Les pirates ont volé plus de crypto-monnaie sur les plates-formes de financement décentralisé (DeFi) que jamais auparavant en 2022. Près de 98 % de tous les jetons lancés sur le porte-drapeau de DeFi, DEX Uniswap, ont été identifiés comme des tractions de tapis.
Le dernier en date, Defrost Finance, venu comme un cauchemar de Noël pour les investisseurs en crypto, effaçant 12 millions de dollars de leur argent.
La plupart des piratages sur les plates-formes DeFi se produisent par des failles de sécurité et des exploits de code. Les projets qui finissent par être des escroqueries par tirage au sort présentent de graves problèmes de sécurité qui ont pu passer inaperçus, ou peut-être, n'ont pas été détectés volontairement. Pour prévenir des risques similaires, les audits de sécurité DeFi sont essentiels.
Nous en saurons ici plus sur ces audits, comment ils sont menés et s'il est possible de réaliser un audit DeFi par vous-même.
Qu'est-ce qu'un audit de sécurité DeFi ?
Les projets DeFi sont mis en œuvre sous forme de contrats intelligents complexes et auto-exécutables, souvent transparents et open source. Ils agissent comme des accords juridiques entre deux parties. Et comme aucune entité centralisée n’est derrière eux, même un petit bug dans les contrats intelligents pourrait avoir des conséquences irréversibles.
Cela signifie qu'il ne devrait pas y avoir de place pour les erreurs dans les contrats intelligents. Les audits de sécurité des contrats intelligents DeFi sont destinés à garantir cela.
Les audits de sécurité examinent le code des contrats intelligents et la manière dont il fonde les termes et conditions des contrats. L'analyse détaillée recherche les failles de sécurité potentielles, les violations et les bogues du système dans le code, afin qu'il ne puisse pas être exploité.
Les audits de sécurité, généralement menés par des tiers, sont essentiels pour garantir la sécurité et la crédibilité des projets et maintenir un écosystème DeFi sain.
Comment les fraudeurs exploitent-ils les contrats intelligents pour tirer un tapis ?
Un rug pull est un type d'arnaque de sortie qui fonctionne selon un modèle simple : les développeurs créent un protocole DeFi d'apparence légitime, l'exécutent et en font la promotion jusqu'à ce que le projet attire suffisamment de liquidités, puis retirent les fonds et disparaissent.
Eh bien, pas toujours. Parfois, des escrocs accusent les pirates informatiques d'avoir volé des liquidités et restent en activité jusqu'à la prochaine fois.
Pour mettre en œuvre une attaque, les escrocs intègrent un code malveillant dans les contrats intelligents. Ils les modifient pour empêcher les investisseurs de vendre : fixez les frais de vente maximum (100 %), mettez les propriétaires de jetons sur liste noire et verrouillez l'argent des utilisateurs dans un contrat.
Certains contrats intelligents impliquent d'y coder une "porte dérobée" malveillante, ce qui permet aux développeurs de retirer la liquidité.
La plupart du temps, les contrats intelligents modifiés ne sont pas vérifiés par des auditeurs de sécurité et sont cachés aux yeux du public. Étant donné que la plupart des contrats en chaîne sont accessibles au public, un manque de transparence sur GitHub pourrait être un drapeau rouge.
Comment vérifier si un contrat intelligent DeFi est sûr
L'industrie de la blockchain et des contrats intelligents est encore relativement jeune, tout comme le secteur de l'audit des contrats intelligents. De nombreux cabinets se spécialisent dans les audits de sécurité des contrats intelligents, développent leurs outils et façonnent leur savoir-faire.
Les normes et les meilleures pratiques de l'industrie de la sécurité des contrats intelligents évoluent. Malgré cela, certaines méthodes d'audit assez standard sont utilisées par les acteurs de l'industrie de l'audit DeFi.
En règle générale, leurs enquêtes commencent par l'évaluation du contrat intelligent. L'auditeur analyse le livre blanc, la logique métier et les spécifications techniques du protocole DeFi pour estimer les risques potentiels et les fonctionnalités de sécurité.
Ensuite, ils portent leur attention sur le code du contrat intelligent. C'est à ce moment que la révision et l'analyse du code commencent.
Les auditeurs inspectent le code ligne par ligne, à la recherche de vulnérabilités de différents niveaux : les plus critiques pouvant entraîner une fuite de liquidités ; niveau moyen, ce qui pourrait endommager partiellement le contrat intelligent ; et les problèmes de bas niveau, qui affectent le moins la sécurité du contrat.
Ils déploient un certain nombre de techniques d'audit, y compris l'analyse automatisée et manuelle. Ils ont tous deux leur pour et contre.
