この 3 年は、仮想通貨にとってかなり暗い時期でした。 Luna の壊滅的な崩壊、XNUMX Arrows Capital の退廃、BlockFi、Celsius、Voyager、VAULD などの倒産と倒産、そして仮想通貨の冬のどん底に突き落とされたマクロ経済状況を見てきただけでなく、また、今年はブロックチェーンと DeFi のハッキングとエクスプロイトにとって歴史的に悲惨な年でもあり、その結果、人々はサメが出没する水域から逃げる水泳選手よりも速く DeFi から逃げ出しました。
今、あなたはおそらく自分自身に考えているでしょう、 「うわー、憂鬱なイントロをありがとう。 クリプトは地雷原のように聞こえます!」
間違いではありませんが、仮想通貨には確かにかなりのリスクがあります。 しかし、このすべての破滅と暗がりに仮想通貨を永遠に捨ててベッドの下に隠れたくなる前に、心配しないでください。ブロックチェーンのセキュリティ監査について知る必要があります。
プロジェクトの監査レポートを確認することは、次善の DeFi プラットフォームから身を守るための最善の方法の XNUMX つです。 シャッターストック経由の画像
これは暗号のすべてのリスクから保護するのに役立つわけではありませんが、命の節約を次の memecoin に「YOLO」することを決定した人を保護することはできません。この記事の情報は、少なくとも矢筒にもう XNUMX つの矢を装備するのに役立ちます。 DeFiスペースの全体的な安全なナビゲーションを大幅に強化するために展開できます。
早い段階で不安を和らげるために、この記事が技術的すぎることを心配しないでください。 この役立つガイドは非常に理解しやすく、仮想通貨業界全体を「あのビットコイン関連」と呼んでいる私の父でさえも理解できるでしょう。
この画像は、私の父が仮想通貨をどのように見ているかをかなり要約しています。 画像経由 blockchainmuffin.com
そして、私はブロックチェーン開発のスキルに精通しているので、この記事のために専門家の助けとインサイダーのアドバイスを得ることにしました. 私は友達に連絡を取りました アキーブロックチェーン 自分自身、そして平均的なジョーに、これらのブロックチェーン監査が一体何なのかを教えるためです。
ブロックチェーン監査の基礎を教えることで私たちと私たちのコミュニティを支援するために時間を割き、この記事で私たちと協力してくれた Ackee チームに大いに感謝したいと思います。 ブロックチェーンと DeFi の監査レポートは、仮想通貨の非常に重要な側面であり、実際に理解している人はほとんどいません。
Ackee ブロックチェーンのホームページを見てください。
DApp または DeFi プロトコルの安全性とセキュリティを判断するためにデューデリジェンスを行うとき、私たちの多くは、プラットフォームが監査されていることを示す何かを探し、「大丈夫、十分だ」と思うかもしれません。 過去に罪を犯したことは知っていますが、実際に監査を受けたとはどういう意味ですか? どうすればこれを確認できますか? また、この記事で説明するように、何かが監査されたからといって、それが自動的に承認されるわけではありません。
まず、ブロックチェーン監査会社が実際に行っていることを見てみましょう。
ページの内容👉
ブロックチェーン監査会社は何をしますか?
「監査」という言葉を聞くと、私たちの多くは、政府のために働くスーツを着た息苦しそうな老人を自動的に想像します. 従来の金融業界では、あなたは正しいでしょうが、ブロックチェーン監査人はそれから遠く離れることはできません.
