スマートコントラクトの監査にはどのくらい時間がかかりますか| DeFi

イーサリアムエコシステムのスマートコントラクトのほぼ半分は未監査であり、ハッキングの数が増えています。 

スマートコントラクト監査は、通常、スマートコントラクトまたはDeFiアプリケーションの旅の最後のステップであり、多くの場合省略されます。 DeFiの世界やブロックチェーンアプリケーションでのスマートコントラクトの卓越性を考えると、スマートコントラクトを監査することはアプリケーションの重要な部分です。 

金融革命、資産のトークン化、またはブロックチェーンプラットフォーム上でのユースケースの実装のいずれであっても、スマートコントラクトは不可欠です。 本質的に、スマートコントラクトは、条件を実行するために使用されるほんの数行のコードです。 たとえば、AaveやCompoundなどのDeFiアプリケーションから担保を提供し、ローンに定義された利息を支払うことでローンを組んでいる場合、すべての条件は一連のスマートコントラクトによって定義されます。 

このシナリオでは、金融相互作用のデジタルエコシステムの作成に関与する複数のスマートコントラクトがあります。 ここで実現する必要があるのは、これらの複数のスマートコントラクトが相互に依存しているということです。 スマートコントラクトのコード行に小さなバグがXNUMXつあると、劇的な結果につながる可能性があります。 

スマートコントラクトの監査には不当な時間がかかるというのはよくある誤解です。 これは一般化された見方ですが、実際には、スマートコントラクト監査に必要な時間は、ユースケースの複雑さやその他のさまざまな要因によって異なります。 監査時間に関する知識の欠如は、多くのスマートコントラクトが未監査のままである主な理由のXNUMXつです。

スマートコントラクトの監査にはどのくらい時間がかかりますか

スマートコントラクト監査にかかる時間の観点から、いくつかの可能性を以下に示します。

1.監査で考慮すべき最も一般的な要素は、プロジェクトのサイズです。 プロジェクトの複雑さも重要ですが、プロジェクトのサイズは、監査にかかる時間を定義する際の主要な特性になります。

一般に、ERC20トークンのトークンコントラクトのような単純なスマートコントラクトには数日かかる場合があります。つまり、このようなコントラクトの監査時間は24〜48時間かかる可能性があります。 これもプロジェクトの複雑さに依存します。 Dapp内でERC20が使用されている場合、監査にはほぼXNUMXか月かかることがあります。 

別のタイプの契約は、トークン販売契約です。 これらは、定義されたトケノミクスと高度な機能を備えた高度なERC20コントラクトとして定義できます。 ステーキングやスワッピングなどの機能も、このような契約の一部になる可能性があります。 このような契約の完全な監査には、基本的なERC20契約の場合は数日かかるのに対し、XNUMX〜XNUMX週間かかる場合があります。

2.前述のように、監査の時間はプロジェクトの複雑さにも依存します。 たとえば、分散型取引所またはAaveなどの分散型マネーマーケットを構築している場合、監査には、バックドアがないことを確認するための専門の監査人と広範なタイムラインが必要です。 このような場合、オラクルでさえ、自動化されたマーケットメーカーやエコシステムの他の部分とともに監査される必要があります。

場合によっては、プロトコルまたはスマートコントラクトが外部要因に依存していると、想像を絶する損失につながる可能性のある巨大な脆弱性にさらされます。 

したがって、このようなタイプのアプリケーションには、最大1か月かかる監査が必要です。 

このカテゴリに分類される他のプロジェクトは、とりわけ、貸付、借入、保険技術、およびデリバティブです。 

3.監査の種類も、必要な時間を定義する上で重要な役割を果たします。 スマートコントラクトが最良の開発ガイドラインでコーディングされており、その整合性について確信がある場合は、中間監査を選択する必要があります。 

中間監査では、専門家がプロジェクトに割り当てられ、構造を調べて、考えられる脆弱性を分析します。 中間監査は、プロジェクトが正しい方向に進んでいることを確認するのに役立ち、後の段階でアプリケーションの構造全体を変更する可能性のある脆弱性をできるだけ早く特定します。 この監査は通常、完了するまでにXNUMX日かかります。 

