Rövid ismertető az Ethereum Smart Contract Audit-ról

Olvasási idő: 6 jegyzőkönyv

A "okos szerződés” egy olyan utasításkészlet, amely az Ethereum Blockchain-en fut. Az auditáláshoz az ethereum intelligens szerződés azt jelenti, hogy meg kell védeni a potenciális fenyegetésektől és a gyakori sebezhetőségektől. 

Míg a jelenlegi forgatókönyv szerint az intelligens szerződésekkel kapcsolatos feltörések és kizsákmányolások minden idők csúcsán vannak, ez egy vihar, amiért dicsérni kell, mert előrelépéseket és fejlesztéseket eredményez DeFi platformok, ami biztonságosabbá teszi őket. 

Amikor az intelligens szerződések biztonságáról beszélünk, nem engedhetjük el a „az intelligens szerződés-audit fontossága.” Az intelligens szerződés-audit az intelligens szerződéskódok keresztellenőrzésének folyamata különböző paraméterek alapján. A következő szakaszokban pedig elemezzük az intelligens szerződések auditálásának fontosságát, az intelligens szerződések auditálásának többféle megközelítését, valamint az Ethereum intelligens szerződések auditálásának lépéseit. 

Az intelligens szerződés-ellenőrzés jelentősége

Ahhoz, hogy jobban megértsük, miért van szüksége bármely érdekelt félnek az intelligens szerződés-auditálásra, át kell tekintenünk a közelmúltba, és meg kell néznünk a különféle DeFi platformokon elszenvedett jelentős veszteségeket. 

• Poly hálózat : 600 millió dollár veszteség
• Lendf.me – 25 millió dollár veszteség;
• Szintetikus – 37 millió sETH veszteség; 
• BZX – 645 000 dollár veszteség. 

Ez csak néhány friss feltörés. Egy új jelentés szerint -

„75-ben a kriptográfiai hackek több mint 2021%-át a DeFi tette ki. Ez 361 millió dollárt tesz ki, ami 2.7-szer több, mint 2020-ban.” 

CipherTrace

Ezek a hatalmas számok ijesztőek, de ezek a támadások könnyen mérsékelhetők lettek volna, ha ezek a DeFi platformok megelőző intézkedéseket tettek volna. Bár a támadások egy része súlyos lehet, legtöbbjük könnyen elkerülhető lett volna. 

Az egyik legjobb módja annak, hogy DeFi platformját biztonságban tartsa a potenciális jövőbeli fenyegetésekkel szemben, ha megismerkedjen az összes múltbeli támadással. Ehhez az egyik legjobb erőforrás az SWC-nyilvántartás, amely felsorolja az összes intelligens szerződéses sebezhetőséget, és példákat mutat be ezek kezelésére. 

Forrás: SWC iktató hivatal 

Melyek tehát az intelligens szerződés-auditálás arany lépései, amelyek követése révén milliókat takaríthatnak meg a különböző DeFi platformok? 

Az intelligens szerződés-ellenőrzés egyetemes megközelítései 

Két széles körben alkalmazott módszer létezik az intelligens szerződések auditálására:

• Kézi kódelemzés
• Automatikus kódelemzés

Kézi kódelemzés

Ez a kód soronkénti vizsgálata a lehetséges sebezhetőségek azonosítása érdekében. Ez egy összetett folyamat, amely készségeket, tapasztalatot, kitartást és türelmet igényel. A DeFi projekt biztonságának javítása érdekében a Kézi kódelemzés elvégzése alapvetően a legjobb módja annak, hogy azonosítsa azokat a sebezhetőségeket, amelyeket az automatikus kódelemzés hagyhat maga után. 

Leggyakrabban nagyon gyakori kérdéssel találkozunk – „Hány emberből kell állnia a kódellenőrző csapatnak?”. Nál nél QuillAudits, a projekt biztonságát helyezzük előtérbe; ezért van egy tapasztalt és képzett auditorokból álló ellenőrző csapatunk, hogy megvizsgálja az intelligens szerződés kódjának dinamikáját.

Bár a kézi kódelemzésnek vannak bizonyos korlátai, mint például a puffer túlcsordulás (különösen az „off-by-one” hibák), a halott kód és néhány egyéb hiba, amelyeket néha figyelmen kívül hagyhat az emberi felülvizsgáló, ezek jobban megfelelnek az automatizáltnak. elemzést, hogy megtalálja őket. 

