Waktu Baca: 6 menit
Solana mengklaim sebagai jaringan blockchain yang tumbuh paling cepat karena skalabilitasnya yang lebih tinggi. Dioperasikan pada konsensus bukti-sejarah adalah semua alasan untuk skalabilitas yang lebih besar dalam memproses hingga 710,000 transaksi per detik.
Terlepas dari popularitas Solana yang luar biasa, keamanan kontrak pintarnya tidak diuji secara menyeluruh. Dan pengujian sama pentingnya dalam memberikan nilai merek seperti yang dijanjikan kepada mitra dan mendorong keandalan investor pada proyek Anda.
Dalam artikel ini, kami akan menghilangkan kemungkinan cacat pengkodean Solana dan bagaimana audit membantu mengidentifikasi dan memperbaikinya.
Berbagai Skenario Peretasan Di Solana Blockchain Dijelaskan
Hack lubang cacing
Wormhole, jembatan blockchain yang memfasilitasi pertukaran tokenized antara blockchain yang berbeda, bergabung dengan serangkaian proyek crypto yang diretas. Total kerugian dana sekitar $320 juta- salah satu peristiwa pencucian uang utama di bidang kripto.
Sejarah peretasan
Seperti yang kita ketahui, Wormhole memungkinkan transfer aset antar blockchain yang berbeda. Tapi, pertanyaannya adalah, bagaimana hal itu dilakukan?
Token yang dibuat di setiap rantai, yaitu Ethereum atau Solana, dikelola oleh kontrak pintar. Dan untuk mentransfer token, transaksi disetujui oleh Wali yang memeriksa apakah token yang dicetak dibuat dengan benar dengan memverifikasi tanda tangan mereka.
Dalam insiden Wormhole, verifikasi _tanda tangan fungsi dieksploitasi dengan mana peretas membuat instruksi dengan data palsu untuk memvalidasi transaksi mereka.
Melalui ini, peretas membuat tanda tangan_set berisi cukup banyak tanda tangan yang diperlukan untuk Validator Action Approval (VAA). Dengan demikian, peretas memperoleh akses untuk memulai pencetakan yang tidak sah.
Dengan ini, peretas dapat mendapatkan 120,000 Ethereum yang dibungkus senilai $ 320 juta, menjarahnya.
Peretasan Crema Finance
Crema Finance, protokol likuiditas dalam daftar proyek blockchain Solana, mengalami peretasan kehilangan $8.78 juta.
Sejarah Peretasan
Peretas menggunakan kontrak cerdas untuk mengambil pinjaman kilat di Solana dan menambah likuiditas di Crema. Data harga kemudian dimanipulasi, memungkinkan para peretas untuk membuatnya tampak seperti mereka memiliki jumlah biaya yang sangat besar- semua dengan data palsu.
Tim Crema melacak aliran dana yang berhasil ditukar oleh peretas dari Solana ke Ethereum. Tim segera memperingatkan peretas untuk mengembalikan dana yang dicuri dengan menerima hadiah.
Dan segera setelah itu, peretas mengembalikan dana yang menahan $1.6 juta sebagai hadiah topi putih.
Peretasan Cashio
Cashio (CASH), stablecoin asli Solana yang didukung algoritme, kehilangan $ 52.8 juta karena kesalahan mint yang tak terbatas. Setelah ini, nilai koin berubah dari $1 menjadi $0.00005, menghancurkan ekosistem DeFi.
Sejarah Peretasan
Memanfaatkan basis kode Cashio, peretas pertama kali mencetak dua miliar token CASH. Apa yang salah dengan kodenya?
The Infinite Mint Glitchโ Kesalahan dalam protokol ini memberi pengguna akses untuk mencetak sejumlah token tanpa menempatkan jaminan apa pun. Pengguna kemudian dapat menjual token yang dicetak ini di bursa, yang membuat harga koin jatuh.
