ハッカーは、2022 年に分散型金融 (DeFi) プラットフォームからこれまで以上に多くの暗号通貨を盗みました。DeFi の旗手である DEX Uniswap で発行されたすべてのトークンのほぼ 98% が、ラグ プルとして識別されました。
最新のもの、デフロスト・ファイナンス、 来ました 仮想通貨投資家にとってクリスマスの悪夢として、12 万ドルの資金を一掃します。
DeFi プラットフォームでのハッキングのほとんどは、セキュリティ侵害とコードの悪用によって発生します。 最終的にラグプル詐欺となるプロジェクトには、深刻なセキュリティ問題があり、それが放置されていた、あるいは意図的に検出されなかった可能性があります。同様のリスクを防ぐために、DeFi セキュリティ監査は重要です。
ここでは、これらの監査、その実施方法、およびDeFi監査を自分で実行できるかどうかについて詳しく説明します。
DeFiセキュリティ監査とは何ですか?
DeFi プロジェクトは、複雑な自己実行型のスマート コントラクトとして実装され、多くの場合透明でオープンソースです。これらは二者間の法的合意として機能します。そして、中央集権的なエンティティが背後にいないため、スマート コントラクトの小さなバグでも取り返しのつかない結果につながる可能性があります。
これは、スマート コントラクトにエラーの余地がないことを意味します。 DeFi スマート コントラクトのセキュリティ監査は、それを確実にするためのものです。
セキュリティ監査では、スマート コントラクトのコードと、それが契約の条件をどのように根拠づけているかを検査します。詳細な分析により、コード内の潜在的なセキュリティ上の欠陥、違反、システム バグが検索されるため、コードが悪用されることはありません。
セキュリティ監査は通常、第三者によって実施され、プロジェクトのセキュリティと信頼性を確保し、健全な DeFi エコシステムを維持するために不可欠です。
詐欺師はどのようにしてスマートコントラクトを悪用して敷物を引っ張るのか?
ラグプルは単純なモデルで動作する出口詐欺の一種です。開発者は合法的に見える DeFi プロトコルを作成し、プロジェクトが十分な流動性を集めるまでそれを実行および宣伝し、その後資金を引き出して消滅します。
まあ、いつもではありません。時々、ラグプル詐欺師が流動性を盗んだとしてハッカーを非難し、次回までビジネスを続けることがあります。
攻撃を実装するために、詐欺師は悪意のあるコードをスマート コントラクトに埋め込みます。 彼らは、投資家が売却できないようにそれらを変更します。最大 (100%) の販売手数料を設定し、トークン所有者をブラックリストに載せ、ユーザーのお金を契約にロックします。
一部のスマート コントラクトには、開発者が流動性を引き出すことを可能にする悪意のある「バック ドア」が組み込まれています。
ほとんどの場合、変更されたスマート コントラクトはセキュリティ監査人によって検証されず、世間の目から隠されています。 ほとんどのオンチェーン契約は公開されているため、透明性の欠如 GitHubの 赤旗かもしれません。
DeFiスマートコントラクトが安全かどうかを確認する方法
ブロックチェーンとスマート コントラクト業界はまだ比較的歴史が浅く、スマート コントラクトの監査部門も同様です。 多くの企業がスマート コントラクト セキュリティ監査を専門とし、ツールを開発し、ノウハウを形成しています。
スマート コントラクト セキュリティの業界標準とベスト プラクティスは進化しています。 それにもかかわらず、いくつかのかなり標準的な監査方法がDeFi監査業界のプレーヤーによって使用されています.
