چه چیزی حسابرسی قرارداد هوشمند DeFi را بسیار مهم می کند

دیفای پرچمدار رونق کریپتو در سال 2020 بود و گرما تا سال 2021 نیز از بین نرفت. با افزایش روزافزون مردمی که سرمایه خود را صرف کشاورزی محصول می کنند، DeFi همچنان در درازمدت به کار خود ادامه می دهد.

شاید بسیاری را بشناسید که درآمد خود را با DeFi چند برابر کردند. در محافل رمزنگاری یافتن افرادی که سرمایه‌شان را منجنیق کرده‌اند، غیرمعمول نبوده است 7x or 10x با کشاورزی عملکرد وام های فلش ابزار اصلی در دست آنها بوده است و آنها را قادر می سازد تا پول خود را به سرعت بین پروتکل ها در مدت زمان تعیین شده جابجا کنند و طلای ضرابخانه ای را به دست آورند.

نقش قراردادهای هوشمند در اجرای DeFi

با این حال، تعداد کمی از مردم به نقش قراردادهای هوشمند در اجرای این برنامه های کاربردی قدرتمند به صورت خودکار پی می برند. قراردادهای هوشمند برنامه های کامپیوتری تغییرناپذیری هستند که روی یک بلاک چین ذخیره می شوند. این برنامه ها زمانی عمل می کنند که یک شرط از پیش تعیین شده برآورده شود. به لطف قرارداد هوشمند، همه ذینفعان می توانند در مورد نتیجه مطمئن باشند، بدون اینکه واقعاً درگیر شوند.

آنچه باعث می شود قراردادهای هوشمند به پیوند ضعیف تبدیل شوند

قراردادهای هوشمند به‌عنوان یک مکاشفه بزرگ مطرح شده‌اند. با این حال، روی دیگری از این سکه نیز وجود دارد. ثابت شده است که قراردادهای هوشمند حلقه ضعیف در اکوسیستم DeFi هستند. توسعه‌دهندگان ممکن است در نهایت کد بد بنویسند و به عناصر بی‌وجدان راه‌هایی برای سرقت پول و مخفی کردن وجوه قفل‌شده در پروتکل بدهند. بسیاری از پروژه های DeFi از پروتکل های موجود جدا شده اند. در چنین مواردی، باگ های موجود در پروتکل موجود به پروتکل فورک شده نیز منتقل می شوند.

اغلب، توسعه دهندگان به اندازه کافی با تجربه و دانش کافی برای نوشتن کد امن نیستند. پروژه‌ها تمایل دارند توسعه‌دهندگان بی‌تجربه را استخدام کنند تا در هزینه‌ها صرفه‌جویی کنند، بدون اینکه متوجه باشند مجموعه‌ای از اشکالات ایجاد شده توسط این افراد ممکن است برای آنها گران تمام شود. گاهی اوقات، توسعه‌دهندگان ممکن است عمداً باگ‌هایی را برای منحرف کردن وجوه از پروتکل به کیف پول‌های خود ایجاد کنند. و سپس، در بسیاری از موارد، هکرها ممکن است به اندازه کافی باهوش باشند تا باگ‌ها و آسیب‌پذیری‌ها را در یک کد به ظاهر سالم شناسایی کنند و ناآگاهانه برخورد کنند. صرف نظر از اینکه اشکالات چگونه به کد راه پیدا کرده اند، ممکن است یک تهدید وجودی برای پروژه باشد.

مروری بر نشت های DeFi در سال 2021

نگاهی به اکسپلویت‌های DeFi که در سال 2021 رخ داد، متعجب می‌شوید که تعداد پروتکل‌هایی را که از طریق قرارداد هوشمند به بیرون درز کرده‌اند، متعجب خواهید شد.

مالی بخرید - عاملان از ویژگی وام فلش پروتکل به کیف سوء استفاده کردند $11 میلیون ها وجوه کاربر از طریق بهره برداری قرارداد هوشمند.

