Az Ethereum ökoszisztémában az intelligens szerződések csaknem fele nem auditált, ami egyre több feltöréshez vezet.
Az intelligens szerződés-audit általában az utolsó lépés az intelligens szerződés vagy a DeFi alkalmazás útján, és gyakran kimarad. Figyelembe véve az intelligens szerződések előtérbe helyezését a DeFi világában vagy bármely Blockchain alkalmazásban, az intelligens szerződések auditálása az alkalmazás kulcsfontosságú része.
Legyen szó a pénzügyi forradalomról, az eszközök tokenizálásáról vagy bármely felhasználási eset megvalósításáról a Blockchain platformon, az intelligens szerződések elengedhetetlenek. Lényegében az intelligens szerződések csak néhány sornyi kód, amelyeket egy feltétel végrehajtására használnak. Például, ha egy DeFi-alkalmazásból, például az Aave-től és a Compoundtól vesz fel kölcsönt bizonyos fedezet biztosításával és meghatározott kamatok fizetésével, az összes feltételt egy sor intelligens szerződés határozza meg.
Ebben a forgatókönyvben több intelligens szerződés is részt vesz a pénzügyi interakciók digitális ökoszisztémájának létrehozásában. Itt észre kell venni, hogy ezek a több intelligens szerződés kölcsönösen függenek egymástól. Egy kis hiba bármely intelligens szerződés kódsorában drasztikus eredményekhez vezethet.
Általános tévhit, hogy egy intelligens szerződés-audit ésszerűtlenül sok időt vesz igénybe. Ez egy általános nézet, míg a valóságban az intelligens szerződés-audithoz szükséges idő a használati eset összetettségétől és számos egyéb tényezőtől függ. Az ellenőrzési idővel kapcsolatos ismeretek hiánya az egyik kiemelkedő oka annak, hogy sok intelligens szerződés auditálatlan marad.
Mennyi ideig tart az intelligens szerződések auditálása
Az alábbiakban felsorolunk néhány lehetőséget az intelligens szerződés-audit időre vonatkoztatva:
1. Az audit során leggyakrabban figyelembe veendő tényező a projekt mérete. A projekt összetettsége is számít, de a projekt mérete az elsődleges jellemzővé válik az audit időtartamának meghatározásában.
Általánosságban elmondható, hogy egy egyszerű intelligens szerződés, mint például az ERC20 tokenek token szerződése, néhány napig tarthat, ami azt jelenti, hogy az ilyen szerződések ellenőrzési ideje 24 és 48 óra között lehet. Ez ismét a projekt összetettségétől függ. Abban az esetben, ha egy ERC20-at egy Dapp-on belül használnak, az audit csaknem egy teljes hónapot vehet igénybe.
A szerződések másik típusa a jelképes adásvételi szerződés. Ezek fejlett ERC20 szerződésekként definiálhatók meghatározott tokenomiával és speciális szolgáltatásokkal. Az ilyen szerződések részét képezhetik az olyan funkciók, mint a tét és a csere. Az ilyen szerződések teljes auditálása egy-két hetet vehet igénybe, szemben az ERC20 alapszerződésének néhány napjával.
2. Mint fentebb említettük, az ellenőrzések ideje a projekt összetettségétől is függ. Például, ha egy decentralizált tőzsdét vagy egy decentralizált pénzpiacot, például az Aave-t épít, az audithoz szakértő auditorra és kiterjedt idővonalra van szükség, hogy ne legyenek hátsó ajtók. Ilyen esetben még az orákulumokat is auditálni kell az automatizált árjegyzőkkel és az ökoszisztéma egyéb részeivel együtt.
Egyes esetekben a protokoll vagy az intelligens szerződések külső tényezőktől való függése hatalmas sebezhetőségnek teszi ki azt, amely elképzelhetetlen veszteségekhez vezethet.
Ezért az ilyen típusú kérelmek ellenőrzést igényelnek, amely legfeljebb 1 hónapig tart.
