Blockchain-suojaus: Kuinka ymmärtää lohkoketjun auditoinnit pysyäksesi turvassa DeFissä

Kulunut vuosi on ollut melko synkkää aikaa krypton alalla. Emme ole vain nähneet Lunan katastrofaalista romahdusta, 3 Arrows Capitalin rappeutumista, maksukyvyttömyys- ja konkurssiongelmat BlockFi:n, Celsiuksen, Voyagerin, VAULDin ja muiden kanssa, makrotaloudelliset olosuhteet, jotka ovat syöstäneet meidät kryptotalven syvyyksiin. vuosi on ollut myös valtavan tuhoisa blockchain- ja DeFi-hakkerointien ja -rikosten vuoksi, mikä on johtanut siihen, että ihmiset pakenevat DeFistä nopeammin kuin uimarit, jotka pakenevat haiden saastuttamia vesiä.

Nyt luultavasti ajattelet itsellesi, "Vau, kiitos masentavasta johdannosta. Krypto kuulostaa miinakentältä!”

Etkä ole väärässä, kryptolla on varmasti kohtuullinen osuutensa riskeistä. Mutta ennen kuin annat kaiken tämän tuhon ja synkkyyden saada sinut haluamaan hylätä krypton lopullisesti ja mennä piiloon sänkysi alle, älä pelkää, sillä tämä artikkeli auttaa sinua navigoimaan DeFi-vesillä parhaalla mahdollisella tavalla ja näyttämään, mitä haluat. sinun on tiedettävä blockchain-tietoturvatarkastuksista.

Vaikka tämä ei auta suojautumaan kaikilta krypton riskeiltä, ​​ei ole olemassa suojaa ketään, joka päättää "YOLO" säästönsä seuraavaan memecoiniin, tämän artikkelin tiedot auttavat ainakin saamaan sinut lisää nuolella nuoleen. joita voit käyttää parantaaksesi huomattavasti yleistä turvallista navigointiasi DeFi-tilassa.

Vain lievittääksesi joitain pelkoja varhaisessa vaiheessa älä huoli siitä, että tämä artikkeli on liian tekninen. Tämä hyödyllinen opas on niin helppo ymmärtää, että jopa isäni, joka kutsuu koko kryptoteollisuutta "That Bitcoin Stuffiksi", pystyy ymmärtämään sen.

Ja koska olen suunnilleen yhtä hyvin perehtynyt lohkoketjun kehittämiseen kuin kivi hiusten leikkaamiseen, päätin saada ammattiapua ja sisäpiirineuvoja tähän artikkeliin. Otin yhteyttä ystäviimme klo Ackee Blockchain auttaakseni opettelemaan itseäni ja tavallista Joeta, mistä ihmeestä näissä blockchain-auditoinneissa on kyse.

Haluan kiittää Ackee-tiimiä siitä, että he käyttivät aikaa auttaakseen meitä ja yhteisöämme opettamalla meille blockchain-auditoinnin perusteet ja yhteistyöstä kanssamme tämän artikkelin parissa. Blockchain- ja DeFi-auditointiraportit ovat erittäin tärkeä osa kryptoa, ja vain harvat meistä ymmärtävät niitä.

Kun teemme due diligence -työmme DApp- tai DeFi-protokollan turvallisuuden määrittämisessä, monet meistä etsivät jotain, joka sanoo, että alusta on tarkastettu, ja saattavat ajatella "okei, tarpeeksi hyvä". Tiedän, että olen syyllistynyt siihen aiemmin, mutta mitä se itse asiassa tarkoittaa, että minut on tarkastettu? Kuinka voimme varmistaa tämän? Ja kuten opit tästä artikkelista, vain siksi, että jotain on tarkastettu, se ei tarkoita, että sen pitäisi saada automaattisesti vihreää valoa.

Katsotaanpa aluksi, mitä blockchain-auditointiyritykset todella tekevät.

Mitä Blockchain-auditointiyritykset tekevät?

Kun kuulemme termin "tarkastus", monet meistä kuvittelevat automaattisesti tukkoisen vanhan jätkän puvussa, joka toimii hallitukselle ja joka tulee koputtamaan ja käymään läpi kaikki talous- ja tiliotteemme hienohampaisella kampalla. Perinteisellä rahoitusalalla olet oikeassa, mutta lohkoketjun tilintarkastajat eivät voisi olla kauempana siitä.

Lohkoketjun tarkastajat eivät ole millään tavalla kirjanpitäjiä, he ovat koodaus- ja kehittäjätaitojen asiantuntijoita, jotka etsivät bugeja, virheitä ja haitallista koodia lohkoketjuprojektin, älykkään sopimuksen tai kryptotunnuksen lähdekoodista.

