Gli hacker hanno rubato più criptovalute dalle piattaforme di finanza decentralizzata (DeFi) che mai nel 2022. Quasi il 98% di tutti i token lanciati sull'ammiraglia della DeFi DEX Uniswap sono stati identificati come pull pull.
L'ultimo, Defrost Finance, è venuto come un incubo natalizio per gli investitori in criptovalute, spazzando via $ 12 milioni dei loro soldi.
La maggior parte degli attacchi sulle piattaforme DeFi avviene attraverso violazioni della sicurezza ed exploit del codice. I progetti che finiscono per essere truffe di tappeto presentano seri problemi di sicurezza che sono stati lasciati passare, o forse, non rilevati di proposito. Per prevenire rischi simili, gli audit di sicurezza DeFi sono fondamentali.
Qui scopriremo di più su questi audit, come vengono condotti e se è possibile eseguire un audit DeFi da soli.
Cos’è un audit di sicurezza DeFi?
I progetti DeFi sono implementati come contratti intelligenti complessi, autoeseguibili, spesso trasparenti e open source. Fungono come accordi legali tra due parti. E poiché non c’è alcuna entità centralizzata dietro di loro, anche un piccolo bug nei contratti intelligenti potrebbe portare a conseguenze irreversibili.
Ciò significa che non dovrebbe esserci spazio per errori nei contratti intelligenti. Gli audit di sicurezza del contratto intelligente DeFi hanno lo scopo di garantirlo.
Gli audit di sicurezza esaminano il codice dei contratti intelligenti e il modo in cui fonda i termini e le condizioni dei contratti. L'analisi dettagliata ricerca potenziali falle di sicurezza, violazioni e bug di sistema nel codice, quindi non può essere sfruttato.
Gli audit di sicurezza, solitamente condotti da terze parti, sono fondamentali per garantire la sicurezza e la credibilità dei progetti e mantenere un ecosistema DeFi sano.
In che modo i truffatori sfruttano i contratti intelligenti per un tappeto da tirare?
Un rug pull è un tipo di truffa di uscita che funziona secondo un modello semplice: gli sviluppatori creano un protocollo DeFi dall'aspetto legittimo, lo eseguono e lo promuovono finché il progetto non attira abbastanza liquidità, quindi ritirano i fondi e scompaiono.
Beh, non sempre. Occasionalmente, i truffatori incolpano gli hacker di aver rubato liquidità e restano in attività fino alla volta successiva.
Per implementare un attacco, i truffatori incorporano codice dannoso negli smart contract. Li modificano per impedire agli investitori di vendere: impostano la commissione di vendita massima (100%), i proprietari di token nella lista nera e bloccano i soldi degli utenti in un contratto.
Alcuni contratti intelligenti prevedono la codifica di una "porta sul retro" dannosa, che consente agli sviluppatori di ritirare la liquidità.
La maggior parte delle volte, i contratti intelligenti modificati non vengono verificati dai revisori della sicurezza e sono nascosti agli occhi del pubblico. Poiché la maggior parte dei contratti on-chain sono disponibili al pubblico, una mancanza di trasparenza su GitHub potrebbe essere una bandiera rossa.
Come verificare se uno Smart Contract DeFi è sicuro
L'industria della blockchain e dei contratti intelligenti è ancora relativamente giovane, così come il settore della revisione dei contratti intelligenti. Numerose aziende sono specializzate in audit di sicurezza dei contratti intelligenti, sviluppano i loro strumenti e modellano il loro know-how.
Gli standard del settore della sicurezza dei contratti intelligenti e le best practice si stanno evolvendo. Nonostante ciò, alcuni metodi di audit piuttosto standard vengono utilizzati dagli attori del settore dell'audit DeFi.
In genere le loro indagini iniziano con la valutazione del contratto intelligente. Il revisore analizza il white paper, la logica aziendale e le specifiche tecniche del protocollo DeFi per stimare i potenziali rischi e le caratteristiche di sicurezza.
Quindi spostano la loro attenzione sul codice dello smart contract. Questo è il momento in cui iniziano la revisione e l'analisi del codice.
I revisori esaminano il codice riga per riga, alla ricerca di vulnerabilità di diversi livelli: quelle critiche che possono provocare una perdita di liquidità; di medio livello, che potrebbe danneggiare parzialmente lo smart contract; e questioni di basso livello, che incidono meno sulla sicurezza del contratto.
Implementano una serie di tecniche di audit, inclusa l'analisi automatizzata e manuale. Entrambi hanno i loro pro e contro.