Dalam eksploitasi Cashio, peretas membakar dua juta token CASH untuk token LP Saber USDT-USDC. Token Pasangan Likuiditas kemudian ditukar dengan token USDC dan USDT yang mengakibatkan pengurasan $52.8 juta.
Bagaimana Cara Melindungi Proyek Dari Peretasan Dan Pencurian?
Meskipun keamanan selalu dalam proses, teknik yang dicoba dan diuji yang diadopsi oleh pengembang dan auditor dapat mengurangi peretas dari melakukan serangan dengan mudah.
Langkah-langkah keamanan telah terbukti efektif dalam menghilangkan serangan tata kelola, manipulasi harga oracle, kesalahan Reentrancy, dll. Jadi, sekarang mari kita temukan langkah-langkah keamanan yang mencegah penyerang mengeksploitasi kontrak dan pencucian uang.
Pengkodean kontrak yang cerdas: Tulis kontrak menggunakan praktik pengkodean yang aman, yang mencakup penggunaan pustaka yang diuji, bahasa pemrograman yang direkomendasikan, penerapan keamanan khusus pada dompet, pendefinisian fungsi dengan jelas, dan sebagainya.
Tindakan daftar periksa keamanan blockchain: Banyak sumber daya yang diteliti dengan baik tersedia yang dapat diperiksa untuk memastikan perlindungan dari peretasan.
Penggunaan alat audit keamanan: Pemindai keamanan sumber terbuka tersedia untuk melakukan pemeriksaan kerentanan otomatis pada kontrak dan mengidentifikasi potensi kelemahan dalam kontrak.
Namun, ini mungkin tidak efektif dalam menemukan kesalahan, tetapi membantu untuk pemeriksaan dasar. Berbagai jenis alat audit membantu mengidentifikasi bug di blockchain dan kontrak pintar seperti MythX, Echidna, Manticore, Oyente, SmartCheck, dll.
Melakukan layanan Pentesting dan auditing: Last but not least, mengaudit kontrak pintar tidak pernah bisa diremehkan. Celah menit membantu peretas menemukan cara untuk mengganggu dan merusak kontrak.
Audit keamanan dan pentesting berkala menganalisis proyek secara menyeluruh dan menghilangkan kemungkinan sekecil apa pun bagi peretas. Setelah mengetahui bahwa layanan audit dan pentesting memiliki signifikansi yang lebih besar dalam menawarkan keamanan, mari kita pahami secara bertahap bagaimana hal itu dilakukan.
Peran Audit Dalam Mengamankan Kontrak Cerdas
Audit melibatkan serangkaian langkah dari pengujian otomatis hingga tinjauan manual, yang secara luas mencakup semua aspek pengkodean dan memeriksa setiap titik lemah yang ada dalam kode. Beberapa spesifikasi yang tercakup dalam proses audit Solana meliputi;
- Pemeriksaan fungsi
- Pembekuan kontrak
- Manipulasi pasokan token
- Manipulasi saldo pengguna
- Mekanisme tombol pemutus
- Uji coba operasi & pembuatan acara, dan sebagainya
Langkah-Langkah yang Diikuti oleh QuillAudits untuk Mengaudit Kontrak Cerdas Solana
Audit kontrak pintar Solana dilakukan dengan sangat teliti, dan laporan audit yang elaboratif dilengkapi dengan semua analisis dari audit. Alur kerja langkah demi langkah diberikan di bawah ini.
Langkah 1- Mengumpulkan Detail
Ide dan tujuan proyek dikumpulkan dan dipelajari dari klien untuk memahami dan mendapatkan pengetahuan lengkap tentang kode dan fungsinya. Setelah diskusi selesai, auditor membekukan kode untuk pindah ke langkah berikutnya dari proses audit.
Langkah 2- Pengujian manual
Auditor internal kami yang berpengalaman memeriksa seluk-beluk dan masalah kerentanan dalam kode. Ini termasuk mencari kesalahan matematika, masalah logis, dll.
