이더리움 스마트 계약 감사에 대한 간략한 설명

읽기 시간: 6 분

A "똑똑한 계약”는 Ethereum Blockchain에서 실행되는 일련의 지침입니다. 감사한다는 것은 이더리움 스마트 계약이 잠재적인 위협과 일반적인 취약성으로부터 안전한지 확인하는 것을 의미합니다. 

현재 시나리오에서는 스마트 계약과 관련된 해킹 및 익스플로잇이 사상 최고 수준이지만, 이는 다음을 위한 발전 및 개선으로 이어지기 때문에 칭찬받아야 할 폭풍입니다. DeFi 플랫폼, 더 안전하게 만듭니다. 

스마트 계약의 보안에 대해 이야기할 때 "스마트 계약 감사의 중요성.” 스마트 계약 감사는 다양한 매개 변수를 기반으로 스마트 계약 코드를 교차 검증하는 프로세스입니다. 그리고 다음 섹션에서는 스마트 계약 감사의 중요성, 스마트 계약 감사에 대한 여러 접근 방식 및 Ethereum 스마트 계약 감사와 관련된 단계를 분석할 것입니다. 

스마트 계약 감사의 중요성

이해관계자가 스마트 계약 감사를 필요로 하는 이유를 더 잘 이해하려면 최근 과거를 살펴보고 다양한 DeFi 플랫폼에서 발생한 막대한 손실을 확인해야 합니다. 

• 폴리 네트워크 : 600억 달러 손실
• Lendf.me – 25만 달러 손실;
• 신시 틱스 – 37만 sETH 손실; 
• bZx – $645 손실. 

이것들은 단지 몇 가지 최근의 해킹일 뿐입니다. 새로운 보고서에 따르면-

"DeFi는 75년 암호화폐 해킹의 2021% 이상을 차지했습니다. 이는 361년보다 2.7배 더 많은 2020억 XNUMX만 달러에 달합니다." 

사이퍼 추적

그 엄청난 숫자는 무섭지만 해당 DeFi 플랫폼이 예방 조치를 취할 수 있었다면 이러한 공격은 쉽게 완화될 수 있었습니다. 일부 공격은 심각할 수 있지만 대부분은 쉽게 피할 수 있습니다. 

미래의 잠재적인 위협으로부터 DeFi 플랫폼을 안전하게 유지하는 가장 좋은 방법 중 하나는 과거의 모든 공격에 익숙해지는 것입니다. 이를 위해 최고의 리소스 중 하나는 모든 스마트 계약 취약성 목록과 이를 해결하기 위한 예제를 제공하는 SWC 레지스트리입니다. 

출처: SWC 레지스트리 

그렇다면 다양한 DeFi 플랫폼이 수백만 달러를 절약하는 데 도움이 될 수 있는 스마트 계약 감사의 황금 단계는 무엇입니까? 

스마트 계약 감사에 대한 보편적 접근 방식 

스마트 계약 감사를 위해 널리 채택되는 두 가지 방법이 있습니다.

• 수동 코드 분석
• 자동 코드 분석

수동 코드 분석

잠재적인 취약점을 식별하기 위해 코드를 라인별로 검사하는 프로세스입니다. 기술, 경험, 끈기 및 인내가 필요한 복잡한 프로세스입니다. DeFi 프로젝트의 보안을 향상시키기 위해서는 수동 코드 분석을 거치는 것이 자동 코드 분석이 남길 수 있는 취약점을 식별하는 가장 좋은 방법입니다. 

대부분의 경우 "코드 검토 팀을 몇 명으로 구성해야 합니까?"라는 매우 자주 묻는 질문을 접하게 됩니다. ~에 퀼, 우리는 프로젝트의 보안을 최우선으로 생각합니다. 따라서 우리는 스마트 계약 코드의 역학을 조사하기 위해 경험이 풍부하고 숙련된 감사자로 구성된 검토 팀을 보유하고 있습니다.

버퍼 오버플로(특히 "off-by-one" 오류), 데드 코드 및 인간 검토자가 때때로 간과할 수 있는 기타 실수와 같은 수동 코드 분석에는 몇 가지 제한 사항이 있지만 자동화된 분석에 더 적합합니다. 찾기 위한 분석입니다. 

자동 코드 분석 

자동 코드 분석은 다양한 침투 테스트를 사용하여 취약점을 찾기 때문에 시간과 비용을 절약합니다. 우리는 퀼 다양한 사내 오픈 소스 도구를 활용하여 보안 감사 결과를 극대화합니다. 사내 감사자가 사용하는 동급 최고의 도구는 다음과 같습니다.

