Kuinka tilintarkastajat havaitsevat DeFi-maton vetohuijauksen: voitko tehdä sen itse?

Hakkerit varastivat enemmän kryptovaluuttoja hajautetuilta rahoitusalustoilta (DeFi) kuin koskaan ennen vuonna 2022. Lähes 98 % kaikista DeFin lippumiehen DEX Uniswapilla lanseeratuista tokeneista tunnistettiin mattovedoksi.

Uusin, Defrost Finance, tuli joulun painajaisena kryptosijoittajille, pyyhkimällä pois 12 miljoonaa dollaria heidän rahoistaan. 

Suurin osa DeFi-alustojen hakkeroista tapahtuu tietoturvaloukkausten ja koodin hyväksikäyttöjen kautta. Projekteissa, jotka päätyvät mattoveto-huijauksiksi, on vakavia tietoturvaongelmia, jotka on annettu luisua tai ehkä huomaamatta tahallaan. Vastaavien riskien estämiseksi DeFi-tietoturvatarkastukset ovat kriittisiä.

Täältä saamme lisätietoja näistä auditoinneista, miten ne suoritetaan ja onko mahdollista suorittaa DeFi-auditointi itse. 

DeFi-projektit toteutetaan monimutkaisina, itsetoimivina älykkäinä sopimuksina, usein läpinäkyvinä ja avoimen lähdekoodin avulla. Ne toimivat laillisina sopimuksina kahden osapuolen välillä. Ja koska niiden takana ei ole keskitettyä kokonaisuutta, pienikin virhe älykkäissä sopimuksissa voi johtaa peruuttamattomiin seurauksiin.

Tämä tarkoittaa, että älykkäissä sopimuksissa ei pitäisi olla tilaa virheille. DeFin älykkäiden sopimusten turvallisuusauditoinneilla on tarkoitus varmistaa tämä.

Turvatarkastukset tarkastelevat älykkäiden sopimusten koodia ja sitä, miten se perustelee sopimusehtoja. Yksityiskohtainen analyysi etsii koodista mahdollisia tietoturvavirheitä, rikkomuksia ja järjestelmävirheitä, joten sitä ei voida hyödyntää. 

Turvatarkastukset, jotka yleensä suorittavat kolmannet osapuolet, ovat elintärkeitä projektien turvallisuuden ja uskottavuuden varmistamiseksi sekä terveen DeFi-ekosysteemin ylläpitämiseksi.

Maton veto on eräänlainen irtautumishuijaus, joka toimii yksinkertaisessa mallissa: kehittäjät luovat laillisen näköisen DeFi-protokollan, ajavat ja mainostavat sitä, kunnes projekti houkuttelee tarpeeksi likviditeettiä, sitten vetävät varat pois ja katoavat. 

No ei aina. Toisinaan mattohuijarit syyttävät hakkereita likviditeetin varastamisesta ja jatkavat toimintaansa seuraavaan kertaan.

Hyökkäyksen toteuttamiseksi huijarit upottavat haitallista koodia älykkäisiin sopimuksiin. He muokkaavat niitä estääkseen sijoittajia myymästä: asettaa enimmäismyyntimaksun (100 %), listaa tunnuksen omistajat mustalle listalle ja lukitsee käyttäjien rahat sopimukseen.

Joissakin älykkäissä sopimuksissa koodataan niihin haitallinen "takaovi", jonka avulla kehittäjät voivat nostaa likviditeettiä.  

Useimmiten suojausauditorit eivät todenna muokattuja älykkäitä sopimuksia, ja ne ovat piilossa yleisöltä. Koska useimmat ketjun sisäiset sopimukset ovat julkisesti saatavilla, avoimuuden puute GitHub saattaa olla punainen lippu. 

Lohkoketju- ja älykkäiden sopimusten teollisuus on vielä suhteellisen nuori, samoin kuin älykkäiden sopimusten auditointisektori. Lukuisat yritykset ovat erikoistuneet älykkäisiin sopimusturvatarkastuksiin, kehittävät työkalujaan ja muokkaavat osaamistaan. 

Älykkäiden sopimusten turvallisuusalan standardit ja parhaat käytännöt kehittyvät. Siitä huolimatta DeFi-tarkastusalan toimijat käyttävät joitain melko tavallisia auditointimenetelmiä.

Tyypillisesti heidän tutkimuksensa alkavat älykkäiden sopimusten arvioinnilla. Tarkastaja analysoi DeFi-protokollan tiedotteen, liiketoimintalogiikan ja tekniset spesifikaatiot mahdollisten riskien ja turvaominaisuuksien arvioimiseksi.

Sitten he siirtävät huomionsa älysopimuksen koodiin. Tällöin koodin tarkistus ja analysointi alkaa. 

Tarkastajat tarkastavat koodia rivi riviltä ja etsivät eritasoisia haavoittuvuuksia: kriittisiä, jotka voivat johtaa likviditeettivuotoon; keskitasoinen, mikä voi osittain vahingoittaa älykästä sopimusta; ja matalan tason asiat, jotka vaikuttavat vähiten sopimuksen turvallisuuteen.

