چگونه می توان حسابرسی قرارداد هوشمند سولانا را برخلاف افزایش هک ها انجام داد

وقت خواندن: 6 دقیقه

سولانا ادعا می کند که به دلیل مقیاس پذیری بالاتر، سریع ترین شبکه بلاک چین در حال رشد است. عمل بر روی اجماع اثبات تاریخچه دلیلی بر مقیاس پذیری بیشتر آن در پردازش تا 710,000 تراکنش در ثانیه است. 

با وجود محبوبیت بسیار زیاد سولانا، امنیت قراردادهای هوشمند آن به طور کامل آزمایش نشده است. و آزمایش به همان اندازه که به شرکا وعده داده شده در ارائه ارزش برند و تقویت اعتماد سرمایه گذار در پروژه شما بسیار مهم است. 

در این مقاله، نقایص احتمالی کدگذاری سولانا و چگونگی کمک ممیزی به شناسایی و اصلاح آنها را بررسی خواهیم کرد.

سناریوهای مختلف هک در بلاک چین سولانا توضیح داده شده است

هک کرمچاله 

Wormhole، یک پل بلاک چین که تبادل توکنی شده بین بلاک چین های مختلف را تسهیل می کند، به مجموعه پروژه های رمزنگاری هک شده می پیوندد. مجموع از دست دادن وجوه حدود 320 میلیون دلار است که یکی از رویدادهای مهم پولشویی در حوزه رمزنگاری است.

تاریخچه هک

همانطور که می دانیم Wormhole امکان انتقال دارایی ها بین بلاک چین های مختلف را فراهم می کند. اما سوال اینجاست که چگونه انجام می شود؟

توکن ایجاد شده در هر زنجیره، یعنی اتریوم یا سولانا، توسط قراردادهای هوشمند مدیریت می شود. و برای انتقال توکن‌ها، تراکنش‌ها توسط نگهبانان تأیید می‌شوند که با تأیید امضای آنها بررسی می‌کنند که آیا توکن‌های ضرب شده به درستی تولید شده‌اند.

در حادثه کرمچاله، تایید _signature تابعی مورد سوء استفاده قرار می گیرد که با آن هکر دستورالعملی با داده های جعلی ایجاد می کند تا تراکنش های خود را تأیید کند. 

از این طریق، هکر ایجاد یک signature_set حاوی تعداد کافی امضای مورد نیاز برای تأیید اقدام اعتبارسنجی (VAA). بدین ترتیب، هکر برای راه اندازی ضرابخانه غیرمجاز دسترسی پیدا کرد. 

با این کار، هکر توانست 120,000 اتریوم پیچیده شده به ارزش 320 میلیون دلار را در دست بگیرد و آنها را غارت کند.   

هک Crema Finance 

Crema Finance، پروتکل نقدینگی در لیست پروژه های بلاک چین سولانا، با هک شدن 8.78 میلیون دلار از دست داده است.

تاریخچه هک

هکر یک قرارداد هوشمند برای گرفتن وام فلش در Solana و افزودن نقدینگی در Crema منعقد کرد. سپس داده‌های قیمت‌گذاری دستکاری شد و به هکرها این امکان را داد که به نظر برسند که مبلغ زیادی هزینه دارند- همه با داده های جعلی 

تیم Crema جریان وجوهی را که هکر موفق شد از Solana به Ethereum مبادله کند، ردیابی کرد. تیم بلافاصله به هکر هشدار داد که وجوه دزدیده شده را با پذیرش جایزه بازگرداند.

و بلافاصله پس از آن، هکر وجوه را با حفظ 1.6 میلیون دلار به عنوان جایزه کلاه سفید بازگرداند. 

هک کشیو 

Cashio (CASH)، یک استیبل کوین بومی سولانا با پشتوانه الگوریتمی، به دلیل خطای نامحدود 52.8 میلیون دلار ضرر کرد. پس از این، ارزش سکه از 1 دلار به 0.00005 دلار رسید و اکوسیستم DeFi را از بین برد. 

تاریخچه هک

هکر با بهره‌برداری از پایگاه کد Cashio، ابتدا دو میلیارد توکن CASH ضرب کرد. کد چه مشکلی داشت؟ 

اشکال بی‌نهایت Mint- این خطا در پروتکل به کاربر امکان می‌دهد تا بدون قرار دادن وثیقه، هر تعداد توکن را برش دهد. سپس کاربر می تواند این توکن های ضرب شده را در صرافی ها بفروشد که قیمت سکه را از بین می برد.

