وقت خواندن: 6 دقیقه
A "قرارداد هوشمند” مجموعه ای از دستورالعمل هایی است که بر روی بلاک چین اتریوم اجرا می شود. برای حسابرسی، یک قرارداد هوشمند اتریوم به معنای اطمینان از ایمن بودن آن از تهدیدات احتمالی و آسیب پذیری های رایج است.
در حالی که در سناریوی کنونی، هکها و سوء استفادههای مربوط به قراردادهای هوشمند در بالاترین حد خود قرار دارند، این طوفانی است که باید به خاطر آن ستایش کرد، زیرا منجر به پیشرفتها و بهبودهایی میشود. سیستم عامل های DeFi، که باعث امنیت بیشتر آنها می شود.
وقتی در مورد امنیت قراردادهای هوشمند صحبت می کنیم، نمی توانیم از "اهمیت ممیزی قرارداد هوشمند.حسابرسی قرارداد هوشمند فرآیندی است برای تأیید متقابل کدهای قرارداد هوشمند بر اساس پارامترهای مختلف. و در بخشهای آینده، اهمیت حسابرسی قرارداد هوشمند، رویکردهای چندگانه برای حسابرسی قراردادهای هوشمند، و مراحل دخیل در حسابرسی قرارداد هوشمند اتریوم را تحلیل خواهیم کرد.
اهمیت حسابرسی قرارداد هوشمند
برای درک بهتر اینکه چرا هر ذینفعی به حسابرسی قرارداد هوشمند نیاز دارد، باید به گذشته نزدیک نگاه کنیم و زیان های عظیمی را که در پلتفرم های مختلف DeFi متحمل شده است ببینیم.
- شبکه پلی : ضرر 600 میلیون دلاری
- Lendf.me - ضرر 25 میلیون دلاری
- سینتیکس - 37 میلیون ضرر SETH؛
- bZx – ضرر 645 دلاری
اینها فقط چند هک اخیر هستند. طبق گزارش جدید -
DeFi بیش از 75 درصد از هکهای رمزنگاری را در سال 2021 به خود اختصاص داده است. این رقم به 361 میلیون دلار رسیده است که 2.7 برابر بیشتر از سال 2020 است.
CipherTrace
این اعداد بسیار ترسناک هستند، اما اگر پلتفرمهای DeFi میتوانستند اقدامات پیشگیرانه انجام دهند، میتوان این حملات را به راحتی کاهش داد. در حالی که برخی از حملات ممکن است شدید باشند، بسیاری از آنها به راحتی قابل پیشگیری بودند.
یکی از بهترین راهها برای ایمن نگه داشتن پلتفرم DeFi خود در برابر تهدیدات احتمالی آینده این است که با تمام حملات گذشته آشنا شوید. برای انجام این کار، یکی از بهترین منابع، رجیستری SWC است که فهرستی از تمام آسیبپذیریهای قرارداد هوشمند و نمونههایی برای مقابله با آنها ارائه میکند.
منبع: SWC رجیستری
بنابراین، آن مراحل طلایی حسابرسی قراردادهای هوشمند چیست که در صورت دنبال کردن، میتواند به پلتفرمهای مختلف DeFi در صرفهجویی میلیونها نفر کمک کند؟
رویکردهای جهانی برای حسابرسی قراردادهای هوشمند
دو روش به طور گسترده برای حسابرسی قرارداد هوشمند وجود دارد:
- تجزیه و تحلیل کد دستی
- تجزیه و تحلیل کد خودکار
تجزیه و تحلیل کد دستی
این فرآیند بررسی کد خط به خط برای شناسایی آسیبپذیریهای احتمالی است. این یک فرآیند پیچیده است که به مهارت، تجربه، پشتکار و صبر نیاز دارد. برای بهبود امنیت پروژه DeFi، انجام تجزیه و تحلیل کد دستی اساساً بهترین راه برای شناسایی آسیبپذیریهایی است که تحلیل کد خودکار ممکن است به جا بگذارد.
