מה הופך את ביקורת חוזים חכמה של DeFi לכל כך מרכזית

DeFi הייתה נושאת הדגל של בום הקריפטו בשנת 2020 והחום סירב לגווע גם עד 2021. עם יותר ויותר אנשים ששוטפים את הכספים שלהם לחקלאות תשואה, DeFi ממשיכה להיות בטווח הארוך.

אולי אתה מכיר רבים שהכפילו את הרווחים שלהם עם DeFi. זה לא היה נדיר במעגלי קריפטו למצוא אנשים שהטילו את הכספים שלהם 7x or 10x עם חקלאות תשואה. הלוואות פלאש היו כלי מרכזי בידיהם, ומאפשרות להם להעביר את כספם במהירות בין פרוטוקולים בזמן שנקבע לזהב מנטה.

תפקידם של חוזים חכמים בהפעלת ה-DeFi

עם זאת, מעטים האנשים שמבינים את תפקידם של חוזים חכמים בהפעלת יישומים רבי עוצמה אלה באופן אוטומטי. חוזים חכמים הם תוכנות מחשב בלתי ניתנות לשינוי המאוחסנות בבלוקצ'יין. תוכניות אלה ינקטו פעולה כאשר מתקיים תנאי שנקבע מראש. הודות לחוזה החכם, כל בעלי העניין יכולים להיות בטוחים לגבי התוצאה, מבלי להתערב בפועל.

מה שגורם לחוזים חכמים להפוך לחוליה חלשה

חוזים חכמים יצאו כגילוי פורץ דרך. עם זאת, יש גם צד נוסף של המטבע. חוזים חכמים הוכיחו שהם החוליה החלשה במערכת האקולוגית של DeFi. מפתחים עלולים בסופו של דבר לכתוב קוד גרוע, מה שייתן לאלמנטים חסרי המצפון פרצות להגניב כסף ולהחביא את הכספים הנעולים בפרוטוקול. פרויקטים רבים של DeFi מחולקים מהפרוטוקולים הקיימים. במקרים כאלה, הבאגים בפרוטוקול הקיים עוברים גם למזלג.

לעתים קרובות, מפתחים אינם מנוסים ובקיאים מספיק כדי לכתוב קוד מאובטח. פרויקטים נוטים לשכור מפתחים חסרי ניסיון כדי לחסוך בעלויות, מבלי להבין שצרור באגים שנגרמו על ידי האנשים האלה עלול לעלות להם ביוקר. לפעמים, מפתחים עשויים להשאיר באגים בכוונה כדי להסיט את הכספים מהפרוטוקול לארנקים שלהם. ואז, במקרים רבים, ההאקרים עשויים להיות חכמים מספיק כדי לזהות באגים ופגיעויות בקוד שנראה בריא ולתקוף בלי משים. לא משנה איך הבאגים מצאו את דרכם לקוד, הם עלולים להוות איום קיומי על הפרויקט.

סקירה כללית של דליפות DeFi בשנת 2021

הציצו במעללי DeFi שקרו ב-2021 ותופתעו לגלות את המספר העצום של פרוטוקולים שהדליפו כספים באמצעות החוזה החכם.

כספים כמיהה – העבריינים ניצלו את תכונת הלוואת הבזק של הפרוטוקול לשקית $11 כספי משתמש בשווי מיליון באמצעות ניצול חוזה חכם.

אלפא הומורה – פרוטוקול נזילות מינוף זה הפך לקורבן של א $37.5 מיליון מנצלים. הניצול כלל שימוש בתכונה ששחררה הלוואות ללא ביטחונות עבור חוזים חכמים מהימנים.

מימון סוריקט - כספת חוזים חכמה של פרוטוקול חקלאות תשואה זה על Binance Smart Chain הותקפה, וכתוצאה מכך הפסד של כ 13 מיליון BUSD ו 73,000 BNB.

רשת בתשלום - התקפת מנטה אינסופית על PAID הגיעה לשיאה בהפסד של כ-180 מיליון דולר.

EasyFi - התקפה על EasyFi, שנבנתה על גבי רשת Polygon, הסתיימה בכך שהתוקף לקח ממנו נכסים בשווי $75 מיליון.

ForceDAO – האקרים כוונו ל-ForceDAO כדי לנקז 183 ETH מהפרוטוקול.

מימון אורניום - בזמן שהפרוטוקול ניהל את הגירת האסימונים שלו, הוא סבל מהתקפה שהגיעה לאובדן של $50 מיליון.

Spartan - התקפות הלוואות פלאש מרובות על פרוטוקול DeFi מבוסס BSC זה הובילו להפסד של כ $30 מיליון.

RARI קפיטל - האקרים רוקנו את כספות התשואה ומאגרי ההלוואות של Rari Capital כדי לגרום לאובדן של $11 מיליון.

כיצד נגנבים כספים מפרוטוקולי DeFi

ישנן שלוש דרכים לשאוב כספים מפרוטוקולי DeFi -

פרצות חוזים חכמות - החוזים החכמים הם המבצעים פונקציונליות מרכזית כמו נזילות והימור, מה שהופך אותם למטרה נצחית של ההאקרים. באגים בחוזים חכמים הם הגורם העיקרי לניצול.