Erilaiset tilintarkastusyritykset voivat myös erikoistua eri osa-alueille, minkä vuoksi on aina hyvä nähdä alusta, jonka on auditoinut useampi kuin yksi yritys. Jokainen suoritettu auditointi vähentää riskiä ja yksi yritys voi havaita jotain, jonka toinen yritys jäi huomaamatta.

1inch on tästä loistava esimerkki. 1inch on DEX-aggregaattori, jonka useat eri yritykset ovat tarkastaneet, mikä lisää käyttäjien luottamusta alustaan ​​ja korostaa, että 1 tuuman tiimi on vahvasti sitoutunut varmistamaan yhteisönsä turvallisuuden.

Blockchain-auditointiyrityksillä on tiimi insinöörejä, jotka voivat suorittaa tehtäviä, kuten:

• Security Audit
• Työkaluanalyysi
• Manuaalinen koodin tarkistus
• Suorita ja kirjoita automaattisia testejä
• Järjestä Bug Bounty -kilpailuja

Vaikka muut tilintarkastusyritykset, kuten Ackee Blockchain, voivat myös täyttää "täyden palvelun" vaatimukset ja auttaa muilla aloilla, kuten:

• Turvallisten älykkäiden sopimusten luominen kiinteyteen tai ruosteeseen
• Auta täydellisen ekosysteemin rakentamisessa, käyttökokemuksen, suunnittelun, käyttöliittymän, taustaohjelmien ja DevOpsien käsittelyssä

Ackee Blockchain edistää myös lohkoketjuteollisuutta kokonaisuudessaan, mikä on hienoa nähdä. He ovat kehittäneet avoimen lähdekoodin tietoturvatyökaluja, joita kuka tahansa voi käyttää, ja ovat intohimoisia opettamaan ja tarjoamaan mahdollisuuksia aloitteleville blockchain-kehittäjille. Aiemmin he ovat isännöineet verkkokursseja kehittäjille, jotka haluavat työskennellä lohkoketjun parissa, ja jopa saaneet Solana-säätiöltä apurahaa Solanan kesäkoulu.

Tiimi tarjoaa kesäkouluja verkossa, joissa he opettavat Solidityä, ja syksyllä 2022 Ackee Blockchainin toimitusjohtaja ja toinen perustaja Josef Gattermayer, Ph.D. opettaa lohkoketjun kehittämiseen liittyviä aiheita Tšekin tekninen yliopisto Prahassa. Kannattaa ehdottomasti ottaa yhteyttä Ackee-tiimiin, kursseille ilmoittautuminen heidän sivustollaan ja seuraamalla heitä, jos olet kiinnostunut lohkoketjukehityksen ja -turvallisuuden tulevaisuudesta.

Kuten näette, lohkoketjun auditointi voi olla muutakin kuin vain pimeässä huoneessa nörttimistä ja koodin selailua, vaan koko ekosysteemi on kapseloitunut kapseliin.

Miksi Blockchain-auditointi on tärkeää?

Jos ihmiset olisivat täydellisiä, blockchain-auditointiyrityksiä ei tarvittaisi, koska jokainen koodirivi olisi kirjoitettu virheettömästi ja täysin läpäisemätön hyväksikäytöille, vioista ja hyökkäyksille.

Vielä pahempaa kuin ihmiset tekevät virheitä, on se, että ihmiset voivat olla korruptoituneita ja ilkeitä. Melko yleinen tapaus on, että huonot toimijat syöttävät tahallisesti haitallista koodia protokollaansa, jonka avulla he voivat hyödyntää luomaansa alustaa käyttäjien varojen varastamiseksi.

Inhimillisen erehdyksen ja pahantahtoisten aikomusten välillä älykkäät sopimukset ja lohkoketjusovellukset/DApps ovat alttiita seuraaville riskeille:

• Palvelunestohyökkäykset, jotka tekevät protokollasta käyttökelvottoman.
• Mattovedot / takaoven varkaus, jossa perustajat syöttävät haitallisen koodin, jonka avulla he voivat nostaa älykkääseen sopimukseen sijoitettuja varoja.
• Koodin hyödyntäminen tavoilla, jotka hyödyttävät hakkereita ja vahingoittavat käyttäjiä, kuten uusien tokenien lyöminen suunniteltujen menetelmien ulkopuolella tai asiakkaiden varojen tyhjentäminen älykkäistä sopimuksista.
• Jotkut hakkerit haluavat vain "katsoa maailman palavan" ja käyttävät hyväkseen kaikkia löytämiään vikoja vahingoittaakseen alustaa.

Monet DeFi-käyttäjät pitävät yhtenä tärkeimmistä DeFi-alustalla tarkastettavista asioista on se, onko koodi avoimen lähdekoodin vai ei. Tämä on loistava ensimmäinen askel, koska monet projektit julkaisevat koodin julkisella sivustolla, kuten Githubilla, jonne kuka tahansa voi mennä sisään ja tarkistaa/varmentaa koodin itse.