آلفا همورا – این پروتکل نقدینگی اهرمی قربانی الف $37.5 میلیون بهره برداری این سوء استفاده شامل استفاده از یک ویژگی بود که وام های بدون وثیقه را برای قراردادهای هوشمند قابل اعتماد آزاد می کرد.

امور مالی Meerkat - صندوق قرارداد هوشمند این پروتکل کشاورزی عملکرد در زنجیره هوشمند Binance مورد حمله قرار گرفت که منجر به از دست دادن حدوداً شد. 13 میلیون دلار و 73,000 BNB

شبکه پرداخت شده - حمله بی نهایت ضرابخانه به PAID با ضرر حدود 180 میلیون دلار به اوج خود رسید.

EasyFi - حمله به EasyFi که در بالای شبکه Polygon ساخته شده بود، منجر به برداشتن دارایی‌های ارزشمند توسط مهاجم شد. $75 میلیون نفر است.

ForceDAO – هکرها ForceDAO را برای تخلیه هدف قرار دادند 183 ETH از پروتکل.

دارایی اورانیوم - در حالی که پروتکل در حال انجام انتقال رمز خود بود، با حمله ای مواجه شد که تا حد از دست دادن آن ادامه داشت $50 میلیون نفر است.

اسپارتی - حملات چندگانه وام فلش در این پروتکل DeFi مبتنی بر BSC منجر به از دست دادن حدوداً شد $30 میلیون نفر است.

سرمایه RARI - هکرها انبارهای بازده و استخرهای وام دهی Rari Capital را تخلیه کردند تا خسارت وارد کنند. $11 میلیون نفر است.

نحوه سرقت وجوه از پروتکل های DeFi

سه راه برای حذف وجوه از پروتکل های DeFi وجود دارد:

حفره های قرارداد هوشمند - این قراردادهای هوشمند است که عملکردهای کلیدی مانند نقدینگی و سهام را اجرا می کند و آنها را به هدف دائمی هکرها تبدیل می کند. اشکالات در قراردادهای هوشمند دلیل اصلی سوء استفاده ها هستند.

وام های فلاش – مهاجمان از وام‌های فلش عظیم برای افزایش فید قیمت برای یک استیبل کوین خاص استفاده می‌کنند و دارایی‌های خود را در این فرآیند چند برابر می‌کنند. ما نمی‌توانیم وام‌های فلش را کنار بگذاریم، زیرا برخی از ویژگی‌های بسیار مفید DeFi مانند آربیتراژ، مبادله وثیقه، خود انحلال، و بسیاری موارد دیگر را تسهیل می‌کنند.

چرا حملات وام فلش سیاه جدید هستند 🔥🔥؟

پول برای هیچ 💸. این همان چیزی است که وام های فلش در آن نامیده می شود #دیفای فضا. اما در گذشته‌ی نه چندان دور، پلتفرم‌های مختلف دی‌فای بیش از میلیون‌ها نفر از طریق حملات «فلش وام» حذف شدند.

[1 / 3]#Blockcha pic.twitter.com/7SvGr2SMgL

— QuillAudits (@QuillAudits) ژوئیه 31، 2021

دستکاری اوراکل - شبکه های غیرمتمرکز فقط از طریق اوراکل می توانند به داده های خارجی دسترسی داشته باشند. نقش اوراکل برای به دست آوردن اطلاعات ایمن و قابل اعتماد بسیار مهم است. هکرها سعی می کنند اوراکل ها را دستکاری کنند تا بر چیزها به نفع خود تأثیر بگذارند. مانند وام های فلش، نمی توانید اوراکل را از بین ببرید، اما کاری که می توانید انجام دهید این است که پروتکل خود را با یک اوراکل غیرمتمرکز یکپارچه کنید، که عموماً قابل اعتمادتر است.

