監査人が DeFi ラグプル詐欺を検出する方法: 自分で実行できますか?

ハッカーは、2022 年に分散型金融 (DeFi) プラットフォームからこれまで以上に多くの暗号通貨を盗みました。DeFi の旗手である DEX Uniswap で発行されたすべてのトークンのほぼ 98% が、ラグ プルとして識別されました。

最新のもの、デフロスト・ファイナンス、 来ました 仮想通貨投資家にとってクリスマスの悪夢として、12 万ドルの資金を一掃します。 

DeFi プラットフォームでのハッキングのほとんどは、セキュリティ侵害とコードの悪用によって発生します。 最終的にラグプル詐欺となるプロジェクトには、深刻なセキュリティ問題があり、それが放置されていた、あるいは意図的に検出されなかった可能性があります。同様のリスクを防ぐために、DeFi セキュリティ監査は重要です。

ここでは、これらの監査、その実施方法、およびDeFi監査を自分で実行できるかどうかについて詳しく説明します。 

DeFi プロジェクトは、複雑な自己実行型のスマート コントラクトとして実装され、多くの場合透明でオープンソースです。これらは二者間の法的合意として機能します。そして、中央集権的なエンティティが背後にいないため、スマート コントラクトの小さなバグでも取り返しのつかない結果につながる可能性があります。

これは、スマート コントラクトにエラーの余地がないことを意味します。 DeFi スマート コントラクトのセキュリティ監査は、それを確実にするためのものです。

セキュリティ監査では、スマート コントラクトのコードと、それが契約の条件をどのように根拠づけているかを検査します。詳細な分析により、コード内の潜在的なセキュリティ上の欠陥、違反、システム バグが検索されるため、コードが悪用されることはありません。 

セキュリティ監査は通常、第三者によって実施され、プロジェクトのセキュリティと信頼性を確保し、健全な DeFi エコシステムを維持するために不可欠です。

ラグプルは単純なモデルで動作する出口詐欺の一種です。開発者は合法的に見える DeFi プロトコルを作成し、プロジェクトが十分な流動性を集めるまでそれを実行および宣伝し、その後資金を引き出して消滅します。 

まあ、いつもではありません。時々、ラグプル詐欺師が流動性を盗んだとしてハッカーを非難し、次回までビジネスを続けることがあります。

攻撃を実装するために、詐欺師は悪意のあるコードをスマート コントラクトに埋め込みます。 彼らは、投資家が売却できないようにそれらを変更します。最大 (100%) の販売手数料を設定し、トークン所有者をブラックリストに載せ、ユーザーのお金を契約にロックします。

一部のスマート コントラクトには、開発者が流動性を引き出すことを可能にする悪意のある「バック ドア」が組み込まれています。  

ほとんどの場合、変更されたスマート コントラクトはセキュリティ監査人によって検証されず、世間の目から隠されています。 ほとんどのオンチェーン契約は公開されているため、透明性の欠如 GitHubの 赤旗かもしれません。 

ブロックチェーンとスマート コントラクト業界はまだ比較的歴史が浅く、スマート コントラクトの監査部門も同様です。 多くの企業がスマート コントラクト セキュリティ監査を専門とし、ツールを開発し、ノウハウを形成しています。 

スマート コントラクト セキュリティの業界標準とベスト プラクティスは進化しています。 それにもかかわらず、いくつかのかなり標準的な監査方法がDeFi監査業界のプレーヤーによって使用されています.