Kun katsot projektin GitHub-sivua, tämä on usein yksi niistä asioista, joita käyttäjät, jotka harkitsevat DApp:n käyttöä, etsivät käyttämällä 1 tuumaa jälleen esimerkkinä:

Tämä on hyvä aloitustapa protokollan aitouden tarkistamiseen, koska siellä yhteisön jäsenet tai kuka tahansa voivat mennä sisään ja varmistaa, ettei siihen ole piilotettu haitallista koodia.

On myös hyödyllistä tietää, että kuka tahansa voi julkaista mitä tahansa GitHubissa. GitHubissa julkaistu koodi ei automaattisesti vahvista, että kyseessä on sama koodi, joka käyttää älykästä sopimusta. Onneksi käyttäjät voivat varmistaa tämän menemällä lohkonhallintaan, kuten Etherscaniin, ja tarkistamalla, että GitHubin koodi on todella otettu käyttöön ja käytetty. Tässä on 1 tuuman Token Etherscanissa, esimerkiksi. Olen yleensä samaa mieltä siitä, että avoimen lähdekoodin julkaiseminen GitHubissa on hyvä merkki, mutta kun napsautan GitHubia katsoakseni sitä, näen vain:

Joten sen sijaan, että aivoni paistaisivat kuin muna kuumalla jalkakäytävällä yrittäessään selvittää tätä, haluan nähdä, että lohkoketjun auditointiyrityksen ammattilaisten ryhmä on käynyt läpi kaiken tämän ja antanut sille peukalot pystyyn.

On tärkeää selvittää yksi asia, ja se on, että vain koska protokolla on tarkastettu, se ei tarkoita, että se on 100% turvallinen. Mitään koodia ei voida koskaan pitää täysin läpäisemättömänä hakkeroinnissa, sillä hakkereiden työkalut ja taidot kehittyvät koko ajan. Aivan kuten valkohattuiset (hyvät) hakkerit ja blockchain-kehittäjät paranevat ja kehittyvät koko ajan, samoin ovat pahikset.

Voit ajatella sitä ikään kuin kissa ja hiiri -pelinä, koodin kirjoittaminen on pohjimmiltaan kuin luovan palapelin rakentamista ja ongelmanratkaisua, ja hakkerit etsivät tapoja ratkaista pulmapeli tai hyökätä kimppuun yhä älykkäämmillä ja hienostuneemmilla tavoilla, joten ovat aina osa riskiä.

Miksi vuosi 2022 on ollut erityisen huono kryptokäyttöön

Kun näemme tällaisia ​​otsikoita:

Se voi olla aika sydäntäsärkevää. Kryptoteollisuus on saanut vakavan mustan silmän, koska joka viikko näyttää tapahtuvan uusi massiivinen hakkerointi tai hyväksikäyttö, joka johtaa miljoonien varojen menettämiseen.

Tämä ei ole vain surullista, koska nämä ovat keskimääräisiä ihmisiä, jotka menettävät rahojaan, vaan myös huolestuttavaa, koska nämä hyökkäykset kohdistavat koko kryptoalaa yhä ankarampaan kritiikkiin, hidastavat käyttöönottoa, pitävät sijoittajat loitolla ja tarjoavat hallituksille tekosyitä, joita he tarvitsevat lisätäkseen arvovaltaansa. valvontaa sijoittajien "suojelemiseksi" ja usein ankaria toimenpiteitä, joita monet meistä turvautuivat kryptovalvontaan.

Ensisijainen syy tähän on huolimaton kehittäjäsuunnittelu.

Kun istuin Josefin kanssa Ackeesta, kysyin hänen näkemyksiään siitä, miksi hyväksikäyttöjä on ollut ennätysmäärä, hänen selityksensä oli järkevä.

Josef selitti minulle voimakkaasti, että kryptoteollisuus kasvaa nopeasti ja tiimeistä käydään kovaa kilpailua tuotteidensa lanseeraamisesta. Ammattitaitoisista ja kokeneista blockchain-kehittäjistä on pulaa, jotka pystyvät vastaamaan kysyntään, minkä seurauksena monet projektit palkkaavat aloittelevia kehittäjiä ja joilla on "riittävän hyvä" asenne, DApps käynnistetään ilman asianmukaisia ​​tarkastuksia ja auditointeja.

Josef selitti myös, että lohkoketjun auditointipalveluiden tarve kasvaa pilviin, eikä lohkoketjun auditointiyrityksiä ole tarpeeksi vastaamaan projektien kysyntään. Tämä on johtanut siihen, että projektitiimit eivät ole halunneet odottaa auditointitiimin saatavuutta, joten he käynnistävät tai julkaisevat päivityksen joko ilman auditointia tai luottavat vanhentuneeseen tarkastukseen, joka ei kata alustan uusi versio tai iteraatio.

