هکرها در سال 2022، ارزهای رمزنگاری شده بیشتری را از پلتفرم های مالی غیرمتمرکز (DeFi) دزدیدند. تقریباً 98 درصد از تمام توکن های راه اندازی شده در پرچمدار DeFi، DEX Uniswap، به عنوان rug pulls شناسایی شدند.
آخرین مورد، Defrost Finance، آمد به عنوان یک کابوس کریسمس برای سرمایه گذاران ارزهای دیجیتال، 12 میلیون دلار از پول خود را از بین می برد.
اکثر هکها در پلتفرمهای DeFi از طریق نقضهای امنیتی و سوء استفادههای کد اتفاق میافتند. Projects that end up being rug pull scams have serious security issues that have been allowed to slide, or maybe, undetected on purpose. To prevent similar risks, DeFi security audits are critical.
Here we’ll find out more about these audits, how they are conducted, and whether it is possible to run a DeFi audit by yourself.
What Is a DeFi Security Audit?
DeFi projects are implemented as complex, self-executing smart contracts, often transparent and open-source. They act as legal agreements between two parties. And since no centralized entity is behind them, even a small bug in smart contracts might lead to irreversible consequences.
این بدان معناست که در قراردادهای هوشمند نباید جایی برای خطا وجود داشته باشد. ممیزی های امنیتی قرارداد هوشمند DeFi برای اطمینان از این موضوع است.
Security audits examine the code of smart contracts and how it grounds contracts’ terms and conditions. The detailed analysis searches for potential security flaws, violations, and system bugs in the code, so it cannot be exploited.
Security audits, usually conducted by third parties, are vital to ensuring the security and credibility of projects and maintaining a healthy DeFi ecosystem.
How Do Scammers Exploit Smart Contracts for a Rug Pull?
A rug pull is a type of exit scam that operates in a simple model: developers create a legit-looking DeFi protocol, run and promote it until the project attracts enough liquidity, then pull out the funds and disappear.
Well, not always. Occasionally, rug-pull scammers blame hackers for stealing liquidity and stay in business until the next time.
برای اجرای یک حمله، کلاهبرداران کدهای مخرب را در قراردادهای هوشمند جاسازی می کنند. آنها آنها را برای جلوگیری از فروش سرمایه گذاران تغییر می دهند: حداکثر (100٪) کارمزد فروش را تعیین کنید، صاحبان نشانه را در لیست سیاه قرار دهید و پول کاربران را در یک قرارداد قفل کنید.
برخی از قراردادهای هوشمند شامل کدگذاری یک "در پشتی" مخرب در آنها است که به توسعه دهندگان اجازه می دهد نقدینگی را برداشت کنند.
اغلب اوقات، قراردادهای هوشمند اصلاح شده توسط حسابرسان امنیتی تأیید نمی شوند و از دید عموم پنهان می مانند. از آنجایی که اکثر قراردادهای زنجیره ای در دسترس عموم هستند، عدم شفافیت وجود دارد GitHub ممکن است یک پرچم قرمز باشد
How to Check Whether a DeFi Smart Contract Is Safe
صنعت بلاک چین و قراردادهای هوشمند هنوز نسبتاً جوان است، و همینطور بخش حسابرسی قراردادهای هوشمند. شرکت های متعددی در ممیزی های امنیتی قراردادهای هوشمند تخصص دارند، ابزارهای خود را توسعه می دهند و دانش خود را شکل می دهند.
استانداردهای صنعت امنیت قراردادهای هوشمند و بهترین شیوه ها در حال تکامل هستند. با وجود آن، برخی از روش های حسابرسی بسیار استاندارد توسط بازیگران صنعت حسابرسی DeFi استفاده می شود.
به طور معمول تحقیقات آنها با ارزیابی قرارداد هوشمند شروع می شود. حسابرس کاغذ سفید، منطق تجاری و مشخصات فنی پروتکل DeFi را برای برآورد خطرات احتمالی و ویژگی های امنیتی تجزیه و تحلیل می کند.
سپس توجه خود را به کد قرارداد هوشمند معطوف می کنند. این زمانی است که بررسی و تحلیل کد شروع می شود.
Auditors inspect code line by line, looking for vulnerabilities of different levels: critical ones that can result in a liquidity leak; medium-level, which could partially damage the smart contract; and low-level issues, which affect the contract’s security the least.
آنها تعدادی از تکنیک های حسابرسی، از جمله تجزیه و تحلیل خودکار و دستی را به کار می گیرند. هر دو مزایا و معایب خود را دارند.
An automated security audit means scanning the code with automated analysis software, which searches for bugs against the database of known vulnerabilities and identifies their precise location in the code.
The software-based audit is typically conducted before the manual analysis to detect errors that humans might overlook. It is faster and less time-consuming, but at the same time, it may not always be aware of the context and thus miss certain vulnerabilities.