Un audit de sécurité automatisé consiste à analyser le code avec un logiciel d'analyse automatisé, qui recherche les bogues dans la base de données des vulnérabilités connues et identifie leur emplacement précis dans le code.
L'audit logiciel est généralement effectué avant l'analyse manuelle pour détecter les erreurs que les humains pourraient ignorer. C’est plus rapide et moins long, mais en même temps, il peut ne pas toujours être conscient du contexte et ainsi passer à côté de certaines vulnérabilités.
L'analyse manuelle du code est reine dans l'audit des contrats intelligents et constitue la partie la plus critique d'un audit de sécurité du code intelligent complet et précis. Elle est menée par au moins deux experts distincts qui inspectent le code ligne par ligne.
L'objectif est de vérifier que chaque détail de la spécification du projet est implémenté dans le contrat intelligent et que rien ne viole son comportement initialement prévu.
Les auditeurs examinent le code à la recherche de comportements involontaires et inattendus, de problèmes de sécurité cruciaux et de vulnérabilités telles que la réentrée, les manipulations de données, les prêts flash et autres manipulations qui pourraient être mises en œuvre pendant que le contrat intelligent interagit avec d'autres.
En plus de cela, des audits manuels exécutent des simulations pour évaluer dans quelle mesure le contrat intelligent du projet DeFi répond aux menaces non identifiées et dans quelle mesure il est capable de se défendre contre elles.
Dans la dernière partie de l'analyse manuelle du code, l'auditeur compare la logique du contrat intelligent avec sa description dans le livre blanc du projet.
Une fois que toutes les vulnérabilités ont été identifiées et corrigées, les auditeurs exécutent un processus de double vérification pour s'assurer que le code intelligent fonctionne comme prévu.
Enfin, une fois l'audit de sécurité terminé, les auditeurs préparent un rapport complet. C'est là qu'ils fournissent des commentaires détaillés sur ce qu'ils ont découvert. Généralement, leur rapport contient des recommandations sur la manière dont les faiblesses de code détectées peuvent être corrigées pour atténuer la sécurité du projet.
Qu'est-ce qui garantit qu'un audit de contrat intelligent est professionnel ?
Les contrats intelligents sont une innovation relativement nouvelle. Leurs normes de sécurité évoluent en conséquence. Cela signifie qu’aucune règle d’or ne garantit une sécurité totale des contrats intelligents.
De plus, tous les cabinets d'audit de contrats intelligents ne sont pas identiques et tous les audits ne garantissent pas la sécurité. Les auditeurs peuvent avoir différents niveaux de compétence, différents objectifs et différents coûts.
Sans parler du fait que le marché regorge de développeurs fragmentaires qui forgent des audits tout en bénéficiant du nom d'une entreprise respectable. C’est ce qui est arrivé à Peckshield, une société de sécurité et d’analyse de données blockchain, il y a plus d’un an.
Des situations comme celle-ci sont assez courantes dans l'espace des crypto-monnaies. Ils prennent le nom d'un auditeur légitime et respectable et le mettent dans leur livre blanc, en disant que leur protocole a été audité.
La seule façon d'éviter de tels cas est de vérifier la confirmation sur les canaux d'origine de l'auditeur. S'il n'y en a pas, il y a de fortes chances que le nom de l'auditeur ait été volé.
Vérifiez toujours son portefeuille de clients pour évaluer si l'auditeur est solide et réputé. Recherchez les cas sur Google pour vérifier leurs dossiers d'expérience et vérifiez si l'un des projets audités a subi une attaque ou d'autres attaques.
Pouvez-vous effectuer vous-même un audit de code ?
Avec autant de piratages et de tentatives de piratage dans l’espace cryptographique, il est naïf d’imaginer que les projets DeFi sont sûrs sans les examiner plus en détail. Les audits de contrats intelligents fournissent un niveau de sécurité critique.