Tämä teema oli erityisen esillä vuoden 2021 härkäjuoksussa, mutta tilanne on paljon rennompi nyt, kun ollaan karhumarkkinoilla. Projekteilla ei ole suuri kiire käynnistymiseen ja auditoinnin pullonkaulassa on vähemmän projekteja. On totta, että karhumarkkinat ovat rakentamisen aikaa, ja tiimeillä on taipumus omaksua ahkerampi lähestymistapa hitaampina markkinaaikoina.

Kävimme läpi kaksi erityistä onnistunutta hyökkäystä, jotka tapahtuivat tutkiaksemme tarkalleen, mikä meni, ja autamme saamaan tämän kaiken perspektiiviin.

Ethereum DAO Hack of 2016

Pohjimmiltaan se, mitä täällä tapahtui, oli jotain, joka tunnetaan palaamisvirheenä. Yksinkertaisesti sanottuna koodi suorittaa kaksi käskyä:

1. Peruuttaa
2. Päivitä saldo

Jos se suoritetaan kronologisesti, se toimii kuten pitääkin. Mutta koska Ethereum on hajautettu järjestelmä (toisin kuin web2-ohjelmat), sopimus voidaan kutsua toisesta sopimuksesta, joka tuo mahdollisuuden toteuttaa mukautettu takaisinsoittotoiminto, joka kutsutaan peruutuskäskystä.

Ja tämä hakkerin toteuttama takaisinsoittotoiminto kutsuu sopimusta uudelleen ja uudelleen useita kertoja, ennen kuin päivityssaldokäsky lopulta suoritetaan. Tämä mahdollistaa hyökkääjän vetäytymisen useita kertoja.

Tämä on aloittelevien web3-kehittäjien usein tekemä virhe. Jopa viisi vuotta tämän hyökkäyksen jälkeen ongelma ilmenee edelleen siitä, että kehittäjät eivät ota aikaa oppiakseen tästä tapauksesta. Ratkaisu on tässä tapauksessa melko yksinkertainen, ja se on vain laittaa nämä kaksi koodiriviä päinvastaiseen järjestykseen. Ensin päivitys, sitten poisto.

Tarkastajat etsivät tämän kaltaisia ​​tunnettuja ongelmia tarkastaessaan protokollaa.

Solana Wormhole Attack 2022

2022 ei alkanut hyvin, sillä ensimmäinen suuri hyökkäys tapahtui Solanaan helmikuun alussa. Hyökkääjä ohitti Rust-ohjelman allekirjoituksen tarkistuksen, joten näytti siltä, ​​että huoltajat olivat allekirjoittaneet 120 XNUMX ETH-talletuksen Solanan Wormholeen, vaikka he eivät olleet sitä tehneet. Sitten hyökkääjä lyö 120 XNUMX arvosta käärittyä ETH:ta Solanassa.

Ennen tätä madonreikähyökkäystä monet kryptoyhteisössä olettivat, että Solanan ja Rustin kehittäminen oli liian vaikeaa oppia houkuttelemaan amatöörikehittäjiä. Tämä johti uskoon, että vain parhaat kehittäjät työskentelivät Solanan parissa, mikä tarkoittaa, että auditoinnille ei ollut niin suurta tarvetta. Tämän hyökkäyksen jälkeen Josef mainitsi, että hän ja hänen tiiminsä näkivät Solana DApps -sovellusten ja protokollien tarkastuspyyntöjen lisääntyneen merkittävästi.

Kaiken tämän jälkeen saatat ajatella, että jos ihmiset ovat virheiden ja haitallisten aikomusten lähde, eikö olisi järkevää, että tietokoneet ja tekoälykoneet, jotka eivät todennäköisesti tee virheitä eivätkä kykene pahantahtoisiin aikoihin, kirjoittaisivat vain kaiken tämän koodin meille?

Se on hieno kysymys, ja edellä olevan kaltaisten artikkeleiden vuoksi tämä on myös käynyt mielessäni. Käsittelemme sitä seuraavassa osiossa.

Blockchain-tietoturvan tulevaisuus

On selvää, että olemme siirtymässä kohti tulevaisuutta, jossa monet työstämme ulkoistetaan tietokoneille ja tekoälyohjelmille, jotka voivat tehdä ihmisten työt paljon paremmin kuin me.

