Hogyan észlelik a könyvvizsgálók a DeFi szőnyeghúzással kapcsolatos átverést: meg tudod csinálni magad?

A hackerek minden eddiginél több kriptovalutát loptak el a decentralizált pénzügyi (DeFi) platformokról 2022-ben. A DeFi zászlóshajóján, a DEX Uniswapon elindított tokenek közel 98%-át szőnyeghúzóként azonosították.

A legújabb, a Defrost Finance, jött a kriptobefektetők karácsonyi rémálmaként, 12 millió dollárt törölve el a pénzükből. 

A DeFi platformokon a legtöbb feltörés a biztonsági rések és a kód kihasználása révén történik. Azok a projektek, amelyek végül szőnyeghúzó csalásokká válnak, komoly biztonsági problémákkal küzdenek, amelyek szándékosan elcsúsztak, vagy esetleg észrevétlenül. A hasonló kockázatok elkerülése érdekében a DeFi biztonsági auditja kritikus fontosságú.

Itt többet megtudunk ezekről az auditokról, lefolytatásuk módjáról, és arról, hogy lehetséges-e önállóan lefuttatni a DeFi auditot. 

A DeFi projektek komplex, önmegvalósító intelligens szerződésekként valósulnak meg, gyakran átláthatóak és nyílt forráskódúak. Ezek jogi megállapodásként működnek két fél között. És mivel egyetlen központosított entitás sem áll mögöttük, még az intelligens szerződések kis hibája is visszafordíthatatlan következményekkel járhat.

Ez azt jelenti, hogy az intelligens szerződésekben nem lehet hely a hibáknak. A DeFi intelligens szerződésbiztonsági auditjai ezt hivatottak biztosítani.

A biztonsági auditok megvizsgálják az intelligens szerződések kódját és azt, hogy az hogyan alapozza meg a szerződési feltételeket. A részletes elemzés a lehetséges biztonsági hibákat, jogsértéseket és rendszerhibákat keresi a kódban, így nem lehet kihasználni. 

A rendszerint harmadik felek által végzett biztonsági auditok létfontosságúak a projektek biztonságának és hitelességének, valamint az egészséges DeFi ökoszisztéma fenntartásához.

A szőnyeghúzás egyfajta kilépési csalás, amely egyszerű modellben működik: a fejlesztők létrehoznak egy legálisnak tűnő DeFi protokollt, futtatják és népszerűsítik, amíg a projekt elegendő likviditást vonz, majd kivonják az alapokat és eltűnnek. 

Hát nem mindig. Alkalmanként a szőnyeghúzó csalók a hackereket hibáztatják a likviditás ellopásáért, és a következő alkalomig üzletben maradnak.

A támadás végrehajtása érdekében a csalók rosszindulatú kódot ágyaznak be az intelligens szerződésekbe. Módosítják őket, hogy megakadályozzák a befektetők eladását: beállítják a maximális (100%) eladási díjat, feketelistára teszik a tokentulajdonosokat, és szerződésbe zárják a felhasználók pénzét.

Egyes intelligens szerződések tartalmazzák a rosszindulatú „hátsó ajtó” kódolását, amely lehetővé teszi a fejlesztők számára a likviditás visszavonását.  

A módosított intelligens szerződéseket legtöbbször nem ellenőrzik a biztonsági ellenőrök, és el vannak rejtve a nyilvánosság elől. Mivel a legtöbb láncon belüli szerződés nyilvánosan elérhető, az átláthatóság hiánya GitHub lehet egy piros zászló. 

A blokklánc és az intelligens szerződések iparága még viszonylag fiatal, és az intelligens szerződések könyvvizsgálati szektora is. Számos cég szakosodott intelligens szerződésbiztonsági auditokra, fejleszti eszközeit és formálja know-how-ját. 

Az intelligens szerződésbiztonsági iparági szabványok és legjobb gyakorlatok fejlődnek. Ennek ellenére a DeFi könyvvizsgálói ágazat szereplői alkalmaznak néhány meglehetősen standard auditálási módszert.

Vizsgálataik jellemzően az intelligens szerződésértékeléssel kezdődnek. Az auditor elemzi a DeFi protokoll ismertetőjét, üzleti logikáját és műszaki specifikációit, hogy megbecsülje a lehetséges kockázatokat és biztonsági jellemzőket.

Aztán figyelmüket az okosszerződés kódjára irányítják. Ekkor kezdődik a kód áttekintése és elemzése. 

Az auditorok soronként ellenőrzik a kódot, keresik a különböző szintű sebezhetőségeket: kritikusokat, amelyek likviditásszivárgáshoz vezethetnek; közepes szintű, ami részben károsíthatja az intelligens szerződést; és alacsony szintű problémák, amelyek a legkevésbé érintik a szerződés biztonságát.