Cependant, même les plus professionnels ne garantissent pas qu’un projet DeFi soit absolument exempt de bugs. Les contrats intelligents sont complexes. Ils nécessitent une analyse détaillée et complète, une expertise, des outils et, surtout, plus d’une paire d’yeux.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://dailycoin.com/how-auditors-detect-defi-rug-pull-scam/
- 11
- 2022
- a
- A Propos
- absolument
- en conséquence
- Avec cette connaissance vient le pouvoir de prendre
- Agis
- ajout
- affecter
- Après
- à opposer à
- accords
- Tous
- permet
- toujours
- selon une analyse de l’Université de Princeton
- analytique
- des analyses
- ainsi que le
- attaquer
- Attaques
- précaution
- Attrape
- audit
- vérifié
- audit
- cabinets d'audit
- vérificateurs
- audits
- Automatisation
- disponibles
- before
- derrière
- va
- profiter
- LES MEILLEURS
- les meilleures pratiques
- jusqu'à XNUMX fois
- blockchain
- Blockchain sécurité
- infractions
- Punaise
- bogues
- la performance des entreprises
- ne peut pas
- capable
- cas
- centralisée
- certaines
- chances
- Voies
- vérifier
- Noël
- client
- code
- Examen du code
- Codage
- Commun
- Société
- Complété
- complexe
- complet
- conditions
- Conduire
- Inconvénients
- Conséquences
- contexte
- contrat
- contrats
- Costs
- pourriez
- engendrent
- Crédibilité
- critique
- crucial
- Crypto
- Investisseurs Crypto
- crypto space
- crypto-monnaie
- données
- Analyse de Donnée
- Base de données
- Décentralisé
- Finance décentralisée
- finance décentralisée (DeFi)
- Défendre
- DeFi
- plateformes defi
- projets defi
- PROTOCOLE DEFI
- Sécurité DeFi
- déployer
- la description
- Malgré
- détail
- détaillé
- détecté
- développer
- mobiles
- Dex
- différent
- disparaître
- découvert
- risque numérique
- assez
- assurer
- Assure
- assurer
- entité
- Erreurs
- estimation
- évaluer
- évaluation
- Pourtant, la
- JAMAIS
- évolution
- Sortie
- exit arnaque
- attendu
- d'experience
- nous a permis de concevoir
- de santé
- Exploiter
- Exploités
- exploits
- externe
- œil
- Yeux
- plus rapide
- Fonctionnalités:
- frais
- Réactions
- finale
- finance
- Trouvez
- entreprises
- fixé
- Flash
- prêts flash
- défauts
- De
- plein
- fonds
- objectif
- Objectifs
- Or
- guarantir
- garantit
- les pirates
- hacks
- arriver
- arrivé
- la santé
- caché
- Comment
- HTTPS
- Les êtres humains
- identifié
- identifie
- Mettre en oeuvre
- mis en œuvre
- in
- Y compris
- industrie
- normes de l'industrie
- Innovation
- interagit
- Enquêtes
- Investisseurs
- impliquer
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- lui-même
- King
- connu
- Peindre
- Nouveautés
- lancé
- couche
- conduire
- fuite
- Légal
- Legit
- niveaux
- Gamme
- Liquidité
- Prêts
- emplacement
- recherchez-
- Manuel
- de nombreuses
- Marché
- max
- veux dire
- méthodes
- pourrait
- million
- Réduire les
- modèle
- modifié
- de l'argent
- PLUS
- (en fait, presque toutes)
- prénom
- presque
- Nouveauté
- next
- nombre
- nombreux
- Sur chaîne
- ONE
- open source
- exploite
- original
- initialement
- Autre
- Autres
- propriétaires
- partie
- les parties
- Bouclier
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- joueurs
- portefeuille
- possible
- défaillances
- pratiques
- Préparer
- assez
- empêcher
- processus
- professionels
- Projet
- projets
- promouvoir
- AVANTAGES
- protocole
- fournir
- public
- publiquement
- RÉSERVES
- but
- mettre
- recommandations
- Articles
- Rouge
- relativement
- rapport
- honorable
- exigent
- respectable
- résultat
- Avis
- risques
- Salle
- tirage de tapis
- escroqueries au tirage de tapis
- tapis tire
- Règle
- Courir
- des
- Sécurité
- même
- Arnaque
- Les escrocs
- les escroqueries
- balayage
- secteur
- sécurité
- Audit de sécurité
- Audits de sécurité
- failles de sécurité
- Disponible
- grave
- set
- Forme
- décalage
- devrait
- similaires
- étapes
- depuis
- compétence
- Glissement
- petit
- smart
- contrat intelligent
- Audit de contrat intelligent
- Sécurité des contrats intelligents
- Contrats intelligents
- So
- Logiciels
- solide
- quelques
- Space
- spécialiser
- spécification
- Standard
- Normes
- Commencer
- rester
- Encore
- a volé
- volé
- combustion propre
- Prenez
- Technique
- techniques
- conditions
- conditions
- La
- leur
- Troisièmement
- des tiers
- des menaces
- Avec
- fiable
- long
- à
- jeton
- Tokens
- les outils
- Total
- Transparence
- communication
- typiquement
- Inattendu
- Uniswap
- d'habitude
- vérifié
- vérifier
- Violations
- vital
- vulnérabilités
- Quoi
- que
- qui
- tout en
- Whitepaper
- essuyage
- renoncer
- sans
- an
- Vous n'avez
- jeune
- vous-même
- zéphyrnet