Näemme tämän jo automatisoiduissa kassoissa ja autotehtaissa, joissa on enemmän robotteja kuin ihmisiä. Tietokoneet ottavat haltuunsa jopa pitkälle erikoistuneita ammatteja, kuten lääkäreitä ja apteekkeja, sillä robotti voi olla tarkempi skalpellilla ja tietokoneohjelma voi selata koko lääketietokannan ja täyttää sekunneissa raportteja siitä, mitä lääkkeitä voidaan ja mitä ei voi sekoittaa muiden kemikaalien kanssa. lääkkeet, ihmiselle mahdoton tehtävä.

Ajattelin varmaksi, että ohjelmointi ja kehittäminen olisi yksi ensimmäisistä tietokoneiden korvaamista töistä. Jos näytöllä on kaikki kirjaimet ja numerot, jotka on rakennettu tiettyjen tehtävien suorittamiseen, niin tietokone voisi varmasti tehdä sen paremmin kuin ihminen, vähemmällä virheellä?

Ajattelin, että lohkoketjun auditointiyritykset jatkaisivat Dodo-lintujen (sukpuuttoon kuolleiden) tapaa, sillä kun tietokoneet alkavat kehittyä itsenäisesti, virheitä ei löydy. Tämä korosti, kuinka vähän tiesin kehittämisestä, kun Ackee-tiimi selitti joitain käsitteitä, joita en ollut arvostanut.

Suuri osa lohkoketjun kehittämisestä on ongelmanratkaisua ja 360 asteen näkemystä ongelmasta. Vaatii paljon luovuutta ja "laatikon ulkopuolella" ajattelua, johon tietokoneet eivät pysty. Se ei ole vain niin yksinkertaista kuin "kun "X" tapahtuu, suorita "Y".

Meidän on myös otettava huomioon, että monet näistä DAppeista ja sovelluksista yrittävät ratkaista "inhimillisiä" ongelmia ja sitä, kuinka olemme vuorovaikutuksessa järjestelmien, protokollien ja menettelyjen kanssa. Anteeksi pikku Butter Bot, mutta et ole valmis ymmärtämään inhimillisiä ongelmia ja tarjoamaan inhimillisiä ratkaisuja.

Lohkoketjukehityksen ja tietoturvan työpaikat eivät vain kasva pilviin, mutta näyttää siltä, ​​​​että näille rooleille on tarvetta tulevina vuosina.

Tämä ei kuitenkaan tarkoita, etteikö web3-kehitystilassa tapahtuisi automaatiota. Kehittäjille on tarjolla runsaasti ilmaisia ​​työkaluja, jotka antavat heille palautetta tietoturvasta ja auttavat purkamaan osan työstä, jotta kehittäjät voivat keskittyä muihin tehtäviin.

Esimerkiksi Ethereumissa on hyvä staattisen koodin analysaattori nimeltä Luikerrella joka on erittäin suosittu ja Ackee Blockchain työskentelee oman avoimen lähdekoodin staattisen analysaattorin parissa Heräsi, joka havaitsee asiat eri tavalla kuin Slither, mikä vähentää koodin manuaalisen analysoinnin taakkaa.

Ackee-tiimi paljasti myös Solanassa trendin, joka koski testiongelmaa. Kehittäjät eivät kirjoittaneet niistä tarpeeksi, koska se on melko työvoimavaltaista ja joutui kirjoittamaan paljon yleiskoodia. Joten Ackee Blockchain johti projektia, jossa he kirjoittivat Solanalle avoimen lähdekoodin testauskehyksen nimeltä Trdelnik jonka avulla kehittäjät voivat kirjoittaa testejä helpommin. Joukkue sai kunniamaininnan ja voitti Marinadipalkinnon aikana a hackathon Prahassa Trdelnikille.

Kaikki tämä osoittaa meille, että on todennäköistä, että automaatiolla ja tietokoneilla tulee olemaan yhä tärkeämpi rooli lohkoketjujen kehittäjien ja tietoturvatarkastajien avustamisessa, mutta tuskin ne korvaavat niitä lähiaikoina.

Blockchain-kehittäjien yleinen mielipide on, että monet näistä hakkeroista ja hyväksikäytöistä johtuvat siitä, että tämä on vielä nuori ja kokematon ala. Kun lohkoketjuteollisuus kehittyy ja kypsyy edelleen, hyväksikäyttöjä pitäisi olla yhä vähemmän, mikä johtaa siihen, että kokonais kryptotilasta tulee turvallisempi ja käyttäjäystävällisempi.

Selvä, nyt päästään hyviin asioihin, tämän artikkelin tärkeimpiin poimijoihin.

Kuinka varmistaa, että alusta on auditoitu

Aivan ensimmäinen askel on todella varmistaa, että tarkastus löytyy. Ne löytyvät projektin GitHub-arkistosta, ja kaikki suoritetut auditoinnit tulee mainita selvästi projektin asiakirjoissa tai itse alustan verkkosivustolla. Jos et löydä mainintaa tarkastuksesta, pysyn poissa.