ブロックチェーン監査人は、どう考えても会計士ではありません。彼らは、ブロックチェーン プロジェクト、スマート コントラクト、または暗号トークンのソース コードでバグ、エラー、および悪意のあるコードを探す、コーディングおよび開発者のスキルの専門家です。
ブロックチェーン監査会社が提供するサービスの一部。 アキーブロックチェーン経由の画像
さまざまな監査会社がさまざまな分野に特化している場合もあります。そのため、複数の会社によって監査されたプラットフォームを見るのは常に良いことです. 監査を実施するたびにリスクが軽減され、一方の企業が他方の企業が見落としていたことを発見する可能性があります。
1inch はその好例です。 1inch は、複数の異なる企業によって監査された DEX アグリゲーターであり、プラットフォームに対するユーザーの信頼を高め、1inch チームがコミュニティの安全を確保することに強いコミットメントを持っていることを強調しています。
1inch DeFiアプリケーションで実施された複数の監査を見てください。 画像経由 github/1inch-audits 。
ブロックチェーン監査会社には、次のようなタスクを実行できるエンジニアのチームがあります。
- セキュリティー監査
- ツール分析
- 手動コードレビュー
- 自動テストの実行と作成
- バグ報奨金コンテストの実施
Ackee Blockchain のような他の監査会社も、より多くの「フルサービス」要件を満たし、次のような追加分野で支援できます。
- Solidity または Rust で安全なスマート コントラクトを作成する
- 完全なエコシステムの構築を支援し、UX、デザイン、フロントエンド、バックエンド、DevOps を処理する
また、Ackee Blockchain はブロックチェーン業界全体にも貢献しており、これは素晴らしいことです。 彼らは、誰もが使用できるオープンソースのセキュリティ ツールを開発しており、意欲的なブロックチェーン開発者に教育と機会を提供することに情熱を注いでいます。 過去には、ブロックチェーンで働きたい開発者向けのオンライン コースを主催し、Solana Foundation から助成金を受けて、 ソラナのサマースクール.
Ackee Blockchain が提供するコースの一部。
チームは Solidity を教えるサマースクールをオンラインで提供し、2022 年の秋には、Ackee Blockchain の CEO で共同創設者の Josef Gattermayer 博士がでブロックチェーン開発に関するトピックを教えます プラハのチェコ工科大学. Ackee チームに連絡する価値は間違いなくあります。 コースの登録 ブロックチェーンの開発とセキュリティの将来に興味がある場合は、彼らのサイトをフォローしてください。
お分かりのように、ブロックチェーンの監査は、暗い部屋でコードを精査するだけでなく、ニッチ内にカプセル化されたエコシステム全体があります。
ブロックチェーン監査が重要な理由
人間が完璧であれば、コードのすべての行が完璧に書かれ、エクスプロイト、障害、および攻撃に対して完全に影響を受けないため、ブロックチェーン監査会社は必要ありません.
人間が間違いを犯すよりもさらに悪いのは、人間が腐敗し、悪意を持っている可能性があることです。 かなり頻繁に発生するのは、悪意のある人物が意図的に悪意のあるコードをプロトコルに入力し、ユーザーの資金を盗むために作成したプラットフォームを悪用できるようにすることです。
人的ミスと悪意の間で、スマート コントラクトとブロックチェーン アプリケーション/DApps は、次のリスクの影響を受けやすくなります。
- プロトコルを使用不能にするサービス拒否攻撃。
- 創設者が悪意のあるコードを入力して、スマート コントラクトに入れられた資金を引き出すことを可能にするラグ プル/裏口の盗難。
- 意図した方法以外で新しいトークンを作成したり、スマート コントラクトから顧客の資金を流出させたりするなど、ハッカーに利益をもたらし、ユーザーに損害を与える方法でコードを悪用する。
- 一部のハッカーは単に「世界が燃え尽きるのを見たい」と思っており、見つけた欠陥を悪用してプラットフォームに損害を与えます。
多くの DeFi ユーザーは、DeFi プラットフォームで探すべき最も重要なことの XNUMX つは、コードがオープンソースであるかどうかだと考えています。 これは、多くのプロジェクトが Github のような公開サイトにコードを公開するため、誰でもアクセスして自分でコードをチェック/検証できるため、優れた最初のステップです。
プロジェクトの GitHub ページを見ると、これは DApp の使用を検討しているユーザーが探すものの 1 つです。例として XNUMX インチを再び使用します。
「公開」とは、誰でもアクセスしてコードを見ることができることを意味します。 画像経由 github/1インチ
これは、プロトコルの信頼性を検証する際の最初のアプローチとして適しています。これは、コミュニティ メンバーまたは誰でもアクセスして、そこに悪意のあるコードが隠されていないことを検証できる場所だからです。
また、誰でも GitHub に何でも投稿できることを知っておくと役に立ちます。 GitHub に投稿されたコードは、それがスマート コントラクトを実行している同じコードであることを自動的に確認しません。 幸いなことに、ユーザーは Etherscan などのブロック エクスプローラーにアクセスして、GitHub のコードが実際にデプロイされ、使用されていることを確認することで、これを確認できます。 こちらが Etherscan の 1inch トークン、 例えば。 私はオープンソースを GitHub に公開することは良い兆候だという意見に同意する傾向がありますが、GitHub をクリックして確認すると、次のようなものしか表示されません。
は? 私にとってエジプトのヒエログリフでもありますように。 GitHub経由の画像
だから、これを理解しようとして暑い歩道で頭が卵のように揚げる代わりに、ブロックチェーン監査会社の専門家チームがこれらすべてを精査し、親指を立てているのを見るのが好きです.
