DeFi 스마트 계약 감사가 중요한 이유

DeFi는 2020년 암호화폐 붐의 기수였으며 열풍도 2021년까지 사그라지지 않았습니다. 점점 더 많은 사람들이 자신의 자금을 수확량 농업에 쏟아붓고 있기 때문에 DeFi는 장기적으로 계속해서 발전하고 있습니다.

DeFi로 수입을 배가시킨 많은 사람들을 알고 있을 것입니다. 암호 화폐 서클에서 자금을 쏟아 부은 사람들을 찾는 것은 드문 일이 아닙니다. 7x or SR 10x 수확량 농업. 플래시 론은 그들의 손에 있는 주요 도구였으며 규정된 시간 내에 프로토콜과 민트 골드 간에 신속하게 돈을 이동할 수 있게 해주었습니다.

DeFi 실행에서 스마트 계약의 역할

그러나 이러한 강력한 애플리케이션을 자동화된 방식으로 실행하는 데 있어 스마트 계약의 역할을 깨닫는 사람은 거의 없습니다. 스마트 계약은 블록체인에 저장된 변경 불가능한 컴퓨터 프로그램입니다. 이러한 프로그램은 미리 결정된 조건이 충족되면 조치를 취합니다. 스마트 계약 덕분에 모든 이해 관계자는 실제로 참여하지 않고도 결과에 대해 확신할 수 있습니다.

스마트 계약을 약한 링크로 만드는 요인

스마트 계약은 획기적인 계시로 등장했습니다. 그러나 동전의 또 다른 측면도 있습니다. 스마트 계약은 DeFi 생태계에서 약한 연결 고리로 판명되었습니다. 개발자는 결국 잘못된 코드를 작성하여 비양심적인 요소에 허점을 주어 돈을 훔치고 프로토콜에 잠겨 있는 자금을 은닉할 수 있습니다. 많은 DeFi 프로젝트는 기존 프로토콜에서 분기됩니다. 이러한 경우 기존 프로토콜의 버그도 분기된 프로토콜로 전달됩니다.

종종 개발자는 보안 코드를 작성할 만큼 경험이 없고 지식이 없습니다. 프로젝트는 경험이 없는 개발자를 고용하여 비용을 절감하는 경향이 있습니다. 이러한 사람들이 만들어내는 일련의 버그로 인해 막대한 비용이 들 수 있다는 사실을 깨닫지 못한 채 말입니다. 때때로 개발자는 프로토콜에서 자신의 지갑으로 자금을 돌리기 위해 의도적으로 버그를 남길 수 있습니다. 그리고 많은 경우에 해커는 겉보기에는 정상인 코드에서 버그와 취약점을 찾아내고 무의식적으로 공격할 만큼 충분히 똑똑할 수 있습니다. 버그가 코드에 어떻게 도달했는지에 관계없이 프로젝트에 실질적인 위협이 될 수 있습니다.

2021년 DeFi 유출 개요

2021년에 발생한 DeFi 익스플로잇을 살펴보면 스마트 컨트랙트를 통해 자금을 유출한 프로토콜의 수에 놀랄 것입니다.

돈 금융 – 가해자는 프로토콜의 플래시 대출 기능을 악용하여 $11 스마트 계약 익스플로잇을 통해 백만 가치의 사용자 자금.

알파 호 모라 – 이 레버리지 유동성 프로토콜은 $37.5 백만 익스플로잇. 이 익스플로잇은 신뢰할 수 있는 스마트 계약에 대해 무담보 대출을 제공하는 기능을 사용하는 것과 관련되었습니다.

미어캣 파이낸스 – 바이낸스 스마트 체인의 이 수확량 농업 프로토콜의 스마트 계약 금고가 공격을 받아 약 13 백만 BUSD 및 73,000 비앤비.

유료 네트워크 – PAID에 대한 무한 민트 공격으로 약 180억 XNUMX천만 달러의 손실이 발생했습니다.

이지파이 – Polygon 네트워크 위에 구축된 EasyFi에 대한 공격은 결국 공격자가 가치 있는 자산을 앗아갔습니다. $75 백만.

포스DAO – 해커는 ForceDAO를 배수로 목표로 삼았습니다. 183 프로토콜의 ETH.

우라늄 금융 – 프로토콜이 토큰 마이그레이션을 수행하는 동안 손실에 이르는 공격을 받았습니다. $50 백만.

스파르타의 – 이 BSC 기반 DeFi 프로토콜에 대한 다중 플래시 대출 공격으로 약 $30 백만.

라리캐피탈 – 해커는 Rari Capital의 수익률 금고 및 대출 풀을 소진하여 손실을 입혔습니다. $11 백만.

DeFi 프로토콜에서 자금을 훔치는 방법

DeFi 프로토콜에서 자금을 빼돌리는 세 가지 방법이 있습니다.

스마트 계약 허점 – 유동성 및 스테이킹과 같은 핵심 기능을 실행하는 스마트 계약으로 해커의 영원한 표적이 됩니다. 스마트 계약의 버그는 익스플로잇의 주요 원인입니다.