اغلب، ما با یک سوال بسیار مکرر روبرو می شویم - "چند نفر باید تیم بررسی کد را تشکیل دهند؟". در QuillAudits, ما امنیت پروژه را در درجه اول قرار می دهیم. از این رو ما یک تیم بررسی متشکل از حسابرسان با تجربه و ماهر داریم تا پویایی کد قرارداد هوشمند را بررسی کنند.
اگرچه محدودیتهایی در تجزیه و تحلیل کد دستی وجود دارد، مانند سرریزهای بافر (به ویژه خطاهای "خاموش")، کد مرده، و برخی از اشتباهات دیگر که گاهی اوقات ممکن است توسط یک بازبین انسانی نادیده گرفته شود، آنها برای خودکار مناسب تر هستند. تجزیه و تحلیل برای یافتن آنها
تجزیه و تحلیل کد خودکار
تجزیه و تحلیل خودکار کد باعث صرفه جویی در زمان و هزینه می شود زیرا از تست های نفوذ مختلف برای یافتن آسیب پذیری ها استفاده می کند. ما در QuillAudits از ابزارهای منبع باز داخلی مختلف برای به حداکثر رساندن نتایج برای ممیزی های امنیتی استفاده کنید. برخی از بهترین ابزارهای کلاس مورد استفاده توسط حسابرسان داخلی ما عبارتند از:
- MythX – یک سرویس امنیتی قرارداد هوشمند که پروژه شما را بر اساس تحلیل استاتیک، تحلیل پویا و اجرای نمادین بررسی می کند. برای استفاده از MythX به یک کلید API نیاز دارد mythx.io.
- اسطوره – یک ابزار تحلیل امنیتی برای قراردادهای هوشمند اتریوم. این مجموعه طیفی از مسائل امنیتی را بررسی می کند - جریان های زیر اعداد صحیح، بازنویسی مالک به اتر-خروج و موارد دیگر.
- لغزش - یک چارچوب تجزیه و تحلیل ایستا که در پایتون 3 نوشته شده است، آسیبپذیریها را شناسایی میکند و اطلاعات بصری را در مورد جزئیات قرارداد چاپ میکند و یک API برای تجزیه و تحلیل سفارشی ارائه میدهد تا به صورت انعطافپذیر نوشته شود.
- اچیدنا – موجودی عجیب که حشره می خورد! یک برنامه Haskell برای آزمایش فازی/مبتنی بر دارایی قراردادهای هوشمند اتریوم توسعه یافته است.
- اوینته – تجزیه و تحلیل کد اتریوم برای یافتن آسیبپذیریها.
این فقط یک لیست مختصر از ابزارهایی بود که توسط تیم حسابرسان داخلی ما برای انجام تجزیه و تحلیل کد خودکار استفاده شده است. اما آن مراحل طلایی برای انجام ممیزی قرارداد هوشمند چیست؟
مراحل حسابرسی قرارداد هوشمند اتریوم
اگرچه ممکن است بیش از یک دلیل برای انجام ممیزی قرارداد هوشمند وجود داشته باشد، اما انگیزه اصلی ایمن سازی پلت فرم Defi شما است. ما در QuillAudits یک روش جامع را برای انجام ممیزی قرارداد هوشمند دنبال کنید.
شماره 1: جمع آوری الگوهای طراحی کد
این یکی از مهمترین مراحل در انجام ممیزی قرارداد هوشمند است. برای شرکتی که ممیزی را انجام می دهد، داشتن درک روشنی از کد و مشخصات کاری پلت فرم قرارداد هوشمند مهم است.
شماره 2: تست واحد
ما تست واحد قرارداد هوشمند را با کمک ابزارهای مختلف پوشش کد انجام می دهیم. ما همچنین موارد تست واحد را پیادهسازی میکنیم تا تأیید کنیم که هر عملکرد به طور منسجم با کد کلی قرارداد هوشمند کار میکند.