100 つ明確にすることが重要です。それは、プロトコルが監査されたからといって、それが XNUMX% 安全であることを意味するわけではないということです。 ハッカーのツールとスキルは常に洗練されているため、ハッキングの試みに対して完全に無敵であると見なされるコードはありません。 ホワイトハット (善良な) ハッカーとブロックチェーン開発者が常に改善し、進化しているように、悪者も同様です。
いたちごっこのようなものだと考えることができます。コードを書くことは本質的に、創造的なパズルを構築して問題を解決するようなものです。ハッカーは、ますます巧妙で洗練された方法でパズルを解決または攻撃する方法を探しています。常にリスクの要素であり続けます。
2022 年が暗号のエクスプロイトにとって特に悪かった理由
このような見出しを見ると:
過去 XNUMX 年間、ハッキングにより記録的な数の資金が失われました。 画像経由 TechCrunchの
それはかなり悲痛なことです。 暗号通貨業界は、毎週別の大規模なハッキングやエクスプロイトが発生し、数百万ドルの資金が失われているように見えるため、深刻な問題を抱えています。
これらは平均的な人々がお金を失っているので悲しいだけでなく、これらの攻撃が暗号業界全体をますます厳しい批判にさらし、採用を遅らせ、投資家を遠ざけ、政府に権威を高めるために必要な言い訳を提供しているため、心配しています。投資家を「保護」するための管理、しばしば厳格な措置を課し、私たちの多くが仮想通貨に逃避するようになりました。
この主な理由は、ずさんな開発者エンジニアリングに帰着します。
Ackee の Josef と話をしたとき、記録的な数のエクスプロイトが存在する理由について彼の見解を尋ねたところ、彼の説明は理にかなっています。
かなり言い換えて、ジョセフは続けて、仮想通貨業界は急速に成長しており、チームが製品を発売するための激しい競争があると説明しました. 需要を満たすことができる熟練した経験豊富なブロックチェーン開発者が不足しているため、多くのプロジェクトが初心者の開発者を雇い、「十分に良い」という態度を取り、適切なチェックと監査が行われずに DApps を立ち上げています。
ジョセフ・ガッターマイヤーと一緒に座って、ブロックチェーンのセキュリティに関するすべてについて話し合うことができて光栄でした。 画像経由 アクキー.デ
ジョセフは、ブロックチェーン監査サービスの必要性が急増しており、プロジェクトからの需要を満たすのに十分なブロックチェーン監査会社がないことを説明しました. このため、プロジェクト チームは、監査チームが利用可能になるのを待ちたくないため、監査なしで、または対象外の古い監査に依存して、先に進んでアップグレードを開始またはリリースしています。プラットフォームの新しいバージョンまたは反復。
このテーマは特に 2021 年の強気相場で見られましたが、現在弱気相場にあるため、状況ははるかに緩和されています。 プロジェクトの立ち上げを急いでいるわけではなく、監査のボトルネックになっているプロジェクトも少なくなっています。 弱気相場が構築の時期であることは事実であり、チームは相場が遅い時期により勤勉なアプローチをとる傾向があります。
何がダウンしたかを正確に調査するために、たまたま成功した XNUMX つの特定の攻撃を調べて、これらすべてを概観するのに役立てました。
2016 年の Ethereum DAO ハック
悪名高い Ethereum DAO ハック。 画像経由 ワイヤード
本質的に、ここで起こったことは再入バグとして知られるものでした。 簡単に言うと、コードは次の XNUMX つの命令を実行します。
- 撤退する
- 残高の更新
時系列で実行すると、正常に機能します。 しかし、イーサリアムは分散システムであるため (web2 プログラムとは異なり)、別のコントラクトからコントラクトを呼び出すことができます。これにより、withdraw 命令から呼び出されるカスタム コールバック関数を実装するオプションが提供されます。
そして、ハッカーによって実装されたこのコールバック関数は、残高更新命令が最終的に実行される前に、コントラクトを何度も呼び出します。 これにより、攻撃者は何度も撤退することができます。
