כיצד מבקרים מזהים הונאה של משיכת שטיח DeFi: האם אתה יכול לעשות זאת בעצמך?

האקרים גנבו יותר מטבעות קריפטוגרפיים מפלטפורמות פיננסים מבוזר (DeFi) מאי פעם בשנת 2022. כמעט 98% מכל האסימונים שהושקו על דגל הדגל של DeFi DEX Uniswap זוהו כמשיכות שטיחים.

האחרון, Defrost Finance, הגיע כסיוט חג המולד למשקיעי קריפטו, מחסל 12 מיליון דולר מכספם. 

רוב הפריצות לפלטפורמות DeFi מתרחשות באמצעות פרצות אבטחה וניצול קוד. לפרויקטים שבסופו של דבר הם הונאות משיכת שטיחים יש בעיות אבטחה רציניות שהורשו להחליק, או אולי, בלי להתגלות בכוונה. כדי למנוע סיכונים דומים, ביקורת אבטחה של DeFi היא קריטית.

כאן נגלה עוד על הביקורות הללו, כיצד הן מתבצעות והאם ניתן להפעיל ביקורת DeFi בעצמך. 

פרויקטים של DeFi מיושמים כחוזים חכמים מורכבים בביצוע עצמי, לרוב שקופים וקוד פתוח. הם פועלים כהסכמים משפטיים בין שני צדדים. ומכיוון שאף ישות ריכוזית לא עומדת מאחוריהם, אפילו באג קטן בחוזים חכמים עלול להוביל לתוצאות בלתי הפיכות.

המשמעות היא שלא צריך להיות מקום לטעויות בחוזים חכמים. ביקורות אבטחה חוזים חכמים של DeFi נועדו להבטיח זאת.

ביקורות אבטחה בודקות את הקוד של חוזים חכמים וכיצד הוא מבסס את התנאים וההגבלות של החוזים. הניתוח המפורט מחפש פגמי אבטחה פוטנציאליים, הפרות ובאגי מערכת בקוד, כך שלא ניתן לנצל אותו. 

ביקורות אבטחה, הנערכים בדרך כלל על ידי צדדים שלישיים, הן חיוניות להבטחת האבטחה והאמינות של הפרויקטים ולשמירה על מערכת אקולוגית בריאה של DeFi.

משיכת שטיח היא סוג של תרמית יציאה הפועלת במודל פשוט: מפתחים יוצרים פרוטוקול DeFi בעל מראה חוקי, מפעילים ומקדמים אותו עד שהפרויקט מושך מספיק נזילות, ואז מושכים את הכספים ונעלמים. 

ובכן, לא תמיד. מדי פעם, רמאים מושכים שטיחים מאשימים את האקרים בגניבת נזילות ונשארים בעסק עד הפעם הבאה.

כדי ליישם התקפה, הרמאים מטמיעים קוד זדוני בחוזים החכמים. הם משנים אותם כדי למנוע ממשקיעים למכור: הגדר את עמלת המכירה המקסימלית (100%), רשימה שחורה של בעלי אסימונים ונעל את כספי המשתמשים בחוזה.

כמה חוזים חכמים כוללים קידוד "דלת אחורית" זדונית לתוכם, המאפשרת למפתחים למשוך את הנזילות.  

לרוב, חוזים חכמים מתוקנים אינם מאומתים על ידי מבקרי אבטחה ומוסתרים מעיני הציבור. מכיוון שרוב החוזים ברשת זמינים לציבור, חוסר שקיפות על GitHub יכול להיות דגל אדום. 

תעשיית הבלוקצ'יין והחוזים החכמים עדיין צעירה יחסית, וכך גם מגזר ביקורת החוזים החכמים. חברות רבות מתמחות בביקורות אבטחת חוזים חכמות, מפתחות את הכלים שלהן ומעצבות את הידע שלהן. 

תקני אבטחת חוזים חכמים ושיטות עבודה מומלצות מתפתחים. למרות זאת, כמה שיטות ביקורת די סטנדרטיות משמשות שחקני תעשיית ביקורת DeFi.

בדרך כלל החקירות שלהם מתחילות בהערכת החוזה החכם. המבקר מנתח את הספר הלבן, ההיגיון העסקי והמפרט הטכני של פרוטוקול DeFi כדי להעריך סיכונים פוטנציאליים ותכונות אבטחה.

ואז הם מסיטים את תשומת לבם לקוד של החוזה החכם. זה הזמן שבו מתחילים סקירת קוד וניתוח. 

המבקרים בודקים קוד שורה אחר שורה, מחפשים נקודות תורפה ברמות שונות: קריטיות שעלולות לגרום לדליפת נזילות; רמה בינונית, שעלולה לפגוע חלקית בחוזה החכם; ונושאים ברמה נמוכה, המשפיעים הכי פחות על אבטחת החוזה.