در بهره برداری Cashio، هکر دو میلیون توکن CASH را برای توکن های Saber USDT-USDC LP سوزاند. سپس توکن‌های Liquidity Pair با توکن‌های USDC و USDT مبادله می‌شوند که منجر به تخلیه 52.8 میلیون دلار می‌شود. 

چگونه از پروژه ها در برابر هک و سرقت محافظت کنیم؟

در حالی که امنیت همیشه یک کار در حال پیشرفت است، تکنیک‌های آزموده شده توسط توسعه‌دهندگان و حسابرسان می‌توانند هکرها را از انجام حملات به راحتی کاهش دهند. 

اقدامات امنیتی در از بین بردن حملات حاکمیتی، دستکاری اوراکل قیمت، خطاهای ورود مجدد، و غیره مؤثر بوده است. بنابراین، بیایید اکنون اقدامات امنیتی را پیدا کنیم که مهاجمان را از سوء استفاده از قراردادها و پولشویی باز می دارد.

کدگذاری هوشمند قراردادها: قراردادها را با استفاده از شیوه های کدگذاری ایمن بنویسید، که شامل استفاده از کتابخانه های آزمایش شده، زبان برنامه نویسی توصیه شده، پیاده سازی امنیت ویژه بر روی کیف پول ها، تعریف توابع به وضوح و غیره است.

چک لیست امنیتی بلاک چین Actionize: بسیاری از منابع به خوبی تحقیق شده در دسترس هستند که می توان آنها را برای اطمینان از محافظت در برابر هک بررسی کرد. 

استفاده از ابزارهای ممیزی امنیتی: اسکنرهای امنیتی منبع باز برای انجام بررسی خودکار آسیب پذیری قراردادها و شناسایی نقص های احتمالی در قراردادها در دسترس هستند. 

با این حال، ممکن است در تشخیص خطاها موثر نباشد، اما برای بررسی اولیه کمک می کند. انواع مختلف ابزارهای حسابرسی به شناسایی اشکالات در بلاک چین و قراردادهای هوشمند مانند MythX، Echidna، Manticore، Oyente، SmartCheck و غیره کمک می کنند. 

انجام خدمات پنتستینگ و حسابرسی: آخرین اما نه کم اهمیت، حسابرسی قراردادهای هوشمند را هرگز نمی توان دست کم گرفت. حفره های دقیقه ای به هکرها کمک می کند راهی برای نفوذ و خراب کردن قراردادها پیدا کنند.

ممیزی های امنیتی و آزمایش های دوره ای پروژه را به طور کامل تجزیه و تحلیل می کند و حتی کوچکترین احتمالات را برای هکرها حذف می کند. با دانستن اینکه خدمات ممیزی و پنتست اهمیت بیشتری در ارائه امنیت دارند، بیایید گام به گام بفهمیم که چگونه انجام می شود. 

نقش حسابرسی در تضمین قراردادهای هوشمند

ممیزی شامل مجموعه ای از مراحل از آزمایش خودکار تا بررسی دستی است که به طور گسترده تمام جنبه های کدنویسی و بررسی نقاط ضعف موجود در کد را پوشش می دهد. برخی از مشخصات تحت پوشش در فرآیند حسابرسی سولانا عبارتند از:

• بررسی های عملکردی
• انجماد قرارداد
• دستکاری عرضه توکن
• دستکاری تعادل کاربر
• مکانیسم کشنده سوئیچ
• آزمایشات عملیاتی و تولید رویداد و غیره

مراحل انجام شده توسط QuillAudits برای حسابرسی قرارداد هوشمند سولانا

حسابرسی قراردادهای هوشمند سولانا با نهایت دقت انجام می شود و یک گزارش حسابرسی مفصل با تمام تحلیل های حسابرسی ارائه می شود. روند کار گام به گام در زیر آورده شده است. 

مرحله 1- جمع آوری جزئیات

ایده و هدف پروژه از مشتری جمع‌آوری و مطالعه می‌شود تا کد و عملکرد آن را درک کند و دانش کاملی کسب کند. پس از پایان بحث، حسابرسان کد را مسدود می کنند تا به مرحله بعدی فرآیند حسابرسی بروند.