Manual code analysis is king in smart contract auditing and is the most critical part of a comprehensive and accurate smart code security audit. It is conducted by at least two separate experts that inspect the code line by line.
هدف این است که تأیید شود که تمام جزئیات در مشخصات پروژه در قرارداد هوشمند پیاده سازی شده است و هیچ چیز رفتار مورد نظر اولیه آن را نقض نمی کند.
The auditors scrutinize the code for unintended, unexpected behavior, crucial security issues, and vulnerabilities like re-entrance, data manipulations, flash loans, and other manipulations that might be implemented while the smart contract interacts with others.
In addition to that, manual audits run simulations to evaluate how well the DeFi project’s smart contract responds to unidentified threats and how capable it is of defending itself against them.
در بخش پایانی تحلیل کد دستی، حسابرس منطق قرارداد هوشمند را با توضیحات آن در کاغذ سفید پروژه مقایسه میکند.
پس از شناسایی و رفع تمام آسیبپذیریها، حسابرسان یک فرآیند بررسی مجدد را اجرا میکنند تا اطمینان حاصل کنند که کد هوشمند مطابق انتظار اجرا میشود.
در نهایت پس از اتمام ممیزی امنیتی، حسابرسان گزارش جامعی تهیه می کنند. اینجاست که آنها بازخورد دقیقی در مورد آنچه کشف کرده اند ارائه می دهند. معمولاً گزارش آنها با توصیه هایی در مورد چگونگی رفع نقاط ضعف کد شناسایی شده برای کاهش امنیت پروژه ارائه می شود.
What Ensures that a Smart Contract Audit Is Professional?
Smart contracts are a relatively new innovation. Their security standards are evolving accordingly. This means no golden rule guarantees total smart contract safety.
علاوه بر این، همه شرکتهای حسابرسی قراردادهای هوشمند یکسان نیستند و همه ممیزیها ایمنی را تضمین نمیکنند. حسابرسان ممکن است سطوح مختلف مهارت، اهداف متفاوت و هزینه های متفاوتی داشته باشند.
Not to mention the fact that the market is full of sketchy developers that forge audits and still benefit from the name of a respectable company. This is what happened to Peckshield, a blockchain security and data analytics company, more than a year ago.
چنین موقعیت هایی در فضای ارزهای دیجیتال بسیار رایج است. آنها نام یک حسابرس قانونی و محترم را می آورند و در وایت پیپر خود می گذارند و می گویند که پروتکل آنها حسابرسی شده است.
The only way to avoid cases like this is to check for confirmation on the auditor’s original channels. If there aren’t any, chances are that the auditor’s name has been stolen.
Always check its client portfolio to evaluate whether the auditor is solid and reputable. Google the cases to verify their experience records, and check if any of the audited projects have suffered a rug pull or other attacks.
Can You Conduct Code Audit Yourself?
With so many hacks and rug pulls in the crypto space, it’s naive to imagine that DeFi projects are safe without looking into them in more detail. Smart contract audits provide a critical layer of safety.
However, even the most professional ones do not guarantee that a DeFi project is absolutely bug-free. Smart contracts are complex. They require detailed and comprehensive analysis, expertise, tools, and, most importantly, more than one pair of eyes.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://dailycoin.com/how-auditors-detect-defi-rug-pull-scam/
- 11
- 2022
- a
- درباره ما
- کاملا
- بر این اساس
- دقیق
- عمل
- اضافه
- اثر
- پس از
- در برابر
- موافقت نامه
- معرفی
- اجازه می دهد تا
- همیشه
- تحلیل
- علم تجزیه و تحلیل
