読み取り時間: 6 分
Solanaは、スケーラビリティが高いため、最も急速に成長しているブロックチェーンネットワークであると主張しています。 履歴のコンセンサスに基づいて運用されていることが、710,000秒あたり最大XNUMXトランザクションの処理におけるスケーラビリティが向上しているすべての理由です。
ソラナの絶大な人気にもかかわらず、そのスマートコントラクトのセキュリティは徹底的にテストされていません。 また、テストは、パートナーに約束されたブランド価値を提供し、プロジェクトに対する投資家の信頼性を高める上で非常に重要です。
この記事では、Solanaコーディングの欠陥の可能性と、監査がそれらの特定と修正にどのように役立つかを明らかにします。
Solanaブロックチェーンのハックのさまざまなシナリオの説明
ワームホールハック
異なるブロックチェーン間のトークン化された交換を容易にするブロックチェーンブリッジであるワームホールは、ハッキングされた一連の暗号プロジェクトに参加します。 資金の総損失は約320億XNUMX万ドルで、暗号通貨分野での主要なマネーロンダリングイベントのXNUMXつです。
ハッキングの歴史
ご存知のように、ワームホールでは、異なるブロックチェーン間でアセットを転送できます。 しかし、問題は、それがどのように行われるのかということです。
各チェーン、つまりイーサリアムまたはソラナで作成されたトークンは、スマートコントラクトによって管理されます。 また、トークンを転送するために、トランザクションは保護者によって承認されます。保護者は、署名を確認することで、作成されたトークンが正しく生成されているかどうかを確認します。
ワームホール事件では、 _signatureを確認します ハッカーがトランザクションを検証するために偽のデータを使用して命令を作成する機能が悪用されます。
これにより、ハッカーは 署名セット Validator Action Approval(VAA)に必要な十分な数の署名が含まれています。 これにより、ハッカーは無許可のミントを開始するためのアクセス権を取得しました。
これにより、ハッカーは120,000億320万ドル相当のXNUMX万個のラップされたイーサリアムに手を置き、略奪することができました。
クレマファイナンスハック
Solanaブロックチェーンプロジェクトのリストにある流動性プロトコルであるCremaFinanceは、8.78万ドルを失うハッキングに苦しみました。
ハックの歴史
ハッカーはスマートコントラクトを展開して、ソラナにフラッシュローンを取り、クレマに流動性を追加しました。 その後、価格データが操作され、ハッカーが莫大な料金を所有しているように見せることができました。 - すべて偽のデータが含まれています。
クレマチームは、ハッカーがソラナからイーサリアムに交換した資金の流れを追跡しました。 チームはすぐにハッカーに、賞金を受け取って盗んだ資金を返還するよう警告しました。
そしてすぐに、ハッカーはホワイトハットの報奨金として1.6万ドルを保持している資金を返しました。
カシオハック
ソラナのネイティブのアルゴリズムに裏打ちされたステーブルコインであるCashio(CASH)は、無限のミントエラーのためになんと52.8万ドルを失いました。 これに続いて、コインの価値は1ドルから0.00005ドルになり、DeFiエコシステムがクラッシュしました。
ハックの歴史
Cashioのコードベースを悪用して、ハッカーは最初にXNUMX億のCASHトークンを作成しました。 コードの何が問題になっていますか?
Infinite Mint Glitch —プロトコルのこのエラーにより、ユーザーは担保を配置せずに任意の数のトークンをミントすることができます。 その後、ユーザーはこれらのミントトークンを取引所で販売できます。これにより、コインの価格が急落します。
Cashioエクスプロイトでは、ハッカーはSabreUSDT-USDCLPトークンの52.8万のCASHトークンから燃えました。 次に、流動性ペアトークンがUSDCおよびUSDTトークンと交換され、XNUMX万ドルが流出します。
プロジェクトをハッキングや盗難から保護する方法は?