הם פורסים מספר טכניקות ביקורת, כולל ניתוח אוטומטי וידני. לשניהם יש את היתרונות והחסרונות שלהם.

ביקורת אבטחה אוטומטית פירושה סריקת הקוד באמצעות תוכנת ניתוח אוטומטית, המחפשת באגים מול מסד הנתונים של פגיעויות ידועות ומזהה את מיקומם המדויק בקוד.

הביקורת מבוססת התוכנה מתבצעת בדרך כלל לפני הניתוח הידני כדי לזהות שגיאות שבני אדם עלולים להתעלם מהם. זה מהיר יותר וצורך פחות זמן, אך יחד עם זאת, ייתכן שהוא לא תמיד מודע להקשר ובכך מחמיץ נקודות תורפה מסוימות. 

ניתוח קוד ידני הוא המלך בביקורת חוזים חכמים והוא החלק הקריטי ביותר בביקורת אבטחת קוד חכם מקיפה ומדויקת. הוא מבוצע על ידי לפחות שני מומחים נפרדים הבודקים את הקוד שורה אחר שורה.

המטרה היא לוודא שכל פרט במפרט הפרויקט מיושם בחוזה החכם וששום דבר לא מפר את התנהגותו המיועדת במקור. 

המבקרים בודקים את הקוד לאיתור התנהגות בלתי מכוונת, בלתי צפויה, בעיות אבטחה חיוניות ופגיעויות כמו כניסה חוזרת, מניפולציות של נתונים, הלוואות פלאש ומניפולציות אחרות שעלולות להיות מיושמות בזמן שהחוזה החכם מקיים אינטראקציה עם אחרים.

בנוסף לכך, ביקורות ידניות מרצות סימולציות כדי להעריך עד כמה החוזה החכם של פרויקט DeFi מגיב לאיומים לא מזוהים ועד כמה הוא מסוגל להגן על עצמו מפניהם. 

בחלק האחרון של ניתוח קוד ידני, המבקר משווה את ההיגיון של החוזה החכם עם תיאורו בספר הלבן של הפרויקט. 

לאחר שכל נקודות התורפה זוהו ותוקנו, המבקרים מפעילים תהליך בדיקה כפולה כדי לוודא שהקוד החכם פועל כצפוי.

לבסוף, לאחר סיום ביקורת האבטחה, מכינים המבקרים דו"ח מקיף. זה המקום שבו הם מספקים משוב מפורט על מה שגילו. בדרך כלל הדוח שלהם מגיע עם המלצות כיצד ניתן לתקן חולשות קוד שזוהו כדי להפחית את אבטחת הפרויקט. 

חוזים חכמים הם חידוש חדש יחסית. תקני האבטחה שלהם מתפתחים בהתאם. משמעות הדבר היא ששום כלל זהב אינו מבטיח בטיחות חוזים חכמה מוחלטת.

יתרה מכך, לא כל משרדי ביקורת חוזים חכמים זהים, ולא כל הביקורות מבטיחות בטיחות. למבקרים עשויים להיות רמות מיומנות שונות, מטרות שונות ועלויות שונות.

שלא לדבר על העובדה שהשוק מלא במפתחים מעורפלים שמזייפים ביקורת ועדיין נהנים משמה של חברה מכובדת. זה מה שקרה לפקסילד, חברת אבטחת וניתוח נתונים בלוקצ'יין, לפני יותר משנה.

מצבים כאלה שכיחים למדי בתחום המטבעות הקריפטוגרפיים. הם לוקחים שם של מבקר לגיטימי ומכובד ומכניסים אותו לנייר הלבן שלהם, ואומרים שהפרוטוקול שלהם נבדק.

הדרך היחידה להימנע ממקרים כאלה היא לבדוק אישור בערוצים המקוריים של המבקר. אם אין כאלה, רוב הסיכויים ששמו של המבקר נגנב. 

בדוק תמיד את תיק הלקוחות שלו כדי להעריך אם המבקר הוא יציב ובעל מוניטין. חפש בגוגל את המקרים כדי לאמת את רישומי הניסיון שלהם, ולבדוק אם אחד מהפרויקטים המבוקרים סבל משיכת שטיח או התקפות אחרות.

עם כל כך הרבה פריצות ומשיכות שטיחים בחלל הקריפטו, זה נאיבי לדמיין שפרויקטי DeFi בטוחים מבלי לבדוק אותם בפירוט רב יותר. ביקורות חוזים חכמות מספקות שכבה קריטית של בטיחות. 

עם זאת, אפילו המקצועיים ביותר אינם מבטיחים שפרויקט DeFi הוא נטול באגים לחלוטין. חוזים חכמים הם מורכבים. הם דורשים ניתוח מפורט ומקיף, מומחיות, כלים, והכי חשוב, יותר מזוג עיניים אחד.