شماره 3: تجزیه و تحلیل دستی
گاهی اوقات تجزیه و تحلیل خودکار ممکن است منجر به گزارش های مثبت کاذب شود. از این رو انجام تحقیقات دستی خط به خط برای یافتن آسیبپذیریهای بالقوه مانند شرایط مسابقه، وابستگی به سفارش تراکنش، وابستگی به مهر زمانی تماسهای خارجی و حملات انکار سرویس ضروری میشود.
شماره 4: گزارش اولیه
سپس یک گزارش اولیه با تمام اشکالات و خطاهایی که قرار است توسط تیم شما برطرف شود، به شما ارائه می کنیم.
شماره 5: کد ثابت شد
تمام اشکالات و خطاهای کشف شده در تحلیل اولیه را برطرف کنید و سپس آن را برای بررسی نهایی به حسابرسان ارسال کنید.
شماره 6: تجزیه و تحلیل استاتیک و تأیید رسمی
ما بازبینی کد را با استفاده از ابزارهای خودکار منبع باز داخلی خود انجام می دهیم تا هر گونه حفره، کدهای مخرب در قرارداد هوشمند را شناسایی کنیم.
شماره 7: گزارش حسابرسی نهایی
گزارش حسابرسی نهایی قبل از مشتری ارائه می شود و در GitHub منتشر می شود تا همه به آن مراجعه کنند.
این استراتژی جامعی است که تیم حسابرسان ماهر داخلی ما از آن پیروی می کنند، اگرچه قابل مشاهده است که قرارداد هوشمند شما دو بار با همان قیمت حسابرسی می شود.
در حالی که یک بار ممیزی یک پروژه DeFi امنیت آن را تضمین نمی کند، توصیه می کنیم حداقل دو بار (یا) سه بار ممیزی شود. در گذشته، حوادثی مانند هک "Popsicle Finance" وجود داشته است $ 20M. دو بار ممیزی شد، اما به دلیل یک آسیب پذیری رایج از آن نیز بهره برداری شد.
بنابراین، حوادثی از این دست به وضوح طرحریزی میکنند اهمیت حسابرسی قرارداد هوشمند - "هرچی بیشتر بهتر!".
کلمات نهایی
خوب، اگر تا اینجا با ما بوده اید، با نحوه حسابرسی قرارداد هوشمند اتریوم آشنا هستید.
در حالی که افزایش تعداد هک ها و سوء استفاده های DeFi ممکن است شما را نگران کند، انجام یک حسابرسی قرارداد هوشمند قوی از یک شرکت قابل اعتماد مانند QuillAudits میلیون ها دلار برای شما صرفه جویی خواهد کرد.