Julkisesti saatavilla oleva tarkastus tarkoittaa todennäköisesti seuraavaa:

• Mitään tarkastusta ei ole suoritettu
• On ollut epäonnistunut auditointi, jota hanke ei halua tulla tiedoksi
• Tarkastuksessa havaittiin ongelmia, joihin tiimi ei puuttunut
• Koodi sisältää haitallisia takaoven reittejä, jotka voivat johtaa varkauksiin

Kuten aiemmin mainittiin, on myös mukava nähdä, että koodi on avoimen lähdekoodin, koska se on merkitty "julkiseksi" GitHubissa. Tämä ei ole vaatimus, mutta se on silti bonus. On kuitenkin syitä olla käyttämättä avoimen lähdekoodin koodia, joten se ei aina ole sopimusten katkaisija. Syitä olla avoimen lähdekoodin käyttämättä voi olla esimerkiksi:

• Yritykset, jotka haluavat säilyttää kilpailuedun. Heti kun yritys avaa koodinsa avoimella lähdekoodilla, kuka tahansa voi luoda saman protokollan ja kilpailla. Tästä syystä Coca-Cola pitää reseptinsä salassa, ja KFC:llä on tunnetusti "Top Secret 11 yrttiä ja maustetta".
• Kun koodi on julkinen, hakkerit voivat käyttää tietoja etsiäkseen hyväksikäyttöjä. Vaikka hyvä käytäntö toimii päinvastoin, jos projekti luottaa koodiinsa, se julkaistaan.
• Varhaiset projektit eivät ehkä halua avata koodiaan heti, ennen kuin ne ovat rakentaneet suuren yhteisön ja tarpeeksi käyttäjiä, mikä muodostaa esteen mahdollisille kilpailijoille.

Tapasin äskettäin projektitiimin, joka katui heti alustansa avointa hankintaa, sillä kilpaileva yritys yksinkertaisesti kopioi heidän koodinsa ja liiketoimintamallinsa ja sai enemmän rahoitusta vaikuttajien ja seuraajien maksamiseen. Tämä sai vaikutelman, että kilpaileva yritys oli parempi alusta heti julkaisusta lähtien, koska se antoi vaikutelman useammista käyttäjistä ja suuremmasta seuraajasta. Kilpaileva yritys on nyt huomattavasti edellä alkuperäistä perustajatiimiä, joka päätti kasvaa orgaanisemmin ja eettisemmin.

Tässä on hieno visuaalinen kuva Bridge Global joka tiivistää joitakin yleisiä eroja avoimen lähdekoodin ja suljetun lähdekoodin ohjelmistojen välillä:

Kaksi mielenkiintoista lähestymistapaa avoimeen ja suljettuun lähdekoodiin löytyy vertaamalla suosittuja laitteistolompakoita Trezor ja pääkirja. Trezor päätti julkaista 100 % lähdekoodistaan ​​yleisölle, jotta kuka tahansa voi tarkistaa sen, kun taas Ledger päätti pelata korttinsa lähempänä rintaansa ja avoimen lähdekoodin koodia, mutta pitää laiteohjelmistonsa suljetun lähdekoodin.

Tämä johti siihen, että monet blockchain-elitistit valitsivat Trezorin Ledgerin sijaan, koska heidän mielestään Ledgerin pitäisi avata koodinsa, ihmetellen mitä he yrittävät piilottaa. Henkilökohtaisesti en näe tätä huolenaiheena, sillä Ledger on osoittanut kokemuksensa ja omistautumisensa tilaan ja on kasvanut yhdeksi maailman suurimmista laitteistolompakkotoimittajista luoden korkealuokkaisimpia suojattuja kryptovarastoja. laitteet.

Kun tarkastus on suoritettu ja paikannettu, niin kauan kuin se on julkistettu, kuka tahansa voi avata asiakirjan ja löytää tarkastuksen tulokset. Sen sijaan, että selaamme koko tarkastusasiakirjaa, meidän tarvitsee yksinkertaisen tarkoituksemme vuoksi etsiä vain "Executive Summary" -sivua, joka näyttää usein tältä:

Tämä sivu sijaitsee joko raportin alussa tai lopussa. Se on sivu, joka näyttää tarkastuksen tulokset yksinkertaisessa, keskivertoihmisen ymmärtämässä muodossa. Sukellaanpa siihen, mitä tietoja tämä meille näyttää.

Onko tarkastus tuore? Tarkastusten tulee olla jatkuvaa palvelua ja JOKAISESTA päivityksestä, versiosta tai uudesta ominaisuudesta/toiminnosta tulee ehdottomasti tehdä uusi auditointi. Jos uusi ominaisuus tai versio on julkaistu, aiemmat tarkastustulokset eivät ole enää voimassa, koska koodikanta on todennäköisesti muuttunut.