Langkah 3- Pengujian fungsionalitas
Proses ini terdiri dari pengujian kontrak dalam kondisi yang berbeda dan verifikasi data yang diambil oleh kontrak pintar Solana. Kontrak cerdas diuji untuk memastikan tindakan yang dimaksudkan dilakukan dengan benar.
Langkah 4- Menguji vektor serangan terbaru
Serangan baru-baru ini dipelajari, dan tes dilakukan pada kontrak pintar untuk memastikan mereka menawarkan perlawanan penuh terhadap serangan. Ini termasuk memeriksa serangan seperti manipulasi pasar, harga LP, vektor yang berjalan di depan, dll.
Langkah 5- Pengujian alat otomatis
Alat seperti Soteria, kargo-Clippy, audit kargo, dan alat khusus untuk audit kontrak pintar Solana diimplementasikan untuk mencari kesalahan. Kami juga menerapkan teknik seperti kabur untuk memastikan bahwa kami dapat mengartikulasikan vektor serangan dunia nyata sebanyak mungkin.
Langkah 6- Laporan audit awal
Laporan audit awal menyajikan bug dalam kontrak, dan kemudian kami mengirimkannya ke tim pengembang untuk menyelesaikannya.
Langkah 7- Laporan audit akhir
Laporan diuji untuk koreksi yang dibuat oleh tim pengembangan, dan kemudian laporan audit akhir diserahkan.
Pikiran Akhir,
Penekanan pada kebutuhan untuk Layanan audit kontrak pintar Solana untuk mengatasi kemungkinan cacat dan kesalahan teknis untuk melindungi mereka dari peretas dijelaskan dari sini.
Dan belum lagi, QuillAudit memiliki keahlian yang dipersenjatai dengan alat dan teknik canggih untuk melakukan layanan audit dan memberikan hasil yang terjamin. Anda tidak perlu mencari di tempat lain karena kami hanya dengan sekali klik.
Pertanyaan Umum (FAQ)
Apa bahasa pengkodean kontrak pintar Solana?
Kontrak pintar Solana ditulis menggunakan bahasa pemrograman Rust dengan program yang berisi mekanisme khusus Solana.
Apakah Solana lebih cepat dari Ethereum?
Tentu Ya, Solana dapat memproses hingga 70,000 transaksi per detik dan Ethereum hanya 30 transaksi. Juga, waktu blok Solana adalah satu detik sedangkan Ethereum adalah 15 detik.
Apa tantangan utama yang dihadapi oleh kontrak pintar Solana?
Masalah umum yang dihadapi oleh kontrak pintar Solana termasuk dependensi yang sudah ketinggalan zaman, kode yang berlebihan/berulang, memori yang tidak diinisialisasi dalam kode karat, dll.
Bagaimana Anda mengaudit kontrak pintar Solana?
QuillAudits melakukan pemeriksaan mendalam terhadap komponen kontrak pintar dan perpustakaan yang diimpor selain dari pengkodean karat. Kami melakukan tinjauan kode manual dan melakukan pemindaian menyeluruh untuk memverifikasi input program melalui Fuzzing.
Apa pentingnya audit kontrak pintar?
Blockchain menarik perhatian miliaran, termasuk peretas. Singkatnya, audit sangat penting untuk mencegah potensi kerentanan dan memastikan kredibilitas proyek.
156 views
- Bitcoin
- blockchain
- Blockchain dan keamanan kontrak pintar
- kepatuhan blockchain
- konferensi blockchain
- coinbase
- kecerdasan
- Konsensus
- konferensi crypto
- pertambangan kripto
- cryptocurrency
- Terdesentralisasi
- Defi
- Aset-Aset Digital
- ethereum
- Mesin belajar
- token yang tidak dapat dipertukarkan
- plato
- plato ai
- Kecerdasan Data Plato
- Platoblockchain
- Data Plato
- permainan plato
- Poligon
- bukti kepemilikan
- Quillhash
- Audit Kontrak Cerdas
- Keamanan Kontrak Cerdas
- W3
- zephyrnet.dll