خواندنی - هنگام حسابرسی قراردادهای هوشمند در DeFi چه چیزی را نباید فراموش کرد

راه های احتمالی حمله به قراردادهای هوشمند

وجود دارد دلایل متعدد برای اشکالات و آسیب پذیری در قراردادهای هوشمند. این موارد عبارتند از: ورود مجدد، داده های خصوصی رمزگذاری نشده روی زنجیره، کد نامربوط، تماس پیام با مقدار گاز کدگذاری شده، برخورد هش با چندین آرگومان طول متغیر، تعادل غیرمنتظره اتر، وجود متغیرهای استفاده نشده، خطای چاپی، DoS با بلوک محدودیت گاز، پرش دلخواه با متغیر نوع تابع، غم و اندوه ناکافی گاز، ترتیب ارثی نادرست، نقض الزامات، عدم تأیید امضای مناسب، منابع ضعیف تصادفی از ویژگی های زنجیره، چکش خواری امضا، DoS با تماس ناموفق، استفاده از توابع منسوخ، اتر محافظت نشده برداشت و بسیاری دیگر. توسعه دهندگان باید از همه این موارد و توضیحات کد آنها آگاه باشند.

حسابرسی قرارداد هوشمند

یک قرارداد هوشمند قبل از استقرار نیاز به ممیزی کامل دارد. تمام اکتشافات در گزارش نهایی همراه با توصیه ها توضیح داده شده است. سطوح امنیتی قرارداد هوشمند مطابق با مجموعه ای از مشخصات مانند بحرانی، بالا، متوسط، پایین و پایین اندازه گیری می شود.

ممیزی مناسب شامل چک های خودکار و دستی است. ممیزی خودکار نرم‌افزاری را به کار می‌گیرد که قسمت مسئول هر اجرا را تعیین می‌کند و مکان‌هایی را که ممکن است اشکال احتمالی رخ دهد را بررسی می‌کند. تجزیه و تحلیل دستی شامل تیمی از توسعه دهندگان باتجربه است که هر خط کد را بررسی می کنند. آنها ممکن است لیستی از آسیب پذیری های استاندارد را بررسی کنند یا بر اساس تجربه خود یک بررسی اکتشافی انجام دهند.

پسگفتار

قراردادهای هوشمند موتور پشت DeFi هستند. برای محافظت از پروژه DeFi از آسیب‌پذیری‌ها، بررسی کامل قرارداد ضروری است. حسابرسی خودکار و دستی باید به صورت پشت سر هم انجام شود تا ممیزی تا حد امکان کامل و دقیق باشد. 

با QuillAudits تماس بگیرید

QuillAudits یک پلت فرم حسابرسی قرارداد هوشمند ایمن است که توسط QuillHash
فن آوری ها
این یک پلتفرم حسابرسی است که قراردادهای هوشمند را برای بررسی آسیب‌پذیری‌های امنیتی از طریق اثربخشی دقیق تجزیه و تحلیل و تأیید می‌کند. کتابچه راهنمای بررسی با ایستا و پویا ابزار تحلیل، آنالایزرهای گاز همچنین شبیه سازها علاوه بر این، فرآیند حسابرسی نیز شامل گسترده است تست واحد همچنین تحلیل ساختاری
ما هر دو قرارداد هوشمند را انجام می دهیم ممیزی و نفوذ تست هایی برای یافتن پتانسیل
آسیب پذیری های امنیتی که ممکن است به پلت فرم آسیب برساند تمامیت.

در صورت نیاز معاونت در قراردادهای هوشمند حسابرسی، در صورت تمایل به رسیدن به به کارشناسان ما اینجا!

بودن به روز با کار ما، به ما بپیوندید اجتماع:-

توییتر | لینک | فیس بوک | تلگرام 

منبع: https://blog.quillhash.com/2021/10/06/what-makes-defi-smart-contract-auditing-so-pivotal/