Tämä voidaan varmistaa katsomalla projektiversiota ja/tai tekemällä tiiviste. Versio on sellainen, kun näet Uniswap "V2" (versio 2), ja vahvistushaja tunnistaa version lähdekoodivarastosta. Tarkastellessaan tarkastuksessa näkyvää versiota tai vahvistusta, joka näkyy yllä olevassa taulukossa, jonka otsikko on "arkisto", käyttäjät voivat tarkistaa, että se vastaa GitHubissa näkyvää versiota tai vahvistusta.

Se näyttää suunnilleen tältä:

Tässä on toinen katsaus yhdestä Ackee Blockchain Auditsista:

Vaikka sitoutumishaja ei täsmää, se ei välttämättä tarkoita punaista lippua. Projektin GitHubin sitoumushaja muuttuu aina, kun tehdään uusi säätö tai iteraatio. Jokainen säätö muuttaa vahvistushajaa, eikä sen pitäisi olla huolestuttavaa, jos siinä on vain pieni säätö.

Jos et näe tarkastuksesta saatua vahvistusta GitHub-pääsivulla, voit siirtyä "Commit History" -kohtaan ja etsiä vahvistusta ja nähdä itse, kuinka paljon on muuttunut tarkastuksen suorittamisen jälkeen.

Sen voi tehdä klikkaamalla tästä:

Tee sitten haku täältä:

Kun jokaiselle muutokselle täytetään uusi toimitustiiviste, jokaisella on päivämäärä ja aikaleima, jos tarkastuksen suorittamisen ja projektin parhaillaan käynnissä olevan sitoumushajautusajan välillä on ollut huomattava määrä uusia sitoumuksia, voit Haluat harkita uuden tarkastuksen suorittamista ennen osallistumista.

Jos sinulla on analyyttinen silmä ja haluat sukeltaa syvemmälle, voit napsauttaa jokaista uutta vahvistusta ja verrata vanhaa punaisella näkyvää koodia uuteen vihreällä näkyvään koodiin ja tarkistaa itse, mikä tarkalleen on muuttunut:

Jos huomaat uuden tiivisteen, joka poikkeaa tarkastuksen suorittamishetkestä, ja näet jotain tällaista:

Tämä on yksi niistä merkityksettömistä muutoksista, joista mainitsin, ja vaikka se täytti uuden vahvistushajasteen, siitä ei ole syytä huoleen, koska tämä oli yksinkertainen tiedoston uudelleennimeäminen. Yllä oleva GitHub-kuva näyttää 0 lisäystä ja 0 poistoa.

Siirrytään seuraavaan yhteenvedossa olevaan asiaan:

Ongelmat – Tiivistelmä näyttää kaikki tarkastuksen aikana paljastuneet ongelmat ja mikä tärkeintä, ratkaisiko tiimi ongelmat. Tämä osio näkyy lähellä alareunaa, jossa näkyy "Kokonaisongelmat" ja sen jälkeen eritellään ne vakavuuden mukaan ja sen mukaan, onko ne ratkaistu. Tarkastusyritys tunnistaa ensin ongelmat, merkitsee ne kehitystiimille ja tarkistaa sitten koodin uudelleen, kun kehittäjät ovat korjanneet ongelmat, ennen kuin tarkastustiimi merkitsee ongelman "ratkaistuksi".

On selvää, että kaikki ongelmat, jotka on merkitty "kriittisiksi" tai "korkeiksi riskeiksi", tulee ratkaista. Vaikka raportti osoittaa, että kaikki kriittiset tai korkean riskin ongelmat on ratkaistu, tämä on silti syytä ottaa huomioon hanketta kohtaan skeptisesti. Jos tarkastustiimi löysi aluksi paljon kriittisiä ongelmia, se voi korostaa, että projektin takana oleva kehittäjätiimi voi olla varsin aloittelija, mikä johtaa uusiin ja lisäongelmiin.

Keski- tai matalariskiset ongelmat ovat yleisiä eivätkä yleensä aiheuta huolta. Auditointiryhmä voi jopa merkitä jonkin asian vähäriskiseksi, jos he vain ehdottavat vaihtoehtoa tai ovat eri mieltä siitä, miten johonkin pitäisi suhtautua.

Tässä on yhteenveto kunkin luokan merkityksestä:

kriittinen – Kaikki kriittisiksi merkitty tarkoittaa, että jotain on hyödynnettävä juuri nyt.