- تجزیه و تحلیل
- و
- حمله
- حمله
- توجه
- جاذبه ها
- حسابرسی
- حسابرسی
- حسابرسی
- موسسات حسابرسی
- حسابرسان
- ممیزی
- خودکار
- در دسترس
- قبل از
- پشت سر
- بودن
- سود
- بهترین
- بهترین شیوه
- میان
- بلاکچین
- امنیت بلوچین
- نقض
- اشکال
- اشکالات
- کسب و کار
- نمی توان
- توانا
- موارد
- متمرکز
- معین
- شانس
- کانال
- بررسی
- کریسمس
- مشتری
- رمز
- بررسی کد
- برنامه نویسی
- مشترک
- شرکت
- تکمیل شده
- پیچیده
- جامع
- شرایط
- رفتار
- منفی
- عواقب
- زمینه
- قرارداد
- قرارداد
- هزینه
- میتوانست
- ایجاد
- اعتبار
- بحرانی
- بسیار سخت
- عضو سازمانهای سری ومخفی
- سرمایه گذاران رمزنگاری
- فضای رمزنگاری
- کریپتو کارنسی (رمز ارزها )
- داده ها
- تجزیه و تحلیل داده ها
- پایگاه داده
- غیر متمرکز
- امور مالی غیر متمرکز
- امور مالی غیرمتمرکز (DeFi)
- دفاع از
- DEFI
- سیستم عامل های defi
- پروژه های دفی
- پروتکل DEFI
- امنیت دیفای
- گسترش
- شرح
- با وجود
- جزئیات
- دقیق
- شناسایی شده
- توسعه
- توسعه دهندگان
- دگزامتازون
- مختلف
- ناپدید می شوند
- کشف
- اکوسیستم
- کافی
- اطمینان حاصل شود
- تضمین می کند
- حصول اطمینان از
- موجودیت
- خطاهای
- تخمین زدن
- ارزیابی
- ارزیابی
- حتی
- تا کنون
- در حال تحول
- خروج
- از کلاهبرداری خارج شوید
- انتظار می رود
- تجربه
- تخصص
- کارشناسان
- بهره برداری
- سوء استفاده قرار گیرد
- سوء استفاده
- خارجی
- چشم
- چشم ها
- سریعتر
- امکانات
- پرداخت
- باز خورد
- نهایی
- سرمایه گذاری
- پیدا کردن
- شرکت ها
- ثابت
- فلاش
- وام های فلاش
- معایب
- از جانب
- کامل
- بودجه
- هدف
- اهداف
- طلایی
- گوگل
- ضمانت
- تضمین می کند
- هکرها
- هک
- رخ دادن
- اتفاق افتاده است
- سالم
- پنهان
- چگونه
- HTTPS
- انسان
- شناسایی
- شناسایی می کند
- انجام
- اجرا
- in
- از جمله
- صنعت
- استانداردهای صنعت
- ابداع
- در ارتباط بودن
- تحقیقات
- سرمایه گذاران
- شامل
- مسائل
- IT
- خود
- پادشاه
- شناخته شده
- عدم
- آخرین
- راه اندازی
- لایه
- رهبری
- نشت
- قانونی
- Legit
- سطح
- لاین
- نقدینگی
- وام
- محل
- به دنبال
- کتابچه راهنمای
- بسیاری
- بازار
- حداکثر
- به معنی
- روش
- قدرت
- میلیون
- کاهش
- مدل
- اصلاح شده
- پول
- بیش
- اکثر
- نام
- تقریبا
- جدید
- بعد
- عدد
- متعدد
- روی زنجیره
- ONE
- منبع باز
- عمل می کند
- اصلی
- در اصل
- دیگر
- دیگران
- صاحبان
- بخش
- احزاب
- میخانه
- سیستم عامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- بازیکنان
- مقام
- ممکن
- پتانسیل
- شیوه های
- آماده
- زیبا
- جلوگیری از
- روند
- حرفه ای
- پروژه
- پروژه ها
- ترویج
- مثبت
- پروتکل
- ارائه
- عمومی
- عمومی
- کشد
- هدف
- قرار دادن
- توصیه
- سوابق
- قرمز
- نسبتا
- گزارش
- مشهور
- نیاز
- قابل احترام
- نتیجه
- این فایل نقد می نویسید:
- خطرات
- اتاق
- فرش کشیدن
- کلاهبرداری فرش کشی
- فرش می کشد
- قانون
- دویدن
- امن
- ایمنی
- همان
- کلاهبرداری
- ناظران
- کلاهبرداری
- پویش
- بخش
- تیم امنیت لاتاری
- ممیزی امنیت
- ممیزی های امنیتی
- نقض امنیت
- فروش
- جدی
- تنظیم
- شکل
- تغییر
- باید
- مشابه
- ساده
- پس از
- مهارت
- نمایش
- کوچک
- هوشمند
- قرارداد هوشمند
- حسابرسی قرارداد هوشمند
- امنیت قرارداد هوشمند
- قراردادهای هوشمند
- So
- نرم افزار
- جامد
- برخی از
- فضا
- متخصص
- مشخصات
- استاندارد
- استانداردهای
- شروع
- ماندن
- هنوز
- دزدیده شد
- به سرقت رفته
- سیستم
- گرفتن
- فنی
- تکنیک
- قوانین و مقررات
- شرایط و ضوابط
- La
- شان
- سوم
- اشخاص ثالث
- تهدید
- از طریق
- زمان
- زمان بر
- به
- رمز
- نشانه
- ابزار
- جمع
- شفافیت
- شفاف
- به طور معمول
- غیر منتظره
- لغو کردن
- معمولا
- تایید
- بررسی
- نقض
- حیاتی
- آسیب پذیری ها
- چی
- چه
- که
- در حین
- نشریه
- پاک کردن
- برداشت
- بدون
- سال
- شما
- جوان
- خودت
- زفیرنت