通常、調査はスマート コントラクトの評価から始まります。 監査人は、DeFi プロトコルのホワイトペーパー、ビジネス ロジック、および技術仕様を分析して、潜在的なリスクとセキュリティ機能を推定します。

次に、スマート コントラクトのコードに注意を向けます。 ここからコードのレビューと分析が始まります。 

監査人はコードを行ごとに検査し、さまざまなレベルの脆弱性を探します。流動性漏洩を引き起こす可能性のある重大な脆弱性。中レベル。スマート コントラクトに部分的に損傷を与える可能性があります。および、契約のセキュリティへの影響が最も少ない低レベルの問題。

自動分析や手動分析など、さまざまな監査手法を導入しています。 どちらにも長所と短所があります。

自動セキュリティ監査とは、既知の脆弱性のデータベースに対してバグを検索し、コード内のバグの正確な位置を特定する自動分析ソフトウェアを使用してコードをスキャンすることを意味します。

ソフトウェアベースの監査は通常、人間が見落とす可能性のあるエラーを検出するために、手動分析の前に実行されます。これは高速で時間もかかりませんが、同時にコンテキストを常に認識しているわけではないため、特定の脆弱性を見逃す可能性があります。 

手動コード分析はスマート コントラクト監査において重要な要素であり、包括的で正確なスマート コード セキュリティ監査の最も重要な部分です。これは、コードを 1 行ずつ検査する少なくとも 2 人の別々の専門家によって実行されます。

目標は、プロジェクトの仕様のすべての詳細がスマート コントラクトに実装され、当初意図された動作に違反するものがないことを確認することです。 

監査人は、意図しない予期しない動作、重大なセキュリティ問題、およびスマート コントラクトが他のコントラクトと対話する際に実装される可能性のある再入、データ操作、フラッシュ ローン、その他の操作などの脆弱性がないかコードを精査します。

それに加えて、手動監査ではシミュレーションを実行して、DeFi プロジェクトのスマート コントラクトが未確認の脅威にどれだけうまく対応できるか、またそれらの脅威に対してどの程度防御できるかを評価します。 

手動コード分析の最終段階で、監査人はスマート コントラクトのロジックをプロジェクトのホワイトペーパーの説明と比較します。 

すべての脆弱性が特定されて修正されると、監査人はダブルチェック プロセスを実行して、スマート コードが期待どおりに実行されることを確認します。

最後に、セキュリティ監査が完了すると、監査人は包括的なレポートを作成します。 これは、彼らが発見したことに関する詳細なフィードバックを提供する場所です。 通常、彼らのレポートには、検出されたコードの弱点を修正してプロジェクトのセキュリティを軽減する方法に関する推奨事項が含まれています。 

スマート コントラクトは比較的新しいイノベーションです。それに応じて、セキュリティ基準も進化しています。これは、スマートコントラクトの完全な安全性を保証する黄金律はないことを意味します。

さらに、すべてのスマート コントラクト監査会社が同じというわけではなく、すべての監査が安全性を保証するわけではありません。 監査人は、さまざまなスキル レベル、さまざまな目標、およびさまざまなコストを持っている場合があります。

言うまでもなく、市場には監査を偽造し、立派な企業の名前から利益を得ている不謹慎な開発者がたくさんいます。これは、ブロックチェーンセキュリティとデータ分析の会社であるペックシールドに1年以上前に起こったことです。

このような状況は、暗号通貨の分野では非常に一般的です。 彼らは、正当で立派な監査人の名前を取り、それをホワイトペーパーに入れ、彼らのプロトコルは監査されたと言っています.

このようなケースを回避する唯一の方法は、監査人の独自のルートで確認をチェックすることです。何もない場合は、監査人の名前が盗まれている可能性があります。 

監査人が堅実で評判が良いかどうかを評価するために、クライアントのポートフォリオを常にチェックしてください。 Google でケースを検索して経験記録を確認し、監査されたプロジェクトの中にラグプルやその他の攻撃が発生していないかどうかを確認します。

暗号通貨業界では非常に多くのハッキングや不正行為が行われているため、詳しく調べずに DeFi プロジェクトが安全であると想像するのは単純です。スマート コントラクトの監査は、重要な安全層を提供します。 

ただし、最も専門的なプロジェクトであっても、DeFi プロジェクトに完全にバグがないことを保証するわけではありません。スマートコントラクトは複雑です。詳細かつ包括的な分析、専門知識、ツール、そして最も重要なことに、複数の目を必要とします。