次は完全なセキュリティ監査です。 スマートコントラクトの開発中に中間監査を実行できますが、アプリケーションの完了後に完全なセキュリティ監査が開始されます。 これは通常、アプリケーションをメインネットに展開する前に必要な最後のステップです。 完全なセキュリティ監査なしでアプリケーションがデプロイされた場合、メインネットのバグや脆弱性の可能性が高くなります。 完全なセキュリティ監査の時間は、ポイント1で説明したように、プロジェクトの複雑さによって異なります。 

スマートコントラクト監査を完了するプロセスは、手動または自動で行うことができます。 自動監査には、さまざまな事前定義された機能およびテストツールに対してスマートコントラクトコードをテストすることが含まれます。 これは、スマートコントラクトの一般的な脆弱性評価を提供します。 ただし、このタイプの監査では、コードやバックドアなどの他の脆弱性の詳細な分析は対象外です。 このためには、手動監査を行う必要があります。 手動監査では、専門家のチームがいくつかのカスタムテストケースを定義し、コードのさまざまな側面を検査します。 

自動監査はerc20 / bep20契約の場合は最大3日かかる場合がありますが、手動監査は通常erc5 / bep20契約の場合は20〜XNUMX日かかりますが、複雑なプロトコルの場合、監査の時間はコードによって異なります。 プロトコルの監査にかかる時間と最適な監査の種類をカスタムチェックするには、QuillAuditsの専門家に連絡して無料の相談を受けてください。

さまざまなタイプのスマートコントラクトとDeFiアプリケーションに必要な時間を見ると、多くの人が監査を受けずに革新的な製品を市場に出します。 この背後にある主な理由は、市場に同様のプロジェクトを導入している他の誰かの熱意またはFOMOです。 別の理由は、人が負担したくないかもしれない追加費用である可能性があります。 

ただし、スマートコントラクト監査を受けることの重要性を十分に強調することはできません。 スマートコントラクトの監査に費やす時間とお金を少し増やすだけで、ユーザーは何百万ドルも節約できます。 

スマートコントラクト監査の必要性についてより良い視点を提供するために、監査を受けられないというXNUMXつの単純な間違いが原因で発生した上位のDeFiハックを以下に示します。

トップDeFiハック

• DAOハック

DAOは分散型自律組織であり、あらゆるアプリケーションのガバナンスモデルを定義する新しい標準になりつつあります。 本質的に、DAOはスマートコントラクトを通じてアプリケーションの決定を行います。 したがって、スマートコントラクトはそのような環境で重要な役割を果たします。 

DAOがイーサリアムプロセスの資金調達プロセスの民主化を担当したそのようなケースの3.6つでは、ハッカーがスマートコントラクトのフォールバック機能の脆弱性を悪用しました。 リエントラント攻撃を使用して、彼はプロトコルからXNUMX万を盗みました。 

• パリティ攻撃

パリティは、Etherの転送を認証するために複数の署名の概念を導入しました。 イーサリアム転送を認証するために複数のデジタル署名を必要とする多くのスマートコントラクトを通じて、このプロセスに対応しました。 

適切に監査されていないため、ハッカーはスマートコントラクトのデリゲートコールとフォールバック機能を悪用し、Etherで30万ドルもの金額を盗むことができました。

まとめ

前述のハッキングは氷山の一角にすぎません。 DeFiエコシステムには数え切れないほどのハッキングがありました。 DeFiの成長に伴い、これらのハックも指数関数的に成長しています。 この増加の背後にある主な理由のXNUMXつは、未監査のスマートコントラクトまたは監査が不十分なスマートコントラクトです。 

スマートコントラクトを監査してもセキュリティは保証されませんが、Quillauditsのような経験豊富で業界で認められたチームから監査を受けることが重要です。 

時間とお金がかかる場合でも、経験豊富なチームによるスマートコントラクトの監査を受けることで、持続可能なプロジェクトを構築し、その成功の頂点に到達することができます。

QuillHashに連絡する

何年にもわたる業界での存在感により、 クイルハッシュ 世界中にエンタープライズソリューションを提供してきました。 専門家のチームを持つQuillHashは、DeFiエンタープライズを含むさまざまな業界ソリューションを提供する大手ブロックチェーン開発会社です。スマートコントラクト監査で支援が必要な場合は、専門家に連絡してください。 ここで！

その他の更新については、QuillHashをフォローしてください

Twitter | LinkedIn | Facebook

ソース：https：//blog.quillhash.com/2021/04/30/how-long-does-it-take-to-get-smart-contracts-audited-defi/