הלוואות פלאש – תוקפים משתמשים בהלוואות פלאש מסיביות כדי לנפח את הזנת המחיר עבור מטבע סטבליק ספציפי ולהכפיל את אחזקותיהם בתהליך. עם זאת, איננו יכולים לבטל הלוואות פלאש מכיוון שהן מקלות על כמה תכונות DeFi שימושיות ביותר כמו ארביטראז', החלפת בטחונות, חיסול עצמי ועוד רבים אחרים.

למה התקפות הלוואות פלאש הן השחור החדש 🔥🔥?

כסף על כלום 💸. זה מה שהלוואות פלאש נקראות ב- #DeFi מֶרחָב. אבל בעבר הלא רחוק, פלטפורמות שונות של DeFi נסגרו מעל מיליונים באמצעות התקפות 'הלוואה פלאש' ⚠️

[1 / 3]#Blockchain pic.twitter.com/7SvGr2SMgL

— QuillAudits (@QuillAudits) 31 ביולי 2021

מניפולציה של אורקל - רשתות מבוזרות יכולות לגשת לנתונים חיצוניים רק דרך אורקל. תפקידה של אורקל הוא חיוני לקבלת נתונים מאובטחים ואמינים. האקרים ינסו לתמרן אורקל כדי להשפיע על דברים לטובתם. כמו הלוואות פלאש, אתה לא יכול לבטל את אורקל, אבל מה שאתה יכול לעשות זה לשלב את הפרוטוקול שלך עם אורקל מבוזר, שבדרך כלל אמין יותר.

חייב לקרוא - מה לא לשכוח בעת ביקורת חוזים חכמים ב-DeFi

דרכים אפשריות לתקוף חוזים חכמים

יכול היה להיות כמה סיבות עבור באגים ופגיעויות בחוזים חכמים. אלה כוללים כניסה מחדש, ריצה קדמית, נתונים פרטיים בשרשרת לא מוצפנים, קוד לא רלוונטי, שיחת הודעה עם כמות גז מקודדת, התנגשויות גיבוב עם ארגומנטים מרובים של אורך משתנים, איזון אתר בלתי צפוי, נוכחות של משתנים שאינם בשימוש, שגיאת דפוס, DoS עם חסימה מגבלת גז, קפיצה שרירותית עם משתנה סוג פונקציה, צער גז לא מספיק, סדר ירושה שגוי, הפרת דרישה, היעדר אימות חתימה נאות, מקורות חלשים של אקראיות מתכונות שרשרת, ניתנות לחתימה, DoS עם קריאה כושלת, שימוש בפונקציות שהוצאו משימוש, אתר לא מוגן נסיגה, ועוד רבים. המפתחים צריכים להיות מודעים לכל המקרים הללו ולתיאורי הקוד שלהם.

ביקורת על חוזה חכם

חוזה חכם דורש ביקורת יסודית לפני הפריסה. כל התגליות מוסברות בדוח הסופי יחד עם ההמלצות. רמות אבטחת חוזים חכמים נמדדות בהתאם לסט של מפרטים כמו קריטי, גבוה, בינוני, נמוך ונמוך ביותר.

ביקורת נכונה כרוכה גם בבדיקות אוטומטיות וגם בבדיקות ידניות. ביקורת אוטומטית פורסת תוכנה שקובעת את החלק האחראי לכל ביצוע ובוחנת היכן עלול להתרחש הבאג האפשרי. ניתוח ידני כולל צוות של מפתחים ותיקים הבוחנים כל שורת קוד. הם עשויים לבדוק מול רשימה של פגיעויות סטנדרטיות או לערוך בדיקה חקרנית על סמך הניסיון שלהם.

גלישה את

חוזים חכמים הם המנוע מאחורי DeFi. כדי להגן על פרויקט DeFi מפני נקודות תורפה, ביצוע בדיקה יסודית של החוזה הכרחי. ביקורת אוטומטית כמו גם ידנית צריכה להתבצע במקביל כדי שהביקורת תהיה יסודית ומדויקת ככל האפשר. 

פנה ל- QuillAudits

QuillAudits היא פלטפורמת ביקורת חוזה מאובטחת שתוכננה על ידי QuillHash
טכנולוגיות.
זוהי פלטפורמת ביקורת שמנתחת ומאמתת חוזים חכמים כדי לבדוק אם יש פגיעויות אבטחה באמצעות יעילות מדריך ל סקירה עם סטטי ו דינמי כלי ניתוח, מנתחי גז כמו גם סימולטורים. יתר על כן, תהליך הביקורת כולל גם נרחב בדיקת יחידות כמו גם ניתוח מבני.
אנו מנהלים שניהם חוזה חכם ביקורת ו חֲדִירָה בדיקות כדי למצוא פוטנציאל
פגיעויות אבטחה שעלולות לפגוע בפלטפורמה שלמות.

אם אתה צריך כאלה סיוע בחוזים החכמים בדיקה, תרגיש חופשי ל להושיט יד למומחים שלנו כאן!

כדי להיות עד תאריך עם העבודה שלנו, הצטרף שלנו הקהילה:-

טויטר | לינקדין | פייסבוק | מברק 

מקור: https://blog.quillhash.com/2021/10/06/what-makes-defi-smart-contract-auditing-so-pivotal/