플래시 대출 – 공격자는 대규모 플래시 대출을 사용하여 특정 스테이블 코인에 대한 가격 피드를 부풀리고 그 과정에서 보유량을 늘립니다. 플래시 론은 차익 거래, 담보 교환, 자체 청산 등과 같은 매우 유용한 DeFi 기능을 용이하게 하기 때문에 플래시 론을 없앨 수는 없습니다.

플래시 대출 공격이 새로운 블랙 🔥🔥인 이유는 무엇입니까?

아무것도 아닌 돈 💸. 이것이 Flash 대출이라고 하는 것입니다. #DFi 우주. 하지만 최근에는 'Flash Loan' 공격을 통해 다양한 DeFi 플랫폼이 수백만 개가 넘는 돈을 빼돌려 버렸습니다 ⚠️

[1 / 3]#Blockchain pic.twitter.com/7SvGr2SMgL

— QuillAudits(@QuillAudits) 2021 년 7 월 31 일

오라클 조작 – 탈중앙화 네트워크는 오라클을 통해서만 외부 데이터에 접근할 수 있습니다. 안전하고 신뢰할 수 있는 데이터를 얻기 위해서는 오라클의 역할이 중요합니다. 해커는 오라클을 조작하여 자신에게 유리하게 영향을 미치려고 합니다. 플래시 대출과 마찬가지로 오라클을 없앨 수는 없지만 일반적으로 더 신뢰할 수 있는 분산형 오라클과 프로토콜을 통합할 수 있습니다.

반드시 읽어야 합니다 - DeFi에서 스마트 계약을 감사할 때 잊지 말아야 할 사항

스마트 계약에 대한 가능한 공격 방법

있을 수있다 몇 가지 이유 스마트 계약의 버그 및 취약성. 여기에는 재진입, 선행 실행, 암호화되지 않은 온체인 개인 데이터, 관련 없는 코드, 하드코딩된 가스 양이 포함된 메시지 호출, 여러 가변 길이 인수를 사용한 해시 충돌, 예기치 않은 이더 균형, 사용되지 않은 변수의 존재, 인쇄상의 오류, 블록이 있는 DoS가 포함됩니다. 가스 제한, 함수 유형 변수를 사용한 임의 점프, 불충분한 가스 그리핑, 잘못된 상속 순서, 요구 사항 위반, 적절한 서명 확인 부족, 체인 속성의 약한 무작위 소스, 서명 가단성, 실패한 호출에 대한 DoS, 더 이상 사용되지 않는 함수 사용, 보호되지 않은 Ether 철수, 그리고 더 많은. 개발자는 이러한 모든 인스턴스와 해당 코드 설명을 알고 있어야 합니다.

스마트 계약 감사

스마트 계약은 배포 전에 철저한 감사가 필요합니다. 모든 발견은 권장 사항과 함께 최종 보고서에 설명되어 있습니다. 스마트 계약 보안 수준은 중요, 높음, 중간, 낮음 및 가장 낮음과 같은 일련의 사양에 따라 측정됩니다.

적절한 감사에는 자동 검사와 수동 검사가 모두 포함됩니다. 자동 감사는 각 실행을 담당하는 부분을 결정하고 가능한 버그가 발생할 수 있는 위치를 탐색하는 소프트웨어를 배포합니다. 수동 분석에는 각 코드 라인을 검사하는 노련한 개발자 팀이 포함됩니다. 그들은 표준 취약점 목록에 대해 확인하거나 경험을 기반으로 탐색적 확인을 수행할 수 있습니다.

최대 포장

스마트 계약은 DeFi의 엔진입니다. DeFi 프로젝트를 취약성으로부터 보호하려면 계약을 철저히 확인하는 것이 필수적입니다. 감사를 최대한 철저하고 정확하게 하려면 자동 감사와 수동 감사를 함께 수행해야 합니다. 

QuillAudits에 연락

퀼 에 의해 설계된 안전한 스마트 계약 감사 플랫폼입니다. 퀼해시
기술.
스마트 컨트랙트를 엄밀히 분석, 검증하여 효과적인 보안 취약점을 체크하는 감사 플랫폼입니다. 조작 함께 검토 정적 인 및 동적 분석 도구, 가스 분석기 만큼 잘 시뮬레이터. 또한 감사 프로세스에는 광범위한 단위 테스트 만큼 잘 구조 분석.
우리는 스마트 계약을 모두 수행합니다 감사 및 침투 가능성을 찾기 위한 테스트
플랫폼에 해를 끼칠 수 있는 보안 취약점 보전.

필요한 경우 보조 스마트 계약에서 회계 감사부담없이 손을 내밀다 우리 전문가들에게 여기에!

말하면 최신 우리의 작업과 함께, Join Our 커뮤니티:-

트위터 | 링크드인 | 페이스북 | 텔레그램 

출처: https://blog.quillhash.com/2021/10/06/what-makes-defi-smart-contract-auditing-so-pivotal/