He käyttävät useita auditointitekniikoita, mukaan lukien automaattinen ja manuaalinen analyysi. Molemmissa on hyvät ja huonot puolensa.

Automaattinen suojaustarkastus tarkoittaa koodin skannausta automaattisella analyysiohjelmistolla, joka etsii bugeja tunnettujen haavoittuvuuksien tietokannasta ja tunnistaa niiden tarkan sijainnin koodissa.

Ohjelmistopohjainen auditointi suoritetaan yleensä ennen manuaalista analyysiä sellaisten virheiden havaitsemiseksi, jotka ihmiset saattavat jättää huomiotta. Se on nopeampi ja vähemmän aikaa vievä, mutta samalla se ei välttämättä aina ole tietoinen kontekstista ja siten huomaa tietyt haavoittuvuudet. 

Manuaalinen koodianalyysi on älykkäiden sopimusten tarkastuksen kuningas, ja se on kriittisin osa kattavaa ja tarkkaa älykkään koodin suojausauditointia. Sen suorittaa vähintään kaksi erillistä asiantuntijaa, jotka tarkastavat koodin rivi riviltä.

Tavoitteena on varmistaa, että jokainen projektin spesifikaatiossa oleva yksityiskohta on toteutettu älykkäässä sopimuksessa ja ettei mikään riko sen alun perin suunniteltua toimintaa. 

Tarkastajat tarkastelevat koodia tahattoman, odottamattoman käytöksen, keskeisten tietoturvaongelmien ja haavoittuvuuksien, kuten sisäänpääsyn, tietojen manipuloinnin, pikalainojen ja muiden manipulaatioiden varalta, joita voidaan toteuttaa, kun älykäs sopimus on vuorovaikutuksessa muiden kanssa.

Tämän lisäksi manuaaliset auditoinnit suorittavat simulaatioita, joilla arvioidaan kuinka hyvin DeFi-projektin älykäs sopimus reagoi tunnistamattomiin uhkiin ja miten se pystyy puolustautumaan niitä vastaan. 

Manuaalisen koodianalyysin viimeisessä osassa tarkastaja vertaa älykkään sopimuksen logiikkaa sen kuvaukseen projektin tiedotteessa. 

Kun kaikki haavoittuvuudet on tunnistettu ja korjattu, tarkastajat suorittavat kaksinkertaisen tarkastuksen varmistaakseen, että älykäs koodi toimii odotetulla tavalla.

Lopuksi turvatarkastuksen päätyttyä tarkastajat laativat kattavan raportin. Täällä he antavat yksityiskohtaista palautetta löytämistään. Tyypillisesti heidän raportissaan on suosituksia siitä, kuinka havaitut koodin puutteet voidaan korjata projektin turvallisuuden vähentämiseksi. 

Älykkäät sopimukset ovat suhteellisen uusi innovaatio. Niiden turvallisuusstandardit kehittyvät vastaavasti. Tämä tarkoittaa, että mikään kultainen sääntö ei takaa täydellistä älykkäiden sopimusten turvallisuutta.

Lisäksi kaikki älykkäiden sopimusten tilintarkastusyritykset eivät ole samanlaisia, eivätkä kaikki auditoinnit takaa turvallisuutta. Tilintarkastajien taitotaso, eri tavoitteet ja erilaiset kustannukset voivat olla erilaisia.

Puhumattakaan siitä, että markkinat ovat täynnä luonnostelevia kehittäjiä, jotka väärentävät auditointeja ja hyötyvät silti kunnioitetun yrityksen nimestä. Näin kävi Peckshieldille, blockchain-tietoturva- ja data-analytiikkayritykselle, yli vuosi sitten.

Tällaiset tilanteet ovat melko yleisiä kryptovaluutta-avaruudessa. He ottavat laillisen ja kunnioitettavan tarkastajan nimen ja laittavat sen raporttiinsa sanoen, että heidän protokollansa on tarkastettu.

Ainoa tapa välttää tällaisia ​​tapauksia on tarkistaa varmistus tilintarkastajan alkuperäisistä kanavista. Jos niitä ei ole, on mahdollista, että tilintarkastajan nimi on varastettu. 

Tarkista aina asiakasportfolionsa arvioidaksesi, onko tilintarkastaja vakaa ja hyvämaineinen. Googlella tapaukset tarkistaaksesi heidän kokemuksensa ja onko jokin tarkastetuista projekteista kärsinyt mattovedosta tai muista hyökkäyksistä.

Kun krypto-avaruudessa on niin paljon hakkereita ja mattovetoja, on naiivia kuvitella, että DeFi-projektit ovat turvallisia tutkimatta niitä tarkemmin. Älykkäät sopimusauditoinnit tarjoavat kriittisen turvallisuustason. 

Ammattimaisimmatkaan eivät kuitenkaan takaa, että DeFi-projekti on täysin bugiton. Älykkäät sopimukset ovat monimutkaisia. Ne vaativat yksityiskohtaista ja kattavaa analyysiä, asiantuntemusta, työkaluja ja mikä tärkeintä, useamman kuin yhden silmäparin.