通常、調査はスマート コントラクトの評価から始まります。 監査人は、DeFi プロトコルのホワイトペーパー、ビジネス ロジック、および技術仕様を分析して、潜在的なリスクとセキュリティ機能を推定します。
次に、スマート コントラクトのコードに注意を向けます。 ここからコードのレビューと分析が始まります。
監査人はコードを行ごとに検査し、さまざまなレベルの脆弱性を探します。流動性漏洩を引き起こす可能性のある重大な脆弱性。中レベル。スマート コントラクトに部分的に損傷を与える可能性があります。および、契約のセキュリティへの影響が最も少ない低レベルの問題。
自動分析や手動分析など、さまざまな監査手法を導入しています。 どちらにも長所と短所があります。
自動セキュリティ監査とは、既知の脆弱性のデータベースに対してバグを検索し、コード内のバグの正確な位置を特定する自動分析ソフトウェアを使用してコードをスキャンすることを意味します。
ソフトウェアベースの監査は通常、人間が見落とす可能性のあるエラーを検出するために、手動分析の前に実行されます。これは高速で時間もかかりませんが、同時にコンテキストを常に認識しているわけではないため、特定の脆弱性を見逃す可能性があります。
手動コード分析はスマート コントラクト監査において重要な要素であり、包括的で正確なスマート コード セキュリティ監査の最も重要な部分です。これは、コードを 1 行ずつ検査する少なくとも 2 人の別々の専門家によって実行されます。
目標は、プロジェクトの仕様のすべての詳細がスマート コントラクトに実装され、当初意図された動作に違反するものがないことを確認することです。
監査人は、意図しない予期しない動作、重大なセキュリティ問題、およびスマート コントラクトが他のコントラクトと対話する際に実装される可能性のある再入、データ操作、フラッシュ ローン、その他の操作などの脆弱性がないかコードを精査します。
それに加えて、手動監査ではシミュレーションを実行して、DeFi プロジェクトのスマート コントラクトが未確認の脅威にどれだけうまく対応できるか、またそれらの脅威に対してどの程度防御できるかを評価します。
手動コード分析の最終段階で、監査人はスマート コントラクトのロジックをプロジェクトのホワイトペーパーの説明と比較します。
すべての脆弱性が特定されて修正されると、監査人はダブルチェック プロセスを実行して、スマート コードが期待どおりに実行されることを確認します。
最後に、セキュリティ監査が完了すると、監査人は包括的なレポートを作成します。 これは、彼らが発見したことに関する詳細なフィードバックを提供する場所です。 通常、彼らのレポートには、検出されたコードの弱点を修正してプロジェクトのセキュリティを軽減する方法に関する推奨事項が含まれています。
スマートコントラクト監査がプロフェッショナルであることを保証するものは何ですか?
スマート コントラクトは比較的新しいイノベーションです。それに応じて、セキュリティ基準も進化しています。これは、スマートコントラクトの完全な安全性を保証する黄金律はないことを意味します。
さらに、すべてのスマート コントラクト監査会社が同じというわけではなく、すべての監査が安全性を保証するわけではありません。 監査人は、さまざまなスキル レベル、さまざまな目標、およびさまざまなコストを持っている場合があります。
言うまでもなく、市場には監査を偽造し、立派な企業の名前から利益を得ている不謹慎な開発者がたくさんいます。これは、ブロックチェーンセキュリティとデータ分析の会社であるペックシールドに1年以上前に起こったことです。
このような状況は、暗号通貨の分野では非常に一般的です。 彼らは、正当で立派な監査人の名前を取り、それをホワイトペーパーに入れ、彼らのプロトコルは監査されたと言っています.
このようなケースを回避する唯一の方法は、監査人の独自のルートで確認をチェックすることです。何もない場合は、監査人の名前が盗まれている可能性があります。
監査人が堅実で評判が良いかどうかを評価するために、クライアントのポートフォリオを常にチェックしてください。 Google でケースを検索して経験記録を確認し、監査されたプロジェクトの中にラグプルやその他の攻撃が発生していないかどうかを確認します。
コード監査を自分で実施できますか?
暗号通貨業界では非常に多くのハッキングや不正行為が行われているため、詳しく調べずに DeFi プロジェクトが安全であると想像するのは単純です。スマート コントラクトの監査は、重要な安全層を提供します。
ただし、最も専門的なプロジェクトであっても、DeFi プロジェクトに完全にバグがないことを保証するわけではありません。スマートコントラクトは複雑です。詳細かつ包括的な分析、専門知識、ツール、そして最も重要なことに、複数の目を必要とします。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://dailycoin.com/how-auditors-detect-defi-rug-pull-scam/
- 11
- 2022
- a
- 私たちについて
- 絶対に
- それに応じて
- 正確な
- 行為
- 添加
- 影響を及ぼす
- 後
- に対して
- 協定
- すべて
- ことができます
- 常に
- 分析
- 分析論
- 分析
- および
- 攻撃
- 攻撃
- 注意
- 魅力
- 監査
- 監査された
- 監査
- 監査法人
- 監査役
- 監査
- 自動化
- 利用できます
- 背後に
- さ
- 恩恵
- BEST
- ベストプラクティス
- の間に
- ブロックチェーン
- ブロックチェーンのセキュリティ
- 違反
- バグ
- バグ
- ビジネス
- できる
- 例
- 集中型の
- 一定
- チャンス
- チャンネル
- チェック
- クリスマス
- クライアント
- コード
- コードレビュー
- コーディング
- コマンドと
- 会社
- 記入済みの
- 複雑な
- 包括的な
- 条件
- プロフェッショナルな方法で
- デメリット
- 結果
- コンテキスト
- 縮小することはできません。
- 契約
- コスト
- 可能性
- 作ります
- 信頼性
- 重大な
- 重大な
- クリプト
- 暗号投資家
- 暗号空間
- cryptocurrency
- データ
- データ分析
- データベース
- 分権化された
- 分散金融
- 分散型ファイナンス(DeFi)
- ディフェンディング
- DeFi
- defiプラットフォーム
- Defiプロジェクト
- DEFI プロトコル
- DeFi セキュリティ
- 展開します
- 説明
- にもかかわらず
- 詳細
- 詳細な
- 検出された
- 開発する
- 開発者
- デックス
- 異なります
- 姿を消す
- 発見
- エコシステム
- 十分な
- 確保
- 確実に
- 確保する
- エンティティ
- エラー
- 推定
- 評価する
- 評価
- さらに
- EVER
- 進化
- 出口
- 詐欺を終了する
- 予想される
- 体験
- 専門知識
- 専門家
- 悪用する
- 搾取
- エクスプロイト
- 外部
- 目
- 視線
- 速いです
- 特徴
- 代
- フィードバック
- ファイナル
- ファイナンス
- もう完成させ、ワークスペースに掲示しましたか?
