وقت خواندن: 6 دقیقه
سولانا ادعا می کند که به دلیل مقیاس پذیری بالاتر، سریع ترین شبکه بلاک چین در حال رشد است. عمل بر روی اجماع اثبات تاریخچه دلیلی بر مقیاس پذیری بیشتر آن در پردازش تا 710,000 تراکنش در ثانیه است.
با وجود محبوبیت بسیار زیاد سولانا، امنیت قراردادهای هوشمند آن به طور کامل آزمایش نشده است. و آزمایش به همان اندازه که به شرکا وعده داده شده در ارائه ارزش برند و تقویت اعتماد سرمایه گذار در پروژه شما بسیار مهم است.
در این مقاله، نقایص احتمالی کدگذاری سولانا و چگونگی کمک ممیزی به شناسایی و اصلاح آنها را بررسی خواهیم کرد.
سناریوهای مختلف هک در بلاک چین سولانا توضیح داده شده است
هک کرمچاله
Wormhole، یک پل بلاک چین که تبادل توکنی شده بین بلاک چین های مختلف را تسهیل می کند، به مجموعه پروژه های رمزنگاری هک شده می پیوندد. مجموع از دست دادن وجوه حدود 320 میلیون دلار است که یکی از رویدادهای مهم پولشویی در حوزه رمزنگاری است.
تاریخچه هک
همانطور که می دانیم Wormhole امکان انتقال دارایی ها بین بلاک چین های مختلف را فراهم می کند. اما سوال اینجاست که چگونه انجام می شود؟
توکن ایجاد شده در هر زنجیره، یعنی اتریوم یا سولانا، توسط قراردادهای هوشمند مدیریت می شود. و برای انتقال توکنها، تراکنشها توسط نگهبانان تأیید میشوند که با تأیید امضای آنها بررسی میکنند که آیا توکنهای ضرب شده به درستی تولید شدهاند.
در حادثه کرمچاله، تایید _signature تابعی مورد سوء استفاده قرار می گیرد که با آن هکر دستورالعملی با داده های جعلی ایجاد می کند تا تراکنش های خود را تأیید کند.
از این طریق، هکر ایجاد یک signature_set حاوی تعداد کافی امضای مورد نیاز برای تأیید اقدام اعتبارسنجی (VAA). بدین ترتیب، هکر برای راه اندازی ضرابخانه غیرمجاز دسترسی پیدا کرد.
با این کار، هکر توانست 120,000 اتریوم پیچیده شده به ارزش 320 میلیون دلار را در دست بگیرد و آنها را غارت کند.
هک Crema Finance
Crema Finance، پروتکل نقدینگی در لیست پروژه های بلاک چین سولانا، با هک شدن 8.78 میلیون دلار از دست داده است.
تاریخچه هک
هکر یک قرارداد هوشمند برای گرفتن وام فلش در Solana و افزودن نقدینگی در Crema منعقد کرد. سپس دادههای قیمتگذاری دستکاری شد و به هکرها این امکان را داد که به نظر برسند که مبلغ زیادی هزینه دارند- همه با داده های جعلی
تیم Crema جریان وجوهی را که هکر موفق شد از Solana به Ethereum مبادله کند، ردیابی کرد. تیم بلافاصله به هکر هشدار داد که وجوه دزدیده شده را با پذیرش جایزه بازگرداند.
و بلافاصله پس از آن، هکر وجوه را با حفظ 1.6 میلیون دلار به عنوان جایزه کلاه سفید بازگرداند.
هک کشیو
Cashio (CASH)، یک استیبل کوین بومی سولانا با پشتوانه الگوریتمی، به دلیل خطای نامحدود 52.8 میلیون دلار ضرر کرد. پس از این، ارزش سکه از 1 دلار به 0.00005 دلار رسید و اکوسیستم DeFi را از بین برد.
تاریخچه هک
هکر با بهرهبرداری از پایگاه کد Cashio، ابتدا دو میلیارد توکن CASH ضرب کرد. کد چه مشکلی داشت؟
اشکال بینهایت Mint- این خطا در پروتکل به کاربر امکان میدهد تا بدون قرار دادن وثیقه، هر تعداد توکن را برش دهد. سپس کاربر می تواند این توکن های ضرب شده را در صرافی ها بفروشد که قیمت سکه را از بین می برد.