これは、初心者の web3 開発者がよく犯す間違いです。 この攻撃から 5 年経った今でも、開発者がこの事例から学ぶことに時間を割いていないために、問題が発生しています。 この場合の解決策は非常に単純で、XNUMX 行のコードを逆の順序で配置するだけです。 最初に更新し、次に撤回します。
監査人は、プロトコルを監査するときに、このような既知の問題を探します。
ソラナ ワームホール アタック 2022
Solana ワームホール ハック。 画像経由 CNBC
2022 年は、XNUMX 月初旬に Solana で最初の大規模な攻撃が発生したため、良いスタートを切ることができませんでした。 攻撃者は Rust プログラムの署名検証をバイパスしたため、ガーディアンは Solana の Wormhole への 120 ETH のデポジットをサインオフしたように見えましたが、そうではありませんでした。 その後、攻撃者は鋳造した Solana で 120 相当のラップされた ETH。
このワームホール攻撃の前に、仮想通貨コミュニティの多くは、Solana と Rust の開発はアマチュア開発者を惹きつけるには習得が難しすぎると考えていました。 これは、最高の開発者だけが Solana に取り組んだという信念につながりました。つまり、監査の必要性はそれほど強くありませんでした。 この攻撃の後、Josef は、彼と彼のチームが Solana DApps とプロトコルの監査要求を大幅に増加させたと述べました。
結局のところ、人間がエラーと有害な意図の源である場合、間違いを犯す可能性が低く、悪意を持たないコンピューターと人工知能マシンにこのコードをすべて記述させるだけでは意味がないのではないかと考えているかもしれません。私たちのために?
人工知能がすぐに開発者に取って代わる可能性は低い. 画像経由 STXnext.com
それは素晴らしい質問です。上記のような記事のおかげで、これは私の頭をよぎったことでもあります。 これについては、次のセクションで説明します。
ブロックチェーン セキュリティの未来
私たちの仕事の多くが、人間よりもはるかに優れた人間の仕事を行うことができるコンピューターや AI プログラムにアウトソーシングされる未来に向かっていることは明らかです。
これは、人間よりも多くのロボットを使用する自動レジや自動車製造工場ですでに見られます。 コンピューターは、医師や薬剤師などの高度に専門化された仕事に取って代わりつつあります。ロボットはメスを使ってより正確に処理でき、コンピューター プログラムは医薬品のデータベース全体を精査し、他の化学物質と混合できる医薬品と混合できない医薬品に関するレポートを数秒以内に作成できます。人間には不可能な仕事。
プログラミングと開発は、コンピューターに取って代わられる最初の仕事の XNUMX つになるだろうと確信していました。 特定のタスクを完了する方法で構築された画面上のすべての文字と数字である場合、間違いなく、コンピューターは人間よりも優れたエラーでそれを行うことができますよね?
ええ、私はこのようなものを想像していました: Shutterstock経由の画像
ブロックチェーン監査会社はドードー鳥 (絶滅) の道を行くだろうと思っていました。コンピューターが自律的に発展し始めると、エラーを見つける必要がなくなるからです。 これは、私が理解していなかったいくつかの概念を Ackee チームが説明してくれたので、私が開発についてほとんど知らなかったことを浮き彫りにしました。
ブロックチェーン開発の大部分は、問題を解決し、問題を 360 度見渡すことです。 コンピュータには不可能なことを考えるには、多大な創造性と「既成概念にとらわれない」考え方が必要です。 「『X』が起こったら『Y』を実行する」という単純なものではありません。
また、これらの DApps とアプリケーションの多くが「人間」の問題を解決しようとしており、システム、プロトコル、および手順とどのようにやり取りするかを考慮する必要があります。 申し訳ありませんが、小さなバターボットですが、あなたは人間の問題を理解し、人間的な解決策を提供することに向いていません。
ロボットはより一次元的なタスクに固執するように見えます…今のところ. memegenerator.net 経由で生成されたミーム
ブロックチェーン開発とセキュリティの仕事が急増しているだけでなく、今後数年間、これらの役割が必要になるようです.
