Come eseguire l'audit dei contratti intelligenti Solana contrariamente agli hack in aumento

Tempo per leggere: 6 verbale

Solana afferma di essere la rete blockchain in più rapida crescita grazie alla sua maggiore scalabilità. Operato sul consenso proof-of-history è tutto il motivo della sua maggiore scalabilità nell'elaborazione fino a 710,000 transazioni al secondo. 

Nonostante l'enorme popolarità di Solana, la sicurezza dei suoi contratti intelligenti non è stata testata a fondo. E i test sono fondamentali per fornire il valore del marchio come promesso ai partner e promuovere l'affidabilità dell'investitore sul tuo progetto. 

In questo articolo, analizzeremo i possibili difetti di codifica di Solana e come l'auditing aiuta a identificarli e correggerli.

Spiegazione di diversi scenari di hack sulla blockchain di Solana

Hack del wormhole 

Wormhole, un ponte blockchain che facilita gli scambi tokenizzati tra diverse blockchain, si unisce alla serie di progetti crittografici hackerati. La perdita totale di fondi è di circa $ 320 milioni, uno dei principali eventi di riciclaggio di denaro nel campo delle criptovalute.

Storia dell'hacking

Come sappiamo, Wormhole consente il trasferimento di asset tra diverse blockchain. Ma la domanda è: come si fa?

Il token creato su ogni catena, ovvero Ethereum o Solana, è gestito dagli smart contract. E per trasferire i token, le transazioni vengono approvate dai Guardiani che controllano se i token coniati sono generati correttamente verificando le loro firme.

Nell'incidente di Wormhole, il verifica _firma viene sfruttata la funzione con la quale l'hacker ha creato un'istruzione con dati falsi per convalidare le proprie transazioni. 

Attraverso questo, l'hacker ha creato un set_firma contenente un numero sufficiente di firme richieste per l'approvazione dell'azione di convalida (VAA). In tal modo, l'hacker ha ottenuto l'accesso per avviare la zecca non autorizzata. 

In questo modo, l'hacker è stato in grado di mettere le mani su 120,000 Ethereum incartati per un valore di $ 320 milioni, depredandoli.   

Crema Finanza Hack 

Crema Finance, il protocollo di liquidità nell'elenco dei progetti blockchain di Solana, ha subito un hack perdendo 8.78 milioni di dollari.

Storia di Hack

L'hacker ha implementato uno smart contract per prendere un prestito lampo su Solana e aggiungere liquidità a Crema. I dati sui prezzi sono stati quindi manipolati, consentendo agli hacker di far sembrare che possedessero un importo enorme- tutto con dati falsi. 

Il team di Crema ha tracciato il flusso di fondi che l'hacker è riuscito a scambiare da Solana a Ethereum. Il team ha immediatamente avvertito l'hacker di restituire i fondi rubati accettando la taglia.

E subito dopo, l'hacker ha restituito i fondi trattenendo 1.6 milioni di dollari come taglia del cappello bianco. 

Cassaforte Hack 

Cashio (CASH), una stablecoin nativa di Solana supportata da algoritmi, ha perso ben $ 52.8 milioni a causa di un errore di conio infinito. In seguito, il valore della moneta è passato da $ 1 a $ 0.00005, mandando in crash l'ecosistema DeFi. 

Storia dell'hack

Sfruttando la base di codice di Cashio, l'hacker ha prima coniato due miliardi di token CASH. Cosa c'era di sbagliato nel codice? 

The Infinite Mint Glitch: questo errore nel protocollo offre all'utente l'accesso per coniare un numero qualsiasi di token senza posizionare alcuna garanzia. L'utente può quindi vendere questi token coniati negli scambi, il che fa crollare il prezzo della moneta.

In Cashio exploit, l'hacker ha bruciato i due milioni di token CASH per i token Sabre USDT-USDC LP. I token Liquidity Pair vengono quindi scambiati con token USDC e USDT con conseguente prosciugamento di $ 52.8 milioni. 

Come salvaguardare i progetti da hack e furti?

Sebbene la sicurezza sia sempre un work-in-progress, le tecniche collaudate adottate da sviluppatori e revisori possono mitigare gli hacker dall'esecuzione facile di attacchi. 

Le misure di sicurezza si sono dimostrate efficaci nell'eliminare gli attacchi alla governance, la manipolazione dell'oracolo dei prezzi, gli errori di rientro, ecc. Quindi, troviamo ora le misure di sicurezza che dissuadono gli aggressori dallo sfruttare i contratti e dal riciclare denaro.

Codifica intelligente dei contratti: Scrivere contratti utilizzando pratiche di codifica sicure, che includono l'uso di librerie testate, un linguaggio di programmazione consigliato, l'implementazione di una sicurezza speciale sui portafogli, la definizione chiara delle funzioni e così via.

Lista di controllo per la sicurezza della blockchain di Actionize: Sono disponibili molte risorse ben studiate che possono essere controllate per garantire la protezione dagli hack. 

Utilizzo degli strumenti di controllo della sicurezza: Sono disponibili scanner di sicurezza open source per eseguire controlli di vulnerabilità automatizzati sui contratti e identificare potenziali difetti nei contratti. 