Un controllo di sicurezza automatizzato significa scansionare il codice con un software di analisi automatizzato, che cerca bug nel database delle vulnerabilità note e identifica la loro posizione precisa nel codice.
L'audit basato su software viene in genere condotto prima dell'analisi manuale per rilevare errori che gli esseri umani potrebbero trascurare. È più veloce e richiede meno tempo, ma allo stesso tempo potrebbe non essere sempre consapevole del contesto e quindi perdere alcune vulnerabilità.
L'analisi manuale del codice è fondamentale nell'audit dei contratti intelligenti ed è la parte più critica di un audit di sicurezza del codice intelligente completo e accurato. È condotto da almeno due esperti separati che ispezionano il codice riga per riga.
L'obiettivo è verificare che ogni dettaglio nelle specifiche del progetto sia implementato nello smart contract e che nulla violi il comportamento originariamente previsto.
I revisori esaminano attentamente il codice per comportamenti non intenzionali e inaspettati, problemi cruciali di sicurezza e vulnerabilità come il rientro, la manipolazione dei dati, i prestiti lampo e altre manipolazioni che potrebbero essere implementate mentre il contratto intelligente interagisce con altri.
Oltre a ciò, gli audit manuali eseguono simulazioni per valutare quanto bene il contratto intelligente del progetto DeFi risponda alle minacce non identificate e quanto sia capace di difendersi da esse.
Nella parte finale dell'analisi manuale del codice, l'auditor confronta la logica dello smart contract con la sua descrizione nel white paper del progetto.
Una volta che tutte le vulnerabilità sono state identificate e risolte, i revisori eseguono un processo di doppio controllo per garantire che il codice intelligente venga eseguito come previsto.
Infine, al termine dell'audit di sicurezza, i revisori preparano un rapporto completo. Qui è dove forniscono un feedback dettagliato su ciò che hanno scoperto. In genere il loro rapporto viene fornito con raccomandazioni su come correggere i punti deboli del codice rilevati per mitigare la sicurezza del progetto.
Cosa garantisce che un audit dello Smart Contract sia professionale?
I contratti intelligenti sono un’innovazione relativamente nuova. I loro standard di sicurezza si stanno evolvendo di conseguenza. Ciò significa che nessuna regola d’oro garantisce la totale sicurezza del contratto intelligente.
Inoltre, non tutte le società di revisione dei contratti intelligenti sono uguali e non tutti gli audit garantiscono la sicurezza. Gli auditor possono avere livelli di abilità diversi, obiettivi diversi e costi diversi.
Per non parlare del fatto che il mercato è pieno di sviluppatori loschi che falsificano audit e beneficiano comunque del nome di un’azienda rispettabile. Questo è quello che è successo a Peckshield, una società di sicurezza blockchain e analisi dei dati, più di un anno fa.
Situazioni come questa sono abbastanza comuni nello spazio delle criptovalute. Prendono il nome di un auditor legittimo e rispettabile e lo inseriscono nel loro white paper, dicendo che il loro protocollo è stato verificato.
L'unico modo per evitare casi come questo è verificare la conferma sui canali originali del revisore. Se non ce ne sono, è probabile che il nome del revisore sia stato rubato.
Controlla sempre il suo portafoglio clienti per valutare se il revisore è solido e affidabile. Cerca su Google i casi per verificare i record delle loro esperienze e controlla se qualcuno dei progetti controllati ha subito un pull pull o altri attacchi.
Puoi condurre tu stesso la verifica del codice?
Con così tanti hack e manovre nel settore delle criptovalute, è ingenuo immaginare che i progetti DeFi siano sicuri senza esaminarli più in dettaglio. Gli audit dei contratti intelligenti forniscono un livello critico di sicurezza.
Tuttavia, anche quelli più professionali non garantiscono che un progetto DeFi sia assolutamente privo di bug. I contratti intelligenti sono complessi. Richiedono analisi dettagliate e complete, competenze, strumenti e, soprattutto, più di un paio di occhi.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://dailycoin.com/how-auditors-detect-defi-rug-pull-scam/
- 11
- 2022
- a
- Chi siamo
- assolutamente
- di conseguenza
- preciso
- Legge
- aggiunta
- influenzare
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- accordi
- Tutti
- consente
- sempre
- .