Más projektek, amelyek ebbe a kategóriába tartoznak, többek között a hitelezés, a hitelfelvétel, az insurtech és a származékos termékek.
3. Az ellenőrzések típusai is fontos szerepet játszanak a szükséges idő meghatározásában. Ha az intelligens szerződése a legjobb fejlesztési irányelvekkel van kódolva, és Ön biztos a sértetlenségében, az időközi auditot kell választania.
Az időközi ellenőrzés során egy szakértőt rendelnek a projekthez, hogy áttekintse a struktúrát és elemezze a lehetséges sebezhetőségeket. Az időközi audit segít annak biztosításában, hogy a projekt a megfelelő irányba haladjon, és a lehető legkorábban azonosítsák az esetleges sebezhetőséget, amely egy későbbi szakaszban megváltoztathatja az alkalmazás teljes szerkezetét. Ez az ellenőrzés általában egy napot vesz igénybe.
A következő egy teljes biztonsági audit. Míg az intelligens szerződés fejlesztése közben egy időközi audit is elvégezhető, a teljes biztonsági audit az alkalmazás befejezése után lép működésbe. Általában ez az utolsó lépés, amelyre van szükség ahhoz, hogy az alkalmazást telepíteni lehessen a fő hálózaton. Ha egy alkalmazást teljes biztonsági ellenőrzés nélkül telepítenek, nagy az esélye a hálózati hibáknak és sebezhetőségeknek. A teljes biztonsági audit időtartama a projekt összetettségétől függ, az 1. pontban leírtak szerint.
Az intelligens szerződés-audit elvégzésének folyamata lehet manuális vagy automatikus. Az automatikus audit magában foglalja az intelligens szerződés kódjának tesztelését különböző előre meghatározott funkciókkal és tesztelőeszközökkel. Ez biztosítja az intelligens szerződés általános sebezhetőségi értékelését. Ez a fajta audit azonban nem terjed ki a kód és más sérülékenységek, például a hátsó ajtók mélyreható elemzésére. Ehhez manuális auditot kell végezni. A kézi ellenőrzések során egy szakértői csapat meghatároz néhány egyedi tesztesetet, és megvizsgálja a kód különböző aspektusait.
Az automatikus audit az erc20/bep20 szerződések esetében akár egy napot is igénybe vehet, míg a kézi ellenőrzések általában 3-5 napig tartanak az erc20/bep20 szerződéseknél, míg az összetett protokollok esetében az ellenőrzés ideje a kódtól függ. Ha egyedi ellenőrzést szeretne kapni arról, hogy mennyi ideig tart az Ön protokolljának auditálása, és milyen típusú audit a legjobb, forduljon a QuillAudits szakértőihez, és kérjen ingyenes konzultációt.
A különböző típusú intelligens szerződésekhez és DeFi-alkalmazásokhoz szükséges időt tekintve sokan úgy lépnek piacra innovatív termékeikkel, hogy nem kapnak auditot. Ennek fő oka az a lelkesedés vagy a FOMO, hogy valaki más hasonló projektet vezet be a piacon. Egy másik ok olyan többletköltség lehet, amelyet egy személy esetleg nem akar viselni.
Azonban nem lehet eléggé hangsúlyozni az intelligens szerződés-audit megszerzésének fontosságát. Az intelligens szerződés-ellenőrzésre fordított plusz idő és pénz milliókat takaríthat meg a felhasználók számára.
Az intelligens szerződés-audit szükségességének jobb áttekintése érdekében az alábbiakban felsoroljuk a DeFi leggyakrabban előforduló feltöréseit, amelyek egy egyszerű hiba miatt történtek, hogy nem kaptak auditot.
A legnépszerűbb DeFi hackek
- A DAO Hack
A DAO egy decentralizált autonóm szervezet, amely bármely alkalmazás irányítási modelljének meghatározásának új standardjává válik. Lényegében a DAO intelligens szerződéseken keresztül hozza meg az alkalmazásra vonatkozó döntéseket. Ezért az intelligens szerződések döntő szerepet játszanak egy ilyen környezetben.