Tuttavia, potrebbe non essere efficace nell'individuare gli errori, ma aiuta per un controllo di base. Diversi tipi di strumenti di controllo aiutano a identificare i bug nella blockchain e negli smart contract come MythX, Echidna, Manticore, Oyente, SmartCheck, ecc. 

Intraprendere servizi di Pentesting e auditing: Ultimo ma non meno importante, il controllo degli smart contract non può mai essere sottovalutato. Minuscole scappatoie aiutano gli hacker a trovare un modo per intromettersi e mandare in crash i contratti.

Gli audit di sicurezza e i pentest periodici analizzano a fondo il progetto ed eliminano anche la minima possibilità per gli hacker. Sapendo che i servizi di auditing e pentesting hanno un significato maggiore nell'offrire sicurezza, cerchiamo di capire passo passo come è fatto. 

Ruolo dell'auditing nella protezione degli smart contract

L'auditing prevede una serie di passaggi dal test automatizzato alla revisione manuale, coprendo ampiamente tutti gli aspetti della codifica e verificando eventuali punti deboli presenti nel codice. Alcune delle specifiche coperte nel processo di auditing Solana includono;

• Verifiche di funzionalità
• Congelamento di un contratto
• Manipolazione della fornitura di token
• Manipolazione del saldo dell'utente
• Meccanismo kill switch
• Prove operative e generazione di eventi e così via

Passaggi seguiti da QuillAudits per verificare uno Smart Contract Solana

L'audit degli smart contract Solana viene eseguito con la massima diligenza e viene fornito un rapporto di audit ben elaborato con tutte le analisi dell'audit. Il flusso di lavoro passo dopo passo è riportato di seguito. 

Passaggio 1: raccolta dei dettagli

L'idea e la finalità del progetto vengono raccolte e studiate dal cliente per comprendere e acquisire una conoscenza completa del codice e del suo funzionamento. Una volta terminate le discussioni, gli auditor bloccano il codice per passare alla fase successiva del processo di auditing.

Passaggio 2: test manuale

I nostri esperti revisori interni controllano le complessità e i problemi di vulnerabilità nel codice. Include la ricerca di errori matematici, problemi logici, ecc.

Passaggio 3: test di funzionalità 

Questo processo comprende il test dei contratti in condizioni diverse e la verifica dei dati recuperati dagli smart contract Solana. Il contratto intelligente viene testato per garantire che le azioni previste vengano eseguite correttamente.

Passaggio 4: test sugli ultimi vettori di attacco

Si studiano i recenti attacchi e si eseguono test sugli smart contract per assicurarsi che offrano piena resistenza agli attacchi. Include il controllo di attacchi come la manipolazione del mercato, il prezzo di LP, i vettori di front running, ecc. 

Passaggio 5: test automatico degli strumenti

Strumenti come Soteria, cargo-Clippy, cargo-audit e strumenti specializzati per l'audit dei contratti intelligenti Solana vengono implementati per cercare eventuali errori. Implementiamo anche tecniche come fuzzing per garantire che possiamo articolare il più possibile i vettori di attacco del mondo reale.

Passaggio 6: rapporto di audit iniziale

Il rapporto di controllo iniziale presenta i bug nel contratto, quindi lo inviamo al team di sviluppatori per risolverli. 

Passaggio 7: rapporto di audit finale

Il rapporto viene testato per le correzioni apportate dal team di sviluppo, quindi viene inviato il rapporto di audit finale. 

Pensieri finali, 

L'enfasi sulla necessità di Servizi di auditing dei contratti intelligenti Solana per risolvere i possibili difetti e contrattempi tecnici per proteggerli dagli hacker è chiarito da questo.

E per non parlare, QuillAudit disporre dell'esperienza armata di strumenti e tecniche all'avanguardia per intraprendere i servizi di auditing e fornire risultati assicurati. Non è necessario cercare altrove perché siamo a portata di clic.

FAQ

Che cos'è il linguaggio di codifica degli smart contract Solana?

Lo smart contract Solana è scritto utilizzando il linguaggio di programmazione Rust con il programma contenente meccanismi specifici di Solana. 

Solana è più veloce di Ethereum?

Certamente Sì, Solana può elaborare fino a 70,000 transazioni al secondo ed Ethereum solo 30 transazioni. Inoltre, il tempo di blocco di Solana è di un secondo mentre Ethereum è di 15 secondi.

Quali sono le principali sfide affrontate dagli smart contract Solana?

I problemi generali affrontati dallo smart contract Solana includono dipendenze obsolete, codice ridondante/ripetuto, memoria non inizializzata nel codice ruggine, ecc. 

Come si controllano gli smart contract Solana?

QuillAudits esegue un esame approfondito dei componenti degli smart contract e delle librerie importate oltre alla codifica rust. Effettuiamo una revisione manuale del codice ed eseguiamo una scansione completa per verificare gli input del programma tramite Fuzzing. 

Qual è il significato dell'audit dei contratti intelligenti?

Blockchain sta attirando l'attenzione di miliardi di persone, inclusi gli hacker. In breve, l'auditing è fondamentale per prevenire potenziali vulnerabilità e garantire la credibilità del progetto. 

156 Visualizzazioni