Hackers hebben in 2022 meer cryptocurrency gestolen van decentralized finance (DeFi)-platforms dan ooit tevoren. Bijna 98% van alle tokens die op DeFi's flagman DEX Uniswap werden gelanceerd, werd geรฏdentificeerd als tapijttrekjes.
De nieuwste, Defrost Finance, kwam als een kerstnachtmerrie voor crypto-investeerders, waarbij ze $ 12 miljoen van hun geld wegvagen.
De meeste hacks op DeFi-platforms vinden plaats via beveiligingsinbreuken en code-exploits. Projecten die uiteindelijk uitmonden in 'rug pull'-fraude hebben ernstige beveiligingsproblemen die aan de kant zijn geschoven, of misschien met opzet onopgemerkt zijn gebleven. Om soortgelijke risico's te voorkomen, zijn DeFi-beveiligingsaudits van cruciaal belang.
Hier leest u meer over deze audits, hoe ze worden uitgevoerd en of het mogelijk is om zelf een DeFi-audit uit te voeren.
Wat is een DeFi-beveiligingsaudit?
DeFi-projecten worden geรฏmplementeerd als complexe, zelfuitvoerende slimme contracten, vaak transparant en open-source. Ze fungeren als juridische overeenkomsten tussen twee partijen. En aangezien er geen gecentraliseerde entiteit achter zit, kan zelfs een kleine bug in slimme contracten tot onomkeerbare gevolgen leiden.
Dit betekent dat er geen ruimte mag zijn voor fouten in slimme contracten. DeFi slimme contractbeveiligingsaudits zijn bedoeld om dat te waarborgen.
Beveiligingsaudits onderzoeken de code van slimme contracten en hoe deze de algemene voorwaarden van contracten onderbouwt. Bij de gedetailleerde analyse wordt gezocht naar mogelijke beveiligingsfouten, schendingen en systeemfouten in de code, zodat deze niet kan worden uitgebuit.
Beveiligingsaudits, meestal uitgevoerd door derden, zijn van cruciaal belang om de veiligheid en geloofwaardigheid van projecten te garanderen en een gezond DeFi-ecosysteem in stand te houden.
Hoe misbruiken oplichters slimme contracten voor een tapijttrek?
Een rug pull is een soort exit-zwendel die volgens een eenvoudig model werkt: ontwikkelaars creรซren een legitiem ogend DeFi-protocol, voeren het uit en promoten het totdat het project voldoende liquiditeit aantrekt, trekken vervolgens het geld eruit en verdwijnen.
Nou ja, niet altijd. Af en toe geven rug-pull-oplichters hackers de schuld van het stelen van liquiditeit en blijven ze tot de volgende keer actief.
Om een โโaanval uit te voeren, voegen oplichters kwaadaardige code toe aan de slimme contracten. Ze passen ze aan om te voorkomen dat investeerders verkopen: stel de maximale (100%) verkoopvergoeding in, zet tokeneigenaren op een zwarte lijst en vergrendel het geld van gebruikers in een contract.
Bij sommige slimme contracten wordt er een kwaadaardige "achterdeur" in gecodeerd, waardoor ontwikkelaars de liquiditeit kunnen opnemen.
Meestal worden gewijzigde slimme contracten niet geverifieerd door beveiligingsauditors en zijn ze verborgen voor het publieke oog. Aangezien de meeste on-chain-contracten openbaar beschikbaar zijn, is er een gebrek aan transparantie GitHub kan een rode vlag zijn.
Hoe u kunt controleren of een DeFi Smart Contract veilig is
De blockchain- en smart contract-industrie is nog relatief jong, net als de smart contracts-auditsector. Talrijke bedrijven zijn gespecialiseerd in slimme contractbeveiligingsaudits, ontwikkelen hun tools en geven vorm aan hun knowhow.
De industriestandaarden en best practices voor slimme contractbeveiliging evolueren. Desondanks worden er enkele vrij standaard auditmethoden gebruikt door spelers in de DeFi-auditindustrie.
Meestal beginnen hun onderzoeken met de slimme contractevaluatie. De auditor analyseert de whitepaper, bedrijfslogica en technische specificatie van het DeFi-protocol om mogelijke risico's en beveiligingsfuncties in te schatten.
Vervolgens verleggen ze hun aandacht naar de code van het slimme contract. Dit is wanneer code review en analyse beginnen.
Auditors inspecteren de code regel voor regel, op zoek naar kwetsbaarheden van verschillende niveaus: kritieke kwetsbaarheden die kunnen resulteren in een liquiditeitslek; middelmatig niveau, wat het slimme contract gedeeltelijk zou kunnen schaden; en kwesties op laag niveau, die de veiligheid van het contract het minst aantasten.
Ze passen een aantal audittechnieken toe, waaronder geautomatiseerde en handmatige analyse. Beide hebben hun voor- en nadelen.
Een geautomatiseerde beveiligingsaudit houdt in dat de code wordt gescand met geautomatiseerde analysesoftware, die naar bugs zoekt in de database met bekende kwetsbaarheden en hun exacte locatie in de code identificeert.
De op software gebaseerde audit wordt doorgaans vรณรณr de handmatige analyse uitgevoerd om fouten op te sporen die mensen over het hoofd zouden kunnen zien. Het is sneller en minder tijdrovend, maar tegelijkertijd is het zich mogelijk niet altijd bewust van de context en mist het daardoor bepaalde kwetsbaarheden.
Handmatige codeanalyse is de koning van de slimme contractaudit en is het meest kritische onderdeel van een uitgebreide en nauwkeurige beveiligingsaudit van slimme code. Het wordt uitgevoerd door ten minste twee afzonderlijke experts die de code regel voor regel inspecteren.
Het doel is om te verifiรซren dat elk detail in de projectspecificatie is geรฏmplementeerd in het slimme contract en dat niets het oorspronkelijk bedoelde gedrag schendt.
De auditors onderzoeken de code nauwkeurig op onbedoeld, onverwacht gedrag, cruciale beveiligingsproblemen en kwetsbaarheden zoals herintreding, gegevensmanipulatie, flitsleningen en andere manipulaties die kunnen worden geรฏmplementeerd terwijl het slimme contract met anderen communiceert.
Daarnaast voeren handmatige audits simulaties uit om te evalueren hoe goed het slimme contract van het DeFi-project reageert op niet-geรฏdentificeerde bedreigingen en hoe goed het zichzelf daartegen kan verdedigen.
In het laatste deel van de handmatige code-analyse vergelijkt de auditor de logica van het slimme contract met de beschrijving in de whitepaper van het project.
Zodra alle kwetsbaarheden zijn geรฏdentificeerd en verholpen, voeren de auditors een dubbelcontroleproces uit om ervoor te zorgen dat de slimme code werkt zoals verwacht.
Ten slotte stellen de auditors, nadat de beveiligingsaudit is voltooid, een uitgebreