La DeFi è stata la portabandiera del boom delle criptovalute nel 2020 e il calore ha rifiutato di placarsi anche nel 2021. Con sempre più persone che investono i propri fondi nello yield farming, la DeFi continua ad essere una strategia a lungo termine.
Potresti conoscere molti che hanno moltiplicato i propri guadagni con la DeFi. Non è stato raro nei circoli crittografici trovare persone che hanno catapultato i loro fondi 7x or 10x con l'agricoltura a rendimento. I prestiti lampo sono stati uno strumento importante nelle loro mani, consentendo loro di spostare rapidamente i propri soldi tra i protocolli entro i tempi stabiliti e di coniare oro.
Ruolo dei contratti intelligenti nella gestione della DeFi
Poche persone, tuttavia, comprendono il ruolo dei contratti intelligenti nel gestire queste potenti applicazioni in modo automatizzato. I contratti intelligenti sono programmi informatici immutabili archiviati su una blockchain. Questi programmi intraprenderebbero un'azione quando viene soddisfatta una condizione predeterminata. Grazie allo smart contract, tutti gli stakeholder possono essere certi del risultato, senza essere effettivamente coinvolti.
Ciò che rende i contratti intelligenti un anello debole
I contratti intelligenti si sono rivelati una rivelazione rivoluzionaria. Tuttavia, c’è anche un’altra faccia della medaglia. I contratti intelligenti hanno dimostrato di essere l’anello debole dell’ecosistema DeFi. Gli sviluppatori potrebbero finire per scrivere codice errato, dando agli elementi senza scrupoli scappatoie per sottrarre denaro e nascondere i fondi bloccati nel protocollo. Molti progetti DeFi derivano dai protocolli esistenti. In questi casi, i bug nel protocollo esistente si trasmettono anche a quello biforcato.
Spesso gli sviluppatori non hanno abbastanza esperienza e conoscenza per scrivere codice sicuro. I progetti tendono ad assumere sviluppatori inesperti per risparmiare sui costi, senza rendersi conto che un insieme di bug sfornati da queste persone potrebbe costare loro caro. A volte, gli sviluppatori potrebbero lasciare intenzionalmente bug per deviare i fondi dal protocollo ai propri portafogli. E poi, in molti casi, gli hacker potrebbero essere abbastanza intelligenti da individuare bug e vulnerabilità in un codice apparentemente sano e colpire di sorpresa. Indipendentemente da come i bug siano arrivati al codice, questi potrebbero rappresentare una minaccia esistenziale per il progetto.
Una panoramica delle perdite DeFi nel 2021
Dai un'occhiata agli exploit DeFi avvenuti nel 2021 e rimarrai sorpreso di trovare l'enorme numero di protocolli che hanno fatto trapelare fondi tramite il contratto intelligente.
anelare la finanza – Gli autori del reato hanno sfruttato la funzione di prestito flash del protocollo per accumulare denaro $11 milioni di fondi degli utenti tramite un exploit del contratto intelligente.
Alfa Homora – Questo protocollo di liquidità con leva finanziaria è diventato vittima di a $37.5 milioni di sfruttamento. L’exploit prevedeva l’utilizzo di una funzionalità che rilasciava prestiti non collateralizzati per contratti intelligenti affidabili.
Finanza di Meerkat – Il vault del contratto intelligente di questo protocollo di yield farming su Binance Smart Chain è stato attaccato, con una conseguente perdita di circa 13 milioni di BUSD e 73,000 BNB
Rete a pagamento – Un attacco infinito contro PAID è culminato in una perdita di circa 180 milioni di dollari.
EasyFi – Un attacco a EasyFi, costruito sulla rete Polygon, si è concluso con la sottrazione di beni di valore da parte dell’aggressore $75 milioni di euro.
ForzaDAO – Gli hacker hanno preso di mira ForceDAO per drenarlo 183 ETH dal protocollo.
Finanza dell'uranio – Mentre il protocollo stava effettuando la migrazione dei token, ha subito un attacco che ha comportato una perdita di $50 milioni di euro.
spartano – Diversi attacchi Flash Loan su questo protocollo DeFi basato su BSC hanno portato a una perdita di circa $30 milioni di euro.
RARI Capitale – Gli hacker hanno prosciugato le casseforti di rendimento e i pool di prestito di Rari Capital per infliggere una perdita di $11 milioni di euro.
Come vengono rubati i fondi dai protocolli DeFi
Esistono tre modi per sottrarre fondi ai protocolli DeFi:
Lacune nei contratti intelligenti – Sono i contratti intelligenti che eseguono funzionalità chiave come la liquidità e lo staking, rendendoli un bersaglio perenne degli hacker. I bug nei contratti intelligenti sono la causa principale degli exploit.
Prestiti flash – Gli aggressori utilizzano massicci prestiti flash per gonfiare il prezzo di una specifica stablecoin e moltiplicare le loro partecipazioni nel processo. Non possiamo però eliminare i prestiti flash poiché facilitano alcune funzionalità DeFi molto utili come l’arbitraggio, lo scambio di garanzie collaterali, l’autoliquidazione e molto altro.