1,624 نمایش ها
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://blog.quillhash.com/2023/02/08/how-properly-auditing-an-ethereum-smart-contract-can-save-you-millions/
- 000
- 1
- 10
- 2020
- 2021
- 7
- a
- درباره ما
- در میان
- به تصویب رسید
- پیشرفت
- هشدار
- معرفی
- تحلیل
- تحلیل
- و
- هر کس
- API
- رویکردها
- حمله
- حسابرسی
- حسابرسی
- حسابرسی
- حسابرسان
- ممیزی
- خودکار
- اتوماتیک
- مستقر
- زیرا
- شود
- قبل از
- بودن
- بهترین
- بهتر
- بلاکچین
- بافر
- اشکالات
- تماس ها
- نمی توان
- حمل
- حمل
- موارد
- واضح
- به وضوح
- مشتری
- رمز
- بررسی کد
- COM
- بیا
- مشترک
- شرکت
- پیچیده
- جامع
- شرایط
- رفتار
- قرارداد
- قرارداد
- میتوانست
- پوشش
- موجود
- عضو سازمانهای سری ومخفی
- هک کریپتو
- سفارشی
- مرده
- DEFI
- سکوی DeFi
- سیستم عامل های defi
- خود داری از خدمات
- وابستگی
- طرح
- جزئیات
- توسعه
- کشف
- نمی کند
- عمل
- دلار
- پویا
- دینامیک
- هر
- به آسانی
- اطمینان حاصل شود
- خطاهای
- به خصوص
- ethereum
- blockchain اتریوم
- بررسی می کند
- در حال بررسی
- مثال ها
- اعدام
- تجربه
- با تجربه
- سوء استفاده قرار گیرد
- سوء استفاده
- خارجی
- آشنا
- کمی از
- نهایی
- پیدا کردن
- شرکت
- نام خانوادگی
- ثابت
- به دنبال
- به دنبال آن است
- در درجه نخست
- رسمی
- آینده
- چارچوب
- مکرر
- از جانب
- تابع
- آینده
- جمع آوری
- دریافت کنید
- GitHub
- Go
- رفتن
- طلایی
- ضمانت
- هک
- هک
- کمک
- اینجا کلیک نمایید
- زیاد
- چگونه
- HTTPS
- بزرگ
- انسان
- شناسایی می کند
- شناسایی
- انجام
- اهمیت
- مهم
- بهبود
- ارتقاء
- in
- اطلاعات
- اول
- دستورالعمل
- گرفتار
- مسائل
- IT
- نگاه داشتن
- کلید
- ترک کردن
- محدودیت
- فهرست
- نگاه کنيد
- نقاط ضعف
- خاموش
- تلفات
- ساخت
- باعث می شود
- کتابچه راهنمای
- بسیاری
- بسیاری از مردم
- بیشینه ساختن
- به معنی
- معیارهای
- روش شناسی
- روش
- میلیون
- میلیون ها نفر
- اشتباهات
- میلیون
- پول
- بیش
- اکثر
- چندگانه
- لازم
- نیاز
- جدید
- عدد
- تعداد
- ONE
- منبع باز
- دیگر
- دیگران
- طرح کلی
- به طور کلی
- پارامترهای
- گذشته
- صبر
- مردم
- انجام
- اصرار
- سکو
- سیستم عامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- پتانسیل
- ستایش
- در حال حاضر
- ارائه شده
- هدیه
- قیمت
- اصلی
- چاپ
- روند
- برنامه
- پروژه
- فراهم می کند
- منتشر شده
- قرار دادن
- پــایتــون
- سوال
- کویل هاش
- نژاد
- محدوده
- دلیل
- اخیر
- توصیه
- رجیستری
- مربوط
- گزارش
- گزارش ها
- نیاز
- نیاز
- تحقیق
- منابع
- نتیجه
- نتیجه
- این فایل نقد می نویسید:
- بررسی
- طلوع
- تنومند
- دویدن
- امن
- همان
- ذخیره
- سناریو
- بخش
- امن
- تیم امنیت لاتاری
- ممیزی های امنیتی
- سرویس
- تنظیم
- شدید
- باید
- مهارت
- ماهر
- هوشمند
- قرارداد هوشمند
- حسابرسی قرارداد هوشمند
- امنیت قرارداد هوشمند
- قراردادهای هوشمند
- So
- برخی از
- سخن گفتن
- مشخصات
- ذینفع
- مراحل
- طوفان
- استراتژی
- چنین
- تیم
- آزمون
- تست
- تست
- La
- تهدید
- از طریق
- زمان
- بار
- برچسب زمان
- به
- ابزار
- ابزار
- قابل اعتماد
- فهمیدن
- درک
- واحد
- us
- استفاده کنید
- مختلف
- بررسی
- قابل رویت
- آسیب پذیری ها
- آسیب پذیری
- راه
- چی
- که
- در حین
- به طور گسترده ای
- اراده
- کارگر
- با این نسخهها کار
- خواهد بود
- کتبی
- شما
- شما
- خودت
- زفیرنت