セキュリティは常に進行中ですが、開発者や監査人が採用した実証済みの手法により、ハッカーが簡単に攻撃を実行するのを防ぐことができます。
セキュリティ対策は、ガバナンス攻撃、価格オラクル操作、再入可能エラーなどを排除するのに効果的であることが証明されています。それでは、攻撃者が契約を悪用してマネーロンダリングするのを防ぐセキュリティ対策を見つけましょう。
契約のスマートコーディング: テスト済みのライブラリの使用、推奨されるプログラミング言語、ウォレットへの特別なセキュリティの実装、関数の明確な定義など、安全なコーディング手法を使用して契約を作成します。
ブロックチェーンセキュリティチェックリストをアクション化する: ハッキングからの保護を確実にするためにチェックすることができる多くのよく研究されたリソースが利用可能です。
セキュリティ監査ツールの使用: オープンソースのセキュリティスキャナーを使用して、契約の自動脆弱性チェックを実行し、契約の潜在的な欠陥を特定できます。
ただし、エラーの発見には効果がない場合がありますが、基本的なチェックには役立ちます。 さまざまな種類の監査ツールが、MythX、Echidna、Manticore、Oyente、SmartCheckなどのブロックチェーンおよびスマートコントラクトのバグを特定するのに役立ちます。
ペネトレーションテストと監査サービスを実施します。 大事なことを言い忘れましたが、スマートコントラクトの監査は決して過小評価されることはありません。 微細な抜け穴は、ハッカーが契約に侵入してクラッシュする方法を見つけるのに役立ちます。
セキュリティ監査と定期的な侵入テストは、プロジェクトを徹底的に分析し、ハッカーのわずかな可能性さえも排除します。 監査および侵入テストサービスがセキュリティを提供する上でより重要であることを知ったので、それがどのように行われるかを段階的に理解しましょう。
スマートコントラクトの保護における監査の役割
監査には、自動テストから手動レビューまでの一連のステップが含まれ、コーディングのすべての側面を幅広くカバーし、コードに存在する弱点をチェックします。 Solana監査プロセスでカバーされる仕様のいくつかは次のとおりです。
- 機能チェック
- 契約の凍結
- トークン供給操作
- ユーザーバランス操作
- 非常停止メカニズム
- 運用トライアルやイベント生成など
Solanaスマートコントラクトを監査するためにQuillAuditsが従う手順
ソラナのスマートコントラクトの監査は最大限の注意を払って行われ、十分に精巧な監査レポートには、監査からのすべての分析が含まれています。 ステップバイステップのワークフローを以下に示します。
ステップ1-詳細を収集する
プロジェクトのアイデアと意図された目的は、コードとその機能の完全な知識を理解して取得するために、クライアントから収集および調査されます。 議論が終わると、監査人はコードを凍結して監査プロセスの次のステップに進みます。
ステップ2-手動テスト
経験豊富な社内監査人が、コードの複雑さと脆弱性の懸念をチェックします。 これには、数学的エラー、論理的な問題などを探すことが含まれます。
ステップ3-機能テスト
このプロセスには、さまざまな条件下でのコントラクトのテストと、Solanaスマートコントラクトによってフェッチされたデータの検証が含まれます。 スマートコントラクトは、意図したアクションが正しく実行されることを確認するためにテストされます。
ステップ4-最新の攻撃ベクトルでテストする
最近の攻撃が調査され、スマートコントラクトでテストが実行され、攻撃に対する完全な耐性が提供されていることを確認します。 これには、相場操縦、LP価格設定、フロントランニングベクターなどの攻撃のチェックが含まれます。
ステップ5-自動ツールテスト
Soteria、cargo-Clippy、cargo-audit、Solanaスマートコントラクト監査用の専用ツールなどのツールが実装され、エラーを監視します。 また、次のような手法を実装します ファジング 現実世界の攻撃ベクトルを可能な限り明確にするためです。
ステップ6-初期監査レポート
最初の監査レポートは契約のバグを提示し、それを開発者チームに送信して解決します。
ステップ7-最終監査報告書
レポートは、開発チームによって行われた修正についてテストされ、最終的な監査レポートが提出されます。
最終的な考え、
の必要性の強調 ソラナスマートコントラクト監査サービス 考えられる欠陥や技術的な事故を解決してハッカーから保護することは、これから明らかになります。
そして言うまでもなく、 クイルオーディッツ 監査サービスを実施し、確実な結果を提供するための高度なツールと技術を備えた専門知識を持っています。 クリックするだけなので、他の場所を検索する必要はありません。
よくあるご質問
Solanaスマートコントラクトコーディング言語とは何ですか?
Solanaスマートコントラクトは、Solana固有のメカニズムを含むプログラムでRustプログラミング言語を使用して記述されています。
ソラナはイーサリアムよりも速いですか?
確かにそうです、ソラナは毎秒最大70,000トランザクションを処理でき、イーサリアムは30トランザクションしか処理できません。 また、ソラナのブロック時間は15秒、イーサリアムのブロック時間はXNUMX秒です。
Solanaスマートコントラクトが直面する主な課題は何ですか?
Solanaスマートコントラクトが直面する一般的な問題には、古い依存関係、冗長/繰り返しコード、Rustコードの初期化されていないメモリなどがあります。
Solanaスマートコントラクトをどのように監査しますか?
QuillAuditsは、Rustコーディングとは別にインポートされたスマートコントラクトとライブラリのコンポーネントの詳細な調査を実行します。 手動でコードレビューを行い、徹底的なスキャンを行って、ファジングを介したプログラムの入力を確認します。
スマートコントラクト監査の重要性は何ですか?
ブロックチェーンは、ハッカーを含む数十億人の注目を集めています。 つまり、潜在的な脆弱性を防ぎ、プロジェクトの信頼性を確保するには、監査が不可欠です。
156 ビュー