Az egyik ilyen esetben, amikor a DAO volt felelős az Ethereum folyamat finanszírozási folyamatának demokratizálásáért, egy hacker kihasználta az intelligens szerződés tartalék funkciójának sebezhetőségét. Reentrancy támadás segítségével 3.6 milliót lopott el a protokollból.
- A paritási támadás
A Parity bevezette a többszörös aláírás fogalmát az éterek átvitelének hitelesítésére. Ezt a folyamatot számos intelligens szerződésen keresztül alkalmazta, amelyek egynél több digitális aláírást igényeltek az éteri átvitel hitelesítéséhez.
Mivel nem ellenőrizték megfelelően, egy hacker képes volt kihasználni az intelligens szerződés delegatecall és backback funkcióját, és akár 30 millió dollárt is ellopott éterben.
Következtetés
A fent említett hackek csak a jéghegy csúcsát jelentik. Számtalan hack történt a DeFi ökoszisztémában. A DeFi növekedésével ezek a hackek is exponenciálisan növekednek. Ennek a növekedésnek az egyik fő oka a nem auditált intelligens szerződések vagy a rosszul auditált intelligens szerződések.
Az intelligens szerződés auditálása nem garantálja annak biztonságát, de az számít, hogy egy tapasztalt és iparágilag elismert csapat auditálja, mint a Quilauditsnál.
Még ha időbe és pénzbe is tart, az intelligens szerződések tapasztalt csapat általi auditálása segíthet egy fenntartható projekt felépítésében, és elérheti sikerének tetőpontját.
Forduljon QuillHashhoz
Évek óta jelen lévő iparágban, QuillHash vállalati megoldásokat szállított szerte a világon. A QuillHash egy szakértői csapattal egy vezető blokklánc-fejlesztő cég, amely különféle iparági megoldásokat kínál, beleértve a DeFi vállalati megoldásokat is. Ha segítségre van szüksége az intelligens szerződések auditjához, forduljon bizalommal szakértőinkhoz. itt!
További frissítésekért kövesse a QuillHash-t
- További
- Minden termék
- között
- elemzés
- Alkalmazás
- alkalmazások
- Eszközök
- könyvvizsgálat
- autonóm
- Hátsóajtó
- BEST
- blockchain
- hitelfelvételi
- Bogár
- bogarak
- épít
- Épület
- esetek
- változik
- kód
- Közös
- vállalat
- Összetett
- szerződés
- szerződések
- kiadások
- Pár
- létrehozása
- DAO
- DAPP
- nap
- decentralizált
- Decentralizált csere
- Defi
- Származékok
- Fejlesztés
- digitális
- dollár
- Korai
- Vállalkozás
- Környezet
- ERC20
- Éter
- Ethereum
- Ethereum ökoszisztéma
- csere
- szakértők
- Exploit
- Jellemzők
- pénzügyi
- FOMO
- Ingyenes
- Tele
- funkció
- finanszírozás
- általános
- kormányzás
- Növekvő
- Növekedés
- irányelvek
- hacker
- hack
- itt
- Magas
- Hogyan
- HTTPS
- hatalmas
- Beleértve
- Növelje
- ipar
- kamat
- részt
- IT
- tudás
- vezet
- vezető
- hitelezési
- vonal
- Hosszú
- fontos
- piacára
- számít
- millió
- modell
- pénz
- háló
- Más
- Emberek (People)
- perspektíva
- emelvény
- Termékek
- program
- projektek
- Valóság
- miatt
- Eredmények
- eladás
- biztonság
- Series of
- Szolgáltatások
- Egyszerű
- Méret
- kicsi
- okos
- okos szerződés
- Intelligens szerződések
- Megoldások
- Színpad
- kockára
- stóla
- siker
- fenntartható
- teszt
- Tesztelés
- idő
- jelképes
- tokenizálás
- tokenek
- felső
- Felhasználók
- Megnézem
- sérülékenységek
- sebezhetőség
- világ
- év