ただし、web3 開発スペースで自動化がまったく行われていないと言っているわけではありません。 開発者向けの無料ツールがたくさんあり、セキュリティ フィードバックを提供し、開発者が他のタスクに集中できるように作業の一部をオフロードするのに役立ちます。
たとえば、イーサリアムには、次の名前の優れた静的コード アナライザーがあります。 ずるずる滑る これは非常に人気があり、Ackee Blockchain は独自のオープンソースの静的アナライザーに取り組んでいます。 目が覚めた、Slither とは異なる方法で物事を検出し、コードを手動で分析する負担を軽減します。
Ackee チームは、テストの問題に関する Solana の傾向も明らかにしました。 多くのボイラープレート コードを記述する必要があり、非常に労力がかかるため、開発者はそれらを十分に記述していませんでした。 そのため、Ackee Blockchain はプロジェクトの先頭に立ち、Solana 用のオープンソース テスト フレームワークを作成しました。 トルデルニーク これにより、開発者はテストをより簡単に記述できるようになります。 チームは特別賞を受賞し、マリネード賞を受賞しました。 hackathon Trdelnikのためにプラハで。
これらすべては、自動化とコンピューターがブロックチェーン開発者とセキュリティ監査人を支援する上でますます重要な役割を果たす可能性が高いことを示していますが、すぐにそれらに取って代わる可能性は低い.
ブロックチェーン開発者の間の一般的な感情は、これらのハッキングやエクスプロイトの多くは、この業界がまだ若く経験の浅い業界であることの結果であるというものです. ブロックチェーン業界が進化と成熟を続けるにつれて、エクスプロイトはますます少なくなり、その結果、暗号空間全体がより安全でユーザーフレンドリーになるはずです.
よし、では、この記事の主な要点である良い点に取り掛かりましょう。
プラットフォームが監査済みであることを確認する方法
最初のステップは、実際に監査が存在することを確認することです。 これらはプロジェクトの GitHub リポジトリで見つけることができ、実施された監査はプロジェクトのドキュメントまたはプラットフォームの Web サイト自体に明確に記載されている必要があります。 監査に関する言及が見つからない場合は、近づかないようにします。
公開されている監査がないことは、次のことを意味する可能性があります。
- 監査は実施されていません
- プロジェクトが知られたくないという失敗した監査がありました
- 監査により、チームが対処しなかった問題が発見されました
- コードには、盗難につながる可能性のある悪意のあるバックドア ルートが含まれています
前述のように、コードが GitHub で「パブリック」とラベル付けされてオープンソースになっているのもうれしいことです。 これは必須ではありませんが、それでもボーナスです。 ただし、コードをオープンソース化しないのには理由があるため、それが必ずしも取引を妨げるものではありません。 コードをオープンソース化しない理由としては、次のようなものがあります。
- 競争上の優位性を維持したい企業。 企業がコードをオープンソース化するとすぐに、誰もが同じプロトコルを作成して競争できるようになります。 これが、コカ・コーラがレシピを秘密にし、KFC が「11 のハーブとスパイスを極秘に」持っていることで有名な理由です。
- コードが公開されると、ハッカーはその情報を使用してエクスプロイトを探すことができます。 良い習慣はその逆ですが、プロジェクトがそのコードに自信を持っている場合、プロジェクトはそれを公開します。
- 初期のプロジェクトは、大規模なコミュニティと十分な数のユーザーを構築するまで、すぐにコードをオープンソース化することを望まない場合があり、潜在的な競合他社に対するハードルが作成されます。
私は最近、プラットフォームをオープンソース化したことをすぐに後悔したプロジェクト チームに会いました。競合企業がコードとビジネス モデルをコピーしただけで、インフルエンサーとフォロワーに支払う資金が増えたためです。 これにより、競合会社は、より多くのユーザーとより多くのフォロワーの印象を与えたため、開始直後からより優れたプラットフォームであることがわかりました. 競合する企業は、より有機的かつ倫理的に成長することを選択した元の創業チームよりもはるかに優れています.