• 신화X – 정적 분석, 동적 분석 및 기호 실행을 기반으로 프로젝트를 검사하는 스마트 계약 보안 서비스입니다. MythX를 사용하려면 API 키가 필요합니다. 신화x.io.
• 미스릴 – Ethereum 스마트 계약을 위한 보안 분석 도구입니다. 정수 언더플로, 소유자 덮어쓰기-이더-인출 등 다양한 보안 문제를 조사합니다. 
• 주르르 미끄러지 다 – Python 3로 작성된 정적 분석 프레임워크로 취약성을 식별하고 계약 세부 정보에 대한 시각적 정보를 출력하며 유연하게 작성할 수 있도록 사용자 지정 분석을 위한 API를 제공합니다. 
• 에키드나 – 벌레를 잡아먹는 이상한 생물! Ethereum 스마트 계약의 퍼징/속성 기반 테스트를 위해 개발된 Haskell 프로그램입니다. 
• 오옌테 – 취약점을 찾기 위해 Ethereum 코드를 분석합니다. 

이것은 자동 코드 분석을 수행하기 위해 사내 감사 팀이 활용하는 도구의 간결한 목록이었습니다. 그러나 스마트 계약 감사를 수행하기 위한 황금 단계는 무엇입니까? 

Ethereum 스마트 계약을 감사하는 단계 

스마트 계약 감사를 수행하는 이유는 여러 가지가 있을 수 있지만 주된 동기는 Defi 플랫폼을 보호하는 것입니다. 우리는 퀼 포괄적인 방법론을 따라 스마트 계약 감사를 수행합니다.

#1: 코드 디자인 패턴 수집 

이는 스마트 계약 감사를 수행하는 가장 중요한 단계 중 하나입니다. 감사를 수행하는 회사의 경우 스마트 계약 플랫폼의 코드 및 작업 사양을 명확하게 이해하는 것이 중요합니다. 

#2: 단위 테스트 

다양한 코드 커버리지 도구를 사용하여 스마트 계약 단위 테스트를 수행합니다. 또한 각 기능이 전체 스마트 계약 코드와 일관되게 작동하는지 확인하기 위해 단위 테스트 사례를 구현합니다. 

#3: 수동 분석

때때로 자동화된 분석으로 인해 위양성 보고서가 생성될 수 있습니다. 따라서 경합 조건, 트랜잭션 순서 의존성, 타임스탬프 의존성 외부 호출 및 서비스 거부 공격과 같은 잠재적 취약성을 찾기 위해 라인별 수동 조사가 필요합니다. 

#4: 초기 보고 

그런 다음 팀에서 수정해야 하는 모든 버그와 오류가 포함된 초기 보고서를 제시합니다. 

#5: 코드 수정

사전 분석에서 발견된 모든 버그 및 오류를 수정한 다음 최종 검토를 위해 감사자에게 보냅니다. 

#6: 정적 분석 및 공식 검증

우리는 스마트 계약의 허점, 악성 코드를 탐지하기 위해 사내 오픈 소스 자동화 도구를 사용하여 코드 검토를 수행합니다. 

#7: 최종 감사 보고서 

최종 감사 보고서는 클라이언트 앞에 제시되고 누구나 참조할 수 있도록 GitHub에 게시됩니다.  

이것은 숙련된 감사로 구성된 사내 팀이 따르는 포괄적인 전략이지만 스마트 계약이 동일한 가격으로 두 번 감사되는 것이 눈에 띕니다. 

DeFi 프로젝트를 한 번 감사한다고 해서 보안이 보장되는 것은 아니지만 적어도 두 번(또는) 세 번 감사하는 것이 좋습니다. 과거에는 "Popsicle Finance" 해킹과 같은 사건이 있었습니다. $ 20M. 두 번 감사를 받았지만 일반적인 취약점으로 인해 악용되기도 했습니다. 

따라서 이와 같은 사건은 스마트 계약 감사의 중요성 - "많을수록 좋습니다!".

최종 단어

자, 여기까지 우리와 함께했다면 이더리움 스마트 계약이 감사되는 방식에 익숙할 것입니다. 

증가하는 DeFi 해킹 및 악용으로 인해 걱정할 수 있지만 다음과 같은 신뢰할 수 있는 회사의 강력한 스마트 계약 감사를 수행합니다. 퀼 수백만 달러를 절약할 수 있습니다. 

1,624 조회수

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://blog.quillhash.com/2023/02/08/how-properly-auditing-an-ethereum-smart-contract-can-save-you-millions/