Számos audit technikát alkalmaznak, beleértve az automatizált és manuális elemzést. Mindkettőnek megvannak az előnyei és hátrányai.

Az automatizált biztonsági audit a kód beolvasását jelenti automatizált elemző szoftverrel, amely hibákat keres az ismert sérülékenységek adatbázisában, és azonosítja azok pontos helyét a kódban.

A szoftver alapú auditot általában a manuális elemzés előtt hajtják végre, hogy feltárják azokat a hibákat, amelyeket az emberek figyelmen kívül hagyhatnak. Gyorsabb és kevésbé időigényes, ugyanakkor előfordulhat, hogy nem mindig van tisztában a kontextussal, és így kihagy bizonyos sebezhetőségeket. 

A kézi kódelemzés a király az intelligens szerződés-auditálásban, és az átfogó és pontos intelligens kód biztonsági auditjának legkritikusabb része. Ezt legalább két külön szakértő végzi, akik soronként ellenőrzik a kódot.

A cél annak ellenőrzése, hogy a projekt specifikációjában szereplő minden részlet beépül az intelligens szerződésbe, és semmi sem sérti az eredetileg tervezett viselkedést. 

Az ellenőrök alaposan megvizsgálják a kódot nem szándékos, váratlan viselkedés, kulcsfontosságú biztonsági problémák és sebezhetőségek, például újrabelépés, adatmanipulációk, gyorskölcsönök és egyéb olyan manipulációk, amelyek az intelligens szerződés másokkal való interakciója során valósulhatnak meg.

Ezenkívül a manuális auditok szimulációkat futtatnak, hogy felmérjék, mennyire reagál a DeFi projekt intelligens szerződése az azonosítatlan fenyegetésekre, és mennyire képes védekezni ellenük. 

A kézi kódelemzés utolsó részében az auditor összehasonlítja az intelligens szerződés logikáját a projekt fehér könyvében szereplő leírással. 

Az összes sérülékenység azonosítása és kijavítása után az auditorok kétszeri ellenőrzést hajtanak végre, hogy megbizonyosodjanak arról, hogy az intelligens kód a várt módon fut.

Végül a biztonsági audit befejezése után az auditorok átfogó jelentést készítenek. Itt adnak részletes visszajelzést arról, amit felfedeztek. Jellemzően a jelentésük ajánlásokat tartalmaz arra vonatkozóan, hogy az észlelt kódhiányokat hogyan lehet javítani a projekt biztonságának csökkentése érdekében. 

Az intelligens szerződések viszonylag új innovációt jelentenek. Biztonsági szabványaik ennek megfelelően fejlődnek. Ez azt jelenti, hogy egyetlen aranyszabály sem garantálja az intelligens szerződések teljes biztonságát.

Ráadásul nem minden intelligens szerződés könyvvizsgáló cég egyforma, és nem minden audit garantálja a biztonságot. Az auditorok különböző képzettségi szintekkel, eltérő célokkal és költségekkel rendelkezhetnek.

Arról nem is beszélve, hogy a piac tele van vázlatos fejlesztőkkel, akik auditokat hamisítanak, és még mindig hasznot húznak egy tekintélyes cég nevéből. Ez történt több mint egy éve a Peckshielddel, egy blokklánc-biztonsági és adatelemző céggel.

Az ehhez hasonló helyzetek meglehetősen gyakoriak a kriptovaluta terén. Felveszik egy törvényes és tekintélyes auditor nevét, és beleírják a fehér könyvükbe, mondván, hogy a protokolljukat auditálták.

Az ilyen esetek elkerülésének egyetlen módja az, hogy ellenőrizzük a visszaigazolást a könyvvizsgáló eredeti csatornáin. Ha nincs ilyen, akkor valószínű, hogy ellopták a könyvvizsgáló nevét. 

Mindig ellenőrizze ügyfélportfólióját, hogy értékelje, hogy a könyvvizsgáló megbízható és jó hírű-e. A Google-lal ellenőrizze az eseteket, hogy ellenőrizze a tapasztalatokat, és ellenőrizze, hogy az ellenőrzött projektek közül valamelyik nem szenvedett-e szőnyegrángatást vagy egyéb támadást.

A kriptográfiai térben oly sok feltörés és szőnyeghúzás miatt naivitás azt képzelni, hogy a DeFi projektek biztonságosak anélkül, hogy részletesebben megvizsgálnánk őket. Az intelligens szerződés-audit a biztonság kritikus szintjét nyújtja. 

Azonban még a legprofibbak sem garantálják, hogy egy DeFi projekt teljesen hibamentes. Az intelligens szerződések összetettek. Részletes és átfogó elemzést, szakértelmet, eszközöket, és ami a legfontosabb, több szempárt igényelnek.