در بهره برداری Cashio، هکر دو میلیون توکن CASH را برای توکن های Saber USDT-USDC LP سوزاند. سپس توکنهای Liquidity Pair با توکنهای USDC و USDT مبادله میشوند که منجر به تخلیه 52.8 میلیون دلار میشود.
چگونه از پروژه ها در برابر هک و سرقت محافظت کنیم؟
در حالی که امنیت همیشه یک کار در حال پیشرفت است، تکنیکهای آزموده شده توسط توسعهدهندگان و حسابرسان میتوانند هکرها را از انجام حملات به راحتی کاهش دهند.
اقدامات امنیتی در از بین بردن حملات حاکمیتی، دستکاری اوراکل قیمت، خطاهای ورود مجدد، و غیره مؤثر بوده است. بنابراین، بیایید اکنون اقدامات امنیتی را پیدا کنیم که مهاجمان را از سوء استفاده از قراردادها و پولشویی باز می دارد.
کدگذاری هوشمند قراردادها: قراردادها را با استفاده از شیوه های کدگذاری ایمن بنویسید، که شامل استفاده از کتابخانه های آزمایش شده، زبان برنامه نویسی توصیه شده، پیاده سازی امنیت ویژه بر روی کیف پول ها، تعریف توابع به وضوح و غیره است.
چک لیست امنیتی بلاک چین Actionize: بسیاری از منابع به خوبی تحقیق شده در دسترس هستند که می توان آنها را برای اطمینان از محافظت در برابر هک بررسی کرد.
استفاده از ابزارهای ممیزی امنیتی: اسکنرهای امنیتی منبع باز برای انجام بررسی خودکار آسیب پذیری قراردادها و شناسایی نقص های احتمالی در قراردادها در دسترس هستند.
با این حال، ممکن است در تشخیص خطاها موثر نباشد، اما برای بررسی اولیه کمک می کند. انواع مختلف ابزارهای حسابرسی به شناسایی اشکالات در بلاک چین و قراردادهای هوشمند مانند MythX، Echidna، Manticore، Oyente، SmartCheck و غیره کمک می کنند.
انجام خدمات پنتستینگ و حسابرسی: آخرین اما نه کم اهمیت، حسابرسی قراردادهای هوشمند را هرگز نمی توان دست کم گرفت. حفره های دقیقه ای به هکرها کمک می کند راهی برای نفوذ و خراب کردن قراردادها پیدا کنند.
ممیزی های امنیتی و آزمایش های دوره ای پروژه را به طور کامل تجزیه و تحلیل می کند و حتی کوچکترین احتمالات را برای هکرها حذف می کند. با دانستن اینکه خدمات ممیزی و پنتست اهمیت بیشتری در ارائه امنیت دارند، بیایید گام به گام بفهمیم که چگونه انجام می شود.
نقش حسابرسی در تضمین قراردادهای هوشمند
ممیزی شامل مجموعه ای از مراحل از آزمایش خودکار تا بررسی دستی است که به طور گسترده تمام جنبه های کدنویسی و بررسی نقاط ضعف موجود در کد را پوشش می دهد. برخی از مشخصات تحت پوشش در فرآیند حسابرسی سولانا عبارتند از:
- بررسی های عملکردی
- انجماد قرارداد
- دستکاری عرضه توکن
- دستکاری تعادل کاربر
- مکانیسم کشنده سوئیچ
- آزمایشات عملیاتی و تولید رویداد و غیره
مراحل انجام شده توسط QuillAudits برای حسابرسی قرارداد هوشمند سولانا
حسابرسی قراردادهای هوشمند سولانا با نهایت دقت انجام می شود و یک گزارش حسابرسی مفصل با تمام تحلیل های حسابرسی ارائه می شود. روند کار گام به گام در زیر آورده شده است.
مرحله 1- جمع آوری جزئیات
ایده و هدف پروژه از مشتری جمعآوری و مطالعه میشود تا کد و عملکرد آن را درک کند و دانش کاملی کسب کند. پس از پایان بحث، حسابرسان کد را مسدود می کنند تا به مرحله بعدی فرآیند حسابرسی بروند.
مرحله 2- تست دستی
حسابرسان مجرب داخلی ما پیچیدگیها و نگرانیهای آسیبپذیری کد را بررسی میکنند. این شامل بررسی خطاهای ریاضی، مسائل منطقی و غیره است.
مرحله 3- تست عملکرد
این فرآیند شامل آزمایش قراردادها تحت شرایط مختلف و تأیید دادههای واکشی شده توسط قراردادهای هوشمند سولانا است. قرارداد هوشمند برای اطمینان از انجام صحیح اقدامات مورد نظر آزمایش می شود.