- analitica
- analisi
- ed
- attacco
- attacchi
- attenzione
- attrae
- revisione
- sottoposto a revisione contabile
- revisione
- società di revisione
- revisori dei conti
- audit
- Automatizzata
- disponibile
- prima
- dietro
- essendo
- beneficio
- MIGLIORE
- best practice
- fra
- blockchain
- Sicurezza di Blockchain
- violazioni
- Insetto
- bug
- affari
- non può
- capace
- casi
- centralizzata
- certo
- probabilità
- canali
- dai un'occhiata
- Natale
- cliente
- codice
- Revisione del codice
- codifica
- Uncommon
- azienda
- Completato
- complesso
- globale
- condizioni
- Segui il codice di Condotta
- Svantaggi
- Conseguenze
- contesto
- contratto
- contratti
- Costi
- potuto
- creare
- Credibilità
- critico
- cruciale
- crypto
- Crypto investitori
- spazio crypto
- criptovaluta
- dati
- Dati Analytics
- Banca Dati
- decentrata
- Finanza decentralizzata
- finanza decentralizzata (DeFi)
- Difendere
- DeFi
- piattaforme defi
- progetti defi
- PROTOCOLLO DEFI
- Sicurezza DeFi
- schierare
- descrizione
- Nonostante
- dettaglio
- dettagliati
- rilevato
- sviluppare
- sviluppatori
- Dex
- diverso
- scomparire
- scoperto
- ecosistema
- abbastanza
- garantire
- assicura
- assicurando
- entità
- errori
- stima
- valutare
- valutazione
- Anche
- EVER
- evoluzione
- uscita
- uscire dalla truffa
- previsto
- esperienza
- competenza
- esperti
- Sfruttare
- Exploited
- gesta
- esterno
- occhio
- Occhi
- più veloce
- Caratteristiche
- tassa
- feedback
- finale
- finanziare
- Trovare
- Aziende
- fisso
- Cromatografia
- prestiti flash
- difetti
- da
- pieno
- fondi
- scopo
- Obiettivi
- d'oro
- di garanzia
- garanzie
- hacker
- hack
- accadere
- successo
- sano
- nascosto
- Come
- HTTPS
- Gli esseri umani
- identificato
- identifica
- realizzare
- implementato
- in
- Compreso
- industria
- standard di settore
- Innovazione
- interagisce
- Indagini
- Investitori
- coinvolgere
- sicurezza
- IT
- stessa
- King
- conosciuto
- Dipingere
- con i più recenti
- lanciato
- strato
- portare
- perdita
- Legale
- Legittimo
- livelli
- linea
- Liquidità
- Prestiti e finanziamenti
- località
- cerca
- Manuale
- molti
- Rappresentanza
- max
- si intende
- metodi
- forza
- milione
- Ridurre la perdita dienergia con una
- modello
- modificato
- soldi
- Scopri di più
- maggior parte
- Nome
- quasi
- New
- GENERAZIONE
- numero
- numerose
- In catena
- ONE
- open source
- opera
- i
- originariamente
- Altro
- Altri
- proprietari
- parte
- parti
- Scudo
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- giocatori
- lavori
- possibile
- potenziale
- pratiche
- Preparare
- piuttosto
- prevenire
- processi
- professionale
- progetto
- progetti
- promuoverlo
- PROS
- protocollo
- fornire
- la percezione
- pubblicamente
- Maglioni
- scopo
- metti
- raccomandazioni
- record
- Rosso
- relativamente
- rapporto
- rispettabile
- richiedere
- rispettabile
- colpevole
- recensioni
- rischi
- Prenotazione sale
- tappeto da tirare
- truffe sul tappeto
- tappeto tira
- Regola
- Correre
- sicura
- Sicurezza
- stesso
- Truffa
- Truffatori
- truffe
- scansione
- settore
- problemi di
- Security Audit
- Audit di sicurezza
- violazioni della sicurezza
- Vendita
- grave
- set
- Forma
- spostamento
- dovrebbero
- simile
- Un'espansione
- da
- abilità
- scivolo
- piccole
- smart
- smart contract
- Verifica del contratto intelligente
- Sicurezza dei contratti intelligenti
- Smart Contract
- So
- Software
- solido
- alcuni
- lo spazio
- specializzarsi
- specificazione
- Standard
- standard
- inizia a
- soggiorno
- Ancora
- stola
- rubare
- sistema
- Fai
- Consulenza
- tecniche
- condizioni
- i termini e le condizioni
- I
- loro
- Terza
- terzi
- minacce
- Attraverso
- tempo
- richiede tempo
- a
- token
- Tokens
- strumenti
- Totale
- Trasparenza
- trasparente
- tipicamente
- Inaspettato
- Uniswap
- generalmente
- verificato
- verificare
- Violazioni
- importantissima
- vulnerabilità
- Che
- se
- quale
- while
- Whitepaper
- asciugandosi
- ritirare
- senza
- anno
- Tu
- giovane
- te stesso
- zefiro
