õiges suunas ning võimalik haavatavus, mis võib hilisemas etapis kogu rakenduse struktuuri muuta, tuvastatakse võimalikult varakult. Selle auditi lõpuleviimiseks kulub tavaliselt üks päev. 

Järgmine on täielik turvaaudit. Kui vaheauditit saab teha nutika lepingu väljatöötamise ajal, siis täielik turvaaudit läheb mängu pärast rakenduse valmimist. Tavaliselt on see viimane samm, mis on vajalik enne rakenduse juurutamist põhivõrgus. Kui rakendus juurutatakse ilma täieliku turbeauditita, on suur tõenäosus põhivõrgu vigade ja haavatavuste tekkeks. Täieliku turvaauditi aeg sõltub projekti keerukusest, nagu on selgitatud punktis 1. 

Nutika lepingu auditi lõpuleviimise protsess võib olla käsitsi või automaatne. Automaatne audit hõlmab nutika lepingu koodi testimist erinevate eelmääratletud funktsioonide ja testimisvahenditega. See annab nutika lepingu üldise haavatavuse hinnangu. Seda tüüpi audit ei hõlma aga koodi ja muude turvaaukude, näiteks tagauste, põhjalikku analüüsi. Selleks tuleb teha käsitsi audit. Manuaalsetes auditites määratleb ekspertide meeskond mõned kohandatud testjuhtumid ja kontrollib koodi erinevaid aspekte. 

Automaatne audit võib erc20/bep20 lepingute puhul võtta aega kuni ühe päeva, samas kui manuaalsed auditid kestavad tavaliselt erc3/bep5 lepingute puhul 20–20 päeva, samas kui keerukate protokollide puhul sõltub auditi aeg koodist. Kohandatud kontrolli saamiseks selle kohta, kui kaua teie protokolli audit aega võtab ja millist tüüpi audit on parim, pöörduge tasuta konsultatsiooni saamiseks QuillAuditsi ekspertide poole.

Vaadates eri tüüpi nutikate lepingute ja DeFi rakenduste jaoks vajalikku aega, lähevad paljud inimesed oma uuenduslike toodetega turule ilma auditit saamata. Peamine põhjus selle taga on entusiasm või kellegi teise sarnase projekti turule toomise FOMO. Teiseks põhjuseks võivad olla lisakulud, mida inimene ei pruugi tahta kanda. 

Aruka lepinguauditi saamise tähtsust ei saa aga piisavalt rõhutada. Vaid mõni lisaaeg ja raha, mis kulutatakse nutikale lepinguauditile, võivad säästa kasutajate jaoks miljoneid. 

Aruka lepinguauditi vajadusest parema ülevaate saamiseks on allpool toodud peamised DeFi häkkimised, mis juhtusid ühe lihtsa vea tõttu, milleks oli auditi mittesaamine.

Populaarseimad DeFi häkid

• DAO häkkimine

DAO on detsentraliseeritud autonoomne organisatsioon, millest on saamas uus standard mis tahes rakenduse juhtimismudeli määratlemisel. Sisuliselt teeb DAO rakenduse kohta otsuseid nutikate lepingute kaudu. Seetõttu on nutikatel lepingutel sellises keskkonnas ülioluline roll. 

Ühel sellisel juhul, kui DAO vastutas Ethereumi protsessi rahastamisprotsessi demokratiseerimise eest, kasutas häkker nutika lepingu varufunktsiooni haavatavust. Taastungirünnakut kasutades varastas ta protokollist 3.6 miljonit. 

• Pariteedi rünnak

Parity tutvustas eetrite ülekandmise autentimiseks mitme allkirja kontseptsiooni. See võimaldas seda protsessi mitme nutika lepingu kaudu, mis nõudsid eetri ülekande autentimiseks rohkem kui ühte digitaalallkirja. 

Kuna teda ei auditeeritud korralikult, suutis häkker ära kasutada nutika lepingu delegeerimiskõne ja varufunktsiooni ning varastada eetrites koguni 30 miljonit dollarit.

Järeldus

Eelmainitud häkid on vaid jäämäe tipp. DeFi ökosüsteemis on toimunud lugematu arv häkkimisi. DeFi kasvuga kasvavad ka need häkid plahvatuslikult. Selle kasvu üheks peamiseks põhjuseks on auditeerimata arukad lepingud või halvasti auditeeritud nutikad lepingud. 

Nutika lepingu auditeerimine ei taga selle turvalisust, kuid oluline on, et seda auditeeriks kogenud ja valdkonnas tunnustatud meeskond nagu Quilauditsi oma. 

Isegi kui see võtab veidi aega ja raha, võib nutikate lepingute auditeerimine kogenud meeskonna poolt aidata teil luua jätkusuutliku projekti ja jõuda selle edu kõrgpunkti.

Pöörduge QuillHashi poole

Aastate jooksul tööstuses QuillHash on tarninud ettevõtte lahendusi kogu maailmas. QuillHash koos ekspertide meeskonnaga on juhtiv plokiahelate arendusettevõte, mis pakub erinevaid tööstusharulahendusi, sealhulgas DeFi ettevõte. Kui vajate nutikate lepingute auditeerimisel abi, pöörduge julgelt meie ekspertide poole leiad siit!

Järgige värskenduste saamiseks rakendust QuillHash

puperdama | LinkedIn | Facebook

Allikas: https://blog.quillhash.com/2021/04/30/how-long-does-it-take-to-get-smart-contracts-audited-defi/