Manipolazione dell'oracolo – Le reti decentralizzate possono accedere ai dati esterni solo tramite oracoli. Il ruolo di Oracle è cruciale per ottenere dati sicuri e affidabili. Gli hacker proverebbero a manipolare gli oracoli per influenzare le cose a proprio vantaggio. Come per i prestiti flash, non puoi eliminare Oracle, ma quello che puoi fare è integrare il tuo protocollo con un Oracle decentralizzato, che generalmente è più affidabile.
Devi leggere - Cosa non dimenticare quando si controllano i contratti intelligenti in DeFi
Possibili modalità di attacco agli smart contract
Potrebbe esserci diverse ragioni per bug e vulnerabilità nei contratti intelligenti. Questi includono rientro, front-running, dati privati sulla catena non crittografati, codice irrilevante, chiamata di messaggio con quantità di gas codificata, collisioni di hash con più argomenti di lunghezza variabile, saldo Ether imprevisto, presenza di variabili inutilizzate, errore tipografico, DoS con blocco limite di gas, salto arbitrario con tipo di funzione variabile, gas-griefing insufficiente, ordine di ereditarietà errato, violazione dei requisiti, mancanza di un'adeguata verifica della firma, fonti deboli di casualità dagli attributi della catena, malleabilità della firma, DoS con chiamata fallita, uso di funzioni deprecate, Ether non protetto ritiro e molti altri. Gli sviluppatori dovrebbero essere a conoscenza di tutte queste istanze e delle relative descrizioni del codice.
Audit del contratto intelligente
Un contratto intelligente richiede un audit approfondito prima dell'implementazione. Tutte le scoperte sono spiegate nel rapporto finale insieme alle raccomandazioni. I livelli di sicurezza dei contratti intelligenti vengono misurati in linea con una serie di specifiche come critico, alto, medio, basso e minimo.
Un audit adeguato prevede controlli sia automatici che manuali. L'audit automatico implementa un software che determina la parte responsabile di ciascuna esecuzione ed esplora dove potrebbe verificarsi il possibile bug. L'analisi manuale coinvolge un team di sviluppatori esperti che esamina ogni riga di codice. Potrebbero verificare un elenco di vulnerabilità standard o condurre un controllo esplorativo in base alla loro esperienza.
Concludendo
I contratti intelligenti sono il motore dietro la DeFi. Per proteggere un progetto DeFi dalle vulnerabilità, è fondamentale condurre un controllo approfondito del contratto. L'audit automatico e quello manuale devono essere condotti in tandem per rendere l'audit quanto più approfondito e accurato possibile.
Contatta QuillAudits
QuillAudit è una piattaforma sicura di audit dei contratti intelligenti progettata da QuillHash
Technologies.
È una piattaforma di auditing che analizza e verifica rigorosamente i contratti intelligenti per verificare le vulnerabilità della sicurezza attraverso Manuale recensione con statico ed dinamico strumenti di analisi, analizzatori di gas così come simulatori. Inoltre, il processo di audit include anche un'ampia unit test così come analisi strutturale.
Conduciamo entrambi smart contract audit ed penetrazione test per trovare il potenziale
vulnerabilità di sicurezza che potrebbero danneggiare la piattaforma interezza .
Se ne hai bisogno assistenza negli smart contract revisione, sentiti libero di contattarci ai nostri esperti qui!
Per essere aggiornati con il nostro lavoro, unisciti al nostro Comunita':-
Twitter | LinkedIn | Facebook | Telegram
Fonte: https://blog.quillhash.com/2021/10/06/what-makes-defi-smart-contract-auditing-so-pivotal/
- 2020
- 7
- accesso
- Action
- Vantaggio
- Tutti
- .
- applicazioni
- arbitraggio
- argomenti
- in giro
- Attività
- revisione
- Automatizzata
- binance
- Nero
- blockchain
- bnb
- boom
- Insetto
- bug
- impacchettare
- BUSD
- chiamata
- capitale
- casi
- Causare
- Controlli
- codice
- Moneta
- continua
- contratto
- contratti
- Costi
- crypto
- dati
- decentrata
- DeFi
- sviluppatori
- Guadagni
- ecosistema
- ETH
- etere
- esperienza
- Sfruttare
- agricoltura
- caratteristica
- Caratteristiche
- Cromatografia
- Gratis
- function
- fondi
- GAS
- Dare
- Oro
- hacker
- hash
- Alta
- assumere
- Come
- HTTPS
- influenza
- coinvolto
- IT
- join
- saltare
- Le
- Perdite
- Guidato
- prestito
- Leva
- linea
- LINK
- Liquidità
- Lista
- Prestiti e finanziamenti
- Lunghi
- maggiore
- Fare
- medie
- milione
- soldi
- cambiano
- Rete
- reti
- oracolo
- minimo
- Persone
- centrale
- piattaforma
- Piattaforme
- Piscine
- prezzo
- un bagno
- Programmi
- progetto
- progetti
- protegge
- protocollo
- rapporto
- recensioni
- Correre
- running
- problemi di
- set
- smart
- smart contract
- Smart Contract
- nascosto
- So
- Software
- lo spazio
- Spot
- stablecoin
- Staking
- Stash
- rubare
- Target
- test
- tempo
- token
- top
- Volta
- Convalida
- vulnerabilità
- Portafogli
- OMS
- entro
- Lavora
- valore
- scrittura
- dare la precedenza