Ackee Blockchainin tiimi kertoi minulle tarinan tekemästään auditoinnista, jossa he löysivät kriittisen ongelman jo käynnistetyssä protokollassa. He herättivät projektin Dev-tiimin kello 5 aamulla "kaikki kädet kannella" -hätätilanteessa korjatakseen koodin mahdollisimman pian. Onneksi he havaitsivat ongelman ajoissa ennen kuin hakkerit pystyivät tunnistamaan haavoittuvuuden.

Suuri vakavuus – Ongelmat, joita ei voida hyödyntää nyt, mutta joita voi olla, jos tietyt sekvenssit täyttyvät.

Keskitasoa matalaan - Nämä ovat usein pieniä parannuksia, joita tarvitaan tai suosituksia, eivätkä välttämättä turvallisuusuhkia.

Eri tilintarkastusyhtiöt laativat myös yhteenvedot eri muodoissa. Yllä olevan yhteenvedon on tehnyt tilintarkastusyhteisö Quantstamp. Ackee Blockchain tarjoaa PDF-tiedoston tarkastuksen ja verkkoyhteenvedon, joka yhdistää alku- ja seurantatulokset enemmän esseemuotoon, jota on helpompi lukea. Löydät niistä esimerkin Tarkastuksen yhteenveto.

Muita asioita, joita kannattaa etsiä:

• Onko tarkastuksen suorittanut useampi kuin yksi yritys? Mitä enemmän katseita etsii ongelmia, sitä vähemmän on mahdollista, että koodissa on virhe.
• Onko lohkoketjun tilintarkastusyritys ammattimainen ja arvostettu yhteisössä? Jos et ole koskaan kuullut tilintarkastusyrityksestä ennen, katso heidän verkkosivuillaan ja etsi muita projekteja, joissa he ovat työstäneet. Onko jokin heidän tarkastamistaan ​​alustoista hyvämaineinen? Tarkista, käytettiinkö mitään alustoja yrityksen suorittaman tarkastuksen jälkeen. Tämä voi tuoda esille huonot auditointitaidot. Etsi esimerkiksi voitettuja hackathoneja ja tuki/apurahoja kerroksen 1 verkostosäätiöiltä.

Hyvä esimerkki tästä on Ackee Blockchain, jolle on myönnetty virallisia kehitys-/yhteisöapurahoja neljältä keskeiseltä säätiöltä: Coinbase Giving, Ethereum Foundation, Solana Foundation ja Tezos Foundation.

Jos olet joku, josta on tullut ymmärrettävästi epäluotettava tällä väärän tiedon aikakaudella, jos näet yllä olevan kuvan kaltaisen väitteen, joka on otettu Ackee Blockchain -verkkosivustolta, voit aina siirtyä säätiöiden verkkosivuille sen sijaan, että ottaisit sanan vastaan. maininnut ja tarkista väitteet itse.

Syy, miksi sanon tämän, johtuu siitä, että vuosien aikana, kun olen kirjoittanut arvosteluja, niiden verkkosivustojen määrä, jotka väittävät "esitelty Forbesissa tai Yahoo Financessa", vaikka niitä ei koskaan ollutkaan, on valtava. Toivon, että olisi jonkinlainen Internet-poliisi, joka voisi vetää yrityksiä Internet-vankilaan sellaisista valehtelevista ja harhaanjohtavista lausunnoista. Siksi kryptossa on sanonta "älä luota, tarkista". Älä huoli, Ackee tarkistaa ja yllä olevat säätiöt todella luottavat häneen, tarkistin 😉

Sulkeminen Ajatuksia

No, siinä se on. Joitakin tietoja blockchain-turvallisuudesta, joista toivottavasti olit hyötyä. Toivon, että tämä artikkeli auttaa sinua tuntemaan olosi itsevarmemmaksi lähteäksesi krypton maailmaan yhdellä panssarikerroksella ja pystyessäsi navigoimaan kryptovesillä aiempaa turvallisemmin. Tiedän, että aion tarkistaa nämä tiedot ahkerasti, kun seuraavan kerran valitsen, mihin DAappeihin ja protokolliin valitsen salausomaisuuteni luottaa.

Kuten sanonta kuuluu, "kryptoissa kyse ei ole siitä, kuinka paljon ansaitset, vaan kuinka paljon pidät", sillä valitettavasti monet meistä vanhoista salausveteraaneista ovat menettäneet enemmän kuin meidän kohtuullisen osuutensa Satoshisista lukemattomissa hakkeroissa. huijaukset, mattovedot, konkurssit jne. Mitä enemmän tietoa meillä on, sitä paremmin voimme suojautua monilta ankarilta riskeiltä, ​​joita esiintyy tässä uudessa ja orastavassa hullunkurisessa kryptomaailmassa.

Vastuuvapauslauseke: Nämä ovat kirjoittajan mielipiteitä, eikä niitä pidä pitää sijoitusneuvona. Lukijoiden tulisi tehdä oma tutkimus.