- 企業
- 固定の
- フラッシュ
- フラッシュローン
- 欠陥
- から
- フル
- 資金
- 目標
- 目標
- ゴールデン
- でログイン
- 保証
- 保証
- ハッカー
- ハック
- 起こる
- が起こった
- 健康
- 隠されました
- 認定条件
- HTTPS
- 人間
- 特定され
- 識別する
- 実装する
- 実装
- in
- 含めて
- 産業を変えます
- 業界標準
- 革新的手法
- 相互作用する
- 調査
- 主要株主
- 巻き込む
- 問題
- IT
- 自体
- 神様です。
- 既知の
- 欠如
- 最新の
- 打ち上げ
- 層
- つながる
- 漏れ
- リーガルポリシー
- 合法の
- レベル
- LINE
- 流動性
- ローン
- 場所
- 探して
- マニュアル
- 多くの
- 市場
- マックス
- 手段
- メソッド
- かもしれない
- 百万
- 軽減する
- 修正されました
- お金
- 他には?
- 最も
- 名
- ほぼ
- 新作
- 次の
- 数
- 多数の
- オンチェーン
- ONE
- オープンソース
- 動作
- オリジナル
- 元々
- その他
- その他
- 所有者
- 部
- パーティー
- ペックシールド
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プレーヤー
- ポートフォリオ
- 可能
- 潜在的な
- プラクティス
- 準備
- かなり
- 防ぐ
- プロセス
- プロ
- プロジェクト
- プロジェクト(実績作品)
- 推進する
- PROS
- 提供します
- 公共
- 公然と
- 引っ張る
- 目的
- 置きます
- 提言
- 記録
- レッド
- 相対的に
- レポート
- 評判の良い
- 必要とする
- 立派な
- 結果
- レビュー
- リスク
- ルーム
- ラグプル
- ラグプル詐欺
- 敷物を引っ張る
- ルール
- ラン
- 安全な
- 安全性
- 同じ
- 詐欺
- 詐欺師
- 詐欺
- スキャニング
- セクター
- セキュリティ
- セキュリティー監査
- セキュリティ監査
- セキュリティ違反
- 販売
- 深刻な
- セッションに
- 形状
- シフト
- すべき
- 同様の
- 簡単な拡張で
- から
- 技能
- スライド
- 小さい
- スマート
- スマート契約
- スマートコントラクト監査
- スマートコントラクトセキュリティ
- スマート契約
- So
- ソフトウェア
- 固体
- 一部
- スペース
- 特化する
- 仕様
- 標準
- 規格
- start
- 滞在
- まだ
- ストール
- 盗まれました
- 取る
- 技術的
- テクニック
- 条件
- 規約と条件
- アプリ環境に合わせて
- 三番
- 第三者
- 脅威
- 介して
- 時間
- 時間がかかる
- 〜へ
- トークン
- トークン
- 豊富なツール群
- トータル
- 透明性
- トランスペアレント
- 一般的に
- 予期しない
- Uniswap
- 通常
- 検証
- 確認する
- 違反
- 極めて重要な
- 脆弱性
- この試験は
- かどうか
- which
- while
- ホワイトペーパー
- ワイピング
- 撤退する
- 無し
- 年
- You
- 若い
- あなた自身
- ゼファーネット