مرحله 4- آزمایش بر روی آخرین بردارهای حمله
حملات اخیر مورد مطالعه قرار میگیرند و آزمایشهایی روی قراردادهای هوشمند انجام میشود تا از مقاومت کامل آنها در برابر حملات اطمینان حاصل شود. این شامل بررسی حملاتی مانند دستکاری بازار، قیمت گذاری LP، بردارهای در حال اجرا و غیره است.
مرحله 5- تست خودکار ابزار
ابزارهایی مانند Soteria، cargo-Clippy، cargo-adit و ابزارهای تخصصی برای حسابرسی قرارداد هوشمند سولانا برای بررسی هرگونه خطا پیاده سازی شده است. ما همچنین تکنیک هایی مانند گیج کننده تا اطمینان حاصل کنیم که می توانیم بردارهای حمله در دنیای واقعی را تا حد امکان بیان کنیم.
مرحله 6- گزارش حسابرسی اولیه
گزارش حسابرسی اولیه اشکالات قرارداد را ارائه می دهد و سپس آن را برای تیم توسعه دهنده ارسال می کنیم تا آنها را برطرف کند.
مرحله 7- گزارش حسابرسی نهایی
گزارش برای اصلاحات انجام شده توسط تیم توسعه آزمایش می شود و سپس گزارش حسابرسی نهایی ارائه می شود.
افکار نهایی،
تاکید بر لزوم خدمات حسابرسی قرارداد هوشمند سولانا برای رفع ایرادات و مشکلات فنی قابل تصور برای محافظت از آنها در برابر هکرها از این موضوع روشن شده است.
و ناگفته نماند، QuillAudits دارای تخصص مجهز به ابزارها و تکنیک های پیشرفته برای انجام خدمات حسابرسی و ارائه نتایج مطمئن. شما نیازی به جستجو در جای دیگری ندارید زیرا ما فقط با یک کلیک فاصله داریم.
پرسش های متداول
زبان کدنویسی قرارداد هوشمند سولانا چیست؟
قرارداد هوشمند Solana با استفاده از زبان برنامه نویسی Rust و برنامه حاوی مکانیسم های خاص Solana نوشته شده است.
آیا سولانا سریعتر از اتریوم است؟
مطمئنا بله، سولانا می تواند تا 70,000 تراکنش در ثانیه و اتریوم تنها 30 تراکنش را پردازش کند. همچنین زمان بلاک سولانا یک ثانیه است در حالی که اتریوم 15 ثانیه است.
چالش های اصلی قراردادهای هوشمند سولانا چیست؟
مشکلات کلی قرارداد هوشمند سولانا شامل وابستگی های قدیمی، کد اضافی/تکرار شده، حافظه اولیه در کد زنگ زدگی و غیره است.
قراردادهای هوشمند سولانا را چگونه حسابرسی می کنید؟
QuillAudits یک بررسی عمیق از اجزای قراردادهای هوشمند و کتابخانههای وارد شده جدا از کدگذاری زنگ زده انجام میدهد. ما بازبینی کدهای دستی را انجام می دهیم و یک اسکن جامع برای تأیید ورودی های برنامه از طریق Fuzzing انجام می دهیم.
اهمیت حسابرسی قرارداد هوشمند چیست؟
بلاک چین توجه میلیاردها نفر از جمله هکرها را به خود جلب کرده است. به طور خلاصه، حسابرسی برای جلوگیری از آسیب پذیری های احتمالی و اطمینان از اعتبار پروژه بسیار مهم است.
156 نمایش ها
- بیت کوین
- بلاکچین
- امنیت قراردادهای بلاک چین و هوشمند
- انطباق با بلاک چین
- کنفرانس بلاکچین
- coinbase
- coingenius
- اجماع
- کنفرانس رمزنگاری
- معدنکاری رمز گشایی
- کریپتو کارنسی (رمز ارزها )
- غیر متمرکز
- DEFI
- دارایی های دیجیتال
- ethereum
- فراگیری ماشین
- رمز غیر قابل شستشو
- افلاطون
- افلاطون آی
- هوش داده افلاطون
- پلاتوبلاک چین
- PlatoData
- بازی پلاتو
- چند ضلعی
- اثبات سهام
- کویل هاش
- حسابرسی قرارداد هوشمند
- امنیت قرارداد هوشمند
- W3
- زفیرنت