Automatikus kódelemzés 

Az automatikus kódelemzés időt és pénzt takarít meg, mivel különféle behatolási teszteket használ a sebezhetőségek feltárására. Mi at QuillAudits különféle házon belüli nyílt forráskódú eszközöket használhat a biztonsági auditok eredményének maximalizálása érdekében. A házon belüli auditoraink által használt kategóriájában legjobb eszközök közül néhány:

• MythX – Intelligens szerződésbiztonsági szolgáltatás, amely statikus elemzés, dinamikus elemzés és szimbolikus végrehajtás alapján vizsgálja projektjét. A MythX használatához API-kulcs szükséges mythx.io.
• Mythrill – Biztonsági elemző eszköz az Ethereum intelligens szerződésekhez. Számos biztonsági problémát vizsgál – egész számok alulcsordulása, tulajdonos általi felülírás az Ether-re való visszavonás és mások. 
• Csúszik – Python 3-ban írt statikus elemzési keretrendszer, amely azonosítja a sebezhetőségeket, vizuális információkat nyomtat a szerződés részleteiről, valamint API-t biztosít az egyéni elemzés rugalmas megírásához. 
• echidna – Egy furcsa lény, aki bogarakat eszik! Egy Haskell program, amelyet az Ethereum intelligens szerződések fuzzing/tulajdon alapú tesztelésére fejlesztettek ki. 
• Hallgató – Az Ethereum kód elemzése a sebezhetőségek megtalálása érdekében. 

Ez csak egy tömör lista azokról az eszközökről, amelyeket házon belüli ellenőri csapatunk használt az automatikus kódelemzés elvégzésére. De mik azok az arany lépések az intelligens szerződés-audit végrehajtásához? 

Az Ethereum intelligens szerződés auditálásának lépései 

Noha egynél több oka lehet az intelligens szerződés-audit elvégzésének, az elsődleges motívum a Defi platform biztonságossá tétele. Mi at QuillAudits átfogó módszertant követni az intelligens szerződés-audit elvégzéséhez.

#1: Kódtervezési minták gyűjtése 

Ez az egyik legfontosabb lépés az intelligens szerződés-audit végrehajtásában. Az auditokat végző vállalat számára fontos, hogy világosan ismerje az intelligens szerződéses platform kódját és működési specifikációit. 

#2: Egységteszt 

Intelligens szerződéses egység tesztelést végzünk különféle kódlefedési eszközök segítségével. Egységteszt-eseteket is megvalósítunk annak ellenőrzésére, hogy az egyes funkciók koherensek-e az átfogó intelligens szerződéskóddal. 

#3: Kézi elemzés

Néha az automatizált elemzés hamis pozitív jelentéseket eredményezhet; ezért soronkénti manuális kutatások elvégzése válik szükségessé az olyan lehetséges sebezhetőségek megtalálásához, mint a versenyfeltételek, a tranzakció-megrendelés-függőség, az időbélyeg-függő külső hívások és a szolgáltatásmegtagadási támadások. 

#4: Kezdeti jelentés 

Ezután bemutatunk Önnek egy kezdeti jelentést az összes olyan hibával és hibával, amelyet csapatának ki kell javítania. 

#5: A kód javítva

Javítsa ki az előzetes elemzés során feltárt összes hibát, majd küldje el az auditoroknak végső felülvizsgálatra. 

#6: Statikus elemzés és formális ellenőrzés

Házon belüli, nyílt forráskódú automatizált eszközeink segítségével kódellenőrzést végzünk az intelligens szerződésben található kiskapuk és rosszindulatú kódok észlelésére. 

#7: Végső ellenőrzési jelentés 

A végső ellenőrzési jelentést bemutatják az ügyfélnek, és közzéteszik a GitHubon, hogy bárki elolvashassa.  

Ez az az átfogó stratégia, amelyet képzett auditorainkból álló házon belüli csapatunk követ, bár látható, hogy az intelligens szerződését kétszer is auditálják ugyanazon az áron. 

Bár egy DeFi projekt egyszeri auditálása nem garantálja a biztonságát, azt javasoljuk, hogy legalább kétszer (vagy háromszor) auditálja. A múltban voltak olyan incidensek, mint például a „Popsicle Finance” feltörése $ 20M. Kétszer auditálták, de egy gyakori sebezhetőség miatt kihasználták is. 

Ezért az ehhez hasonló események egyértelműen körvonalazzák a az intelligens szerződés-auditálás fontossága - "minél több, annál jobb!".

Utószó

Nos, ha eddig velünk volt, ismeri az ethereum intelligens szerződések auditálását. 

Míg a DeFi-hackek és kizsákmányolások növekvő száma riaszthatja Önt, egy megbízható cégtől, mint pl. QuillAudits dollármilliókat takarít meg. 

1,624 Nézetek

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://blog.quillhash.com/2023/02/08/how-properly-auditing-an-ethereum-smart-contract-can-save-you-millions/