これがからの素晴らしいビジュアルです ブリッジグローバル これは、オープンソース ソフトウェアとクローズド ソース ソフトウェアの一般的な違いのいくつかをまとめたものです。
を介して画像 ブリッジグローバル
人気のあるハードウェア ウォレットを比較することで、オープン ソース コードとクローズ ソース コードの XNUMX つの興味深いアプローチを見つけることができます。 セーフティー および 元帳. Trezor はソース コードの 100% を公開して誰もが確認できるようにすることを選択しましたが、Ledger はカードを胸に近づけて一部のコードをオープンソース化することを選択しましたが、ファームウェアはクローズド ソースのままにしました。
これにより、多くのブロックチェーン エリートが Ledger よりも Trezor を選択するようになりました。Ledger は自分たちのコードをオープンソース化する必要があると感じ、何を隠そうとしているのだろうと考えたからです。 Ledgerはその実績とスペースへの献身を証明しており、世界最大のハードウェアウォレットプロバイダーのXNUMXつに成長し、最高級の安全な暗号ストレージを作成しているため、私は個人的にこれを懸念の原因とは考えていませんデバイス。
監査が実施され、その場所が特定されると、それが公開されている限り、誰でも文書を開いて監査結果を見つけることができます。 単純な目的のために、監査ドキュメント全体をスクロールする代わりに、探す必要があるのは「エグゼクティブ サマリー」ページだけです。通常、このページは次のようになります。
IDEXの監査結果。 画像経由 証明書.quantstamp
このページは、レポートの最初または最後に配置されます。 監査結果を一般の方にもわかるようにわかりやすくまとめたページです。 これが私たちに示している情報を掘り下げてみましょう。
監査は最近ですか? 監査は継続的なサービスである必要があり、すべての更新、バージョン、または導入された新しい機能/機能に対して行われている新しい監査が確実に存在する必要があります。 新しい機能またはバージョンがリリースされた場合、コードベースが変更されている可能性があるため、以前の監査結果は無効になります。
これは、プロジェクトのバージョンやコミット ハッシュを調べることで確認できます。 バージョンはあなたが見るときのようなものです Uniswap 「V2」 (バージョン 2) であり、コミット ハッシュはソース コード リポジトリ内のリビジョンを識別します。 監査に表示されたバージョンまたはコミット ハッシュ (上の表の「リポジトリ」という見出しが付いた画像に表示されている) を見ると、ユーザーはそれが GitHub に表示されているバージョンまたはコミット ハッシュと一致することを確認できます。
これは次のようになります。
これは、Ackee Blockchain Audits の XNUMX つからの別の外観です。
ただし、コミット ハッシュが一致しない場合でも、必ずしも危険信号があるとは限りません。 プロジェクトの GitHub のコミット ハッシュは、新しい調整または反復が行われるたびに変更されます。 すべての調整はコミット ハッシュを変更するため、わずかな調整があった場合は心配する必要はありません。
メインの GitHub ページに監査からのコミット ハッシュが表示されない場合は、「コミット履歴」に移動してコミット ハッシュを検索し、監査が実施されてからどれだけ変更されたかを自分で確認できます。
これは、ここをクリックして行うことができます。
次に、ここで検索を行います。
変更ごとに新しいコミット ハッシュが作成され、それぞれに日付とタイム スタンプが付いているため、監査が実施されてからプロジェクトの現在のコミット ハッシュまでの間にかなりの数の新しいコミットがあった場合は、関与する前に、別の監査が実施されるまで待つことを検討したい。
分析力があり、さらに深く掘り下げたい場合は、それぞれの新しいコミット ハッシュをクリックし、赤で示されている古いコードと緑で示されている新しいコードを比較して、正確に何が変更されたかを自分で確認できます。
監査が実施されたときとは異なる新しいコミット ハッシュに気付き、次のように表示された場合:
これは私が言及した重要でない変更の 0 つであり、新しいコミット ハッシュが追加されましたが、これは単純なファイルの名前変更であるため、気にする必要はありません。 上記の GitHub 画像は、0 件の追加と XNUMX 件の削除を示しています。
次に、エグゼクティブ サマリーで次の点を確認します。
問題 - エグゼクティブ サマリーには、監査中に発見されたすべての問題が表示され、さらに重要なこととして、チームが問題を解決したかどうかが表示されます。 このセクションは、「Total Issues」を示す下部近くに表示され、重大度と解決済みかどうかに分類されます。 監査会社は、まず問題を特定し、開発チームにフラグを立て、開発者が問題に対処したら、監査チームが問題を「解決済み」としてマークする前に、コードを再度チェックします。