مرحله 2- تست دستی

حسابرسان مجرب داخلی ما پیچیدگی‌ها و نگرانی‌های آسیب‌پذیری کد را بررسی می‌کنند. این شامل بررسی خطاهای ریاضی، مسائل منطقی و غیره است.

مرحله 3- تست عملکرد 

این فرآیند شامل آزمایش قراردادها تحت شرایط مختلف و تأیید داده‌های واکشی شده توسط قراردادهای هوشمند سولانا است. قرارداد هوشمند برای اطمینان از انجام صحیح اقدامات مورد نظر آزمایش می شود.

مرحله 4- آزمایش بر روی آخرین بردارهای حمله

حملات اخیر مورد مطالعه قرار می‌گیرند و آزمایش‌هایی روی قراردادهای هوشمند انجام می‌شود تا از مقاومت کامل آنها در برابر حملات اطمینان حاصل شود. این شامل بررسی حملاتی مانند دستکاری بازار، قیمت گذاری LP، بردارهای در حال اجرا و غیره است. 

مرحله 5- تست خودکار ابزار

ابزارهایی مانند Soteria، cargo-Clippy، cargo-adit و ابزارهای تخصصی برای حسابرسی قرارداد هوشمند سولانا برای بررسی هرگونه خطا پیاده سازی شده است. ما همچنین تکنیک هایی مانند گیج کننده تا اطمینان حاصل کنیم که می توانیم بردارهای حمله در دنیای واقعی را تا حد امکان بیان کنیم.

مرحله 6- گزارش حسابرسی اولیه

گزارش حسابرسی اولیه اشکالات قرارداد را ارائه می دهد و سپس آن را برای تیم توسعه دهنده ارسال می کنیم تا آنها را برطرف کند. 

مرحله 7- گزارش حسابرسی نهایی

گزارش برای اصلاحات انجام شده توسط تیم توسعه آزمایش می شود و سپس گزارش حسابرسی نهایی ارائه می شود. 

افکار نهایی، 

تاکید بر لزوم خدمات حسابرسی قرارداد هوشمند سولانا برای رفع ایرادات و مشکلات فنی قابل تصور برای محافظت از آنها در برابر هکرها از این موضوع روشن شده است.

و ناگفته نماند، QuillAudits دارای تخصص مجهز به ابزارها و تکنیک های پیشرفته برای انجام خدمات حسابرسی و ارائه نتایج مطمئن. شما نیازی به جستجو در جای دیگری ندارید زیرا ما فقط با یک کلیک فاصله داریم.

پرسش های متداول

زبان کدنویسی قرارداد هوشمند سولانا چیست؟

قرارداد هوشمند Solana با استفاده از زبان برنامه نویسی Rust و برنامه حاوی مکانیسم های خاص Solana نوشته شده است. 

آیا سولانا سریعتر از اتریوم است؟

مطمئنا بله، سولانا می تواند تا 70,000 تراکنش در ثانیه و اتریوم تنها 30 تراکنش را پردازش کند. همچنین زمان بلاک سولانا یک ثانیه است در حالی که اتریوم 15 ثانیه است.

چالش های اصلی قراردادهای هوشمند سولانا چیست؟

مشکلات کلی قرارداد هوشمند سولانا شامل وابستگی های قدیمی، کد اضافی/تکرار شده، حافظه اولیه در کد زنگ زدگی و غیره است. 

قراردادهای هوشمند سولانا را چگونه حسابرسی می کنید؟

QuillAudits یک بررسی عمیق از اجزای قراردادهای هوشمند و کتابخانه‌های وارد شده جدا از کدگذاری زنگ زده انجام می‌دهد. ما بازبینی کدهای دستی را انجام می دهیم و یک اسکن جامع برای تأیید ورودی های برنامه از طریق Fuzzing انجام می دهیم. 

اهمیت حسابرسی قرارداد هوشمند چیست؟

بلاک چین توجه میلیاردها نفر از جمله هکرها را به خود جلب کرده است. به طور خلاصه، حسابرسی برای جلوگیری از آسیب پذیری های احتمالی و اطمینان از اعتبار پروژه بسیار مهم است. 

156 نمایش ها