明らかに、「重大」または「高リスク」とマークされている問題は解決する必要があります。 重大またはリスクの高い問題がすべて解決されたことが報告書に示されていても、プロジェクトについて懐疑的な見方をする必要があります。 監査チームが最初に多数の重大な問題を発見した場合は、プロジェクトの背後にいる開発者チームが非常に初心者である可能性があり、今後さらに問題が発生する可能性があります。
中リスクまたは低リスクの問題は一般的であり、通常は心配する必要はありません。 監査チームは、単に代替案を提案している場合や、何かにアプローチする方法について意見の相違がある場合、その問題を低リスクの問題としてマークすることさえあります。
各カテゴリの意味をまとめると、次のようになります。
クリティカル – 重大としてマークされているものは、何かが現在悪用可能であることを意味します。
Ackee Blockchain のチームは、彼らが実施していた監査で、すでに開始されたプロトコルに重大な問題が見つかったという話を私に教えてくれました。 彼らは、プロジェクトの開発チームを午前 5 時に起床させ、コードをできるだけ早く修復するために「全員参加」の緊急事態に陥らせました。 幸いなことに、ハッカーが脆弱性を特定する前に問題を発見しました。
重大度が高い – 現在は悪用できない問題ですが、特定のシーケンスが満たされた場合に発生する可能性があります。
中~低 – これらは多くの場合、必要な微調整または推奨事項であり、必ずしもセキュリティ上の脅威ではありません。
さまざまな監査会社が、さまざまな形式でエグゼクティブ サマリーを作成します。 上記のエグゼクティブサマリーは監査法人によって作成されました クオンツスタンプ。 Ackee Blockchain は、監査と、最初の結果とフォローアップの結果を読みやすいエッセイ形式で組み合わせた Web 要約を含む PDF を提供します。 その例は彼らの 監査概要。
その他の注意事項:
- 監査は複数の会社によって完了されましたか? 問題を探す目が多ければ多いほど、コードに欠陥が存在する可能性は低くなります。
- ブロックチェーン監査会社はプロフェッショナルであり、コミュニティで尊敬されていますか? 監査会社について聞いたことがない場合は、その会社の Web サイトを見て、彼らが取り組んだ他のプロジェクトを探してください。 彼らが監査したプラットフォームのいずれかが評判が良いですか? 会社が監査を実施した後に、いずれかのプラットフォームが悪用されていないかどうかを確認してください。 優勝したハッカソンやレイヤー 1 ネットワーク財団からのサポート/助成金などを探してください。
この好例が Ackee Blockchain で、Coinbase Giving、Ethereum Foundation、Solana Foundation、および Tezos Foundation の XNUMX つの主要な財団によって公式の開発/コミュニティ助成金が割り当てられています。
監査会社と協力している評判の良い財団を探してください。 アキーブロックチェーン経由の画像
この誤った情報の時代に当然のことながら信頼を失っている人であれば、Ackee Blockchain の Web サイトから取得した上の画像のような主張を目にした場合、彼らの言葉を信じるのではなく、いつでも財団の Web サイトに移動できます。言及し、自分で主張を確認してください。
私がこれを言う理由は、何年にもわたってレビューを書いてきた中で、「Forbes や Yahoo Finance で取り上げられた」と主張する Web サイトの数が圧倒的に多いからです。 そのような嘘や誤解を招くような発言をした企業をインターネット刑務所に連れて行くことができる何らかの形のインターネット警察があればいいのにと思います. そのため、仮想通貨には「信頼するな、検証せよ」という言葉があります。 心配しないでください。Ackee はチェックアウトし、実際に上記の財団によって信頼されています。私はチェックしました 😉
閉じた思考
さて、それがあります。 ブロックチェーン セキュリティに関するいくつかの情報がお役に立てば幸いです。 この記事が、暗号の世界への冒険にもう XNUMX 層の鎧を着て、以前よりも安全に暗号の海を航行できる自信を深めるのに役立つことを願っています。 次回、自分の暗号資産で信頼する DApps とプロトコルを選択するときに、この情報を確認することに熱心であることはわかっています。
「仮想通貨では、どれだけ稼いだかではなく、どれだけ保持しているかが重要です」ということわざにあるように、残念なことに、私たち古い無愛想な仮想通貨のベテランの多くは、無数のハッキングで公正な分け前以上のサトシを失いました。詐欺、ラグプル、倒産など。私たちが知識を持てば持つほど、この新しい新進気味の暗号の世界に存在する多くの厳しいリスクから身を守ることができます.
免責事項:これらは作家の意見であり、投資アドバイスと見なされるべきではありません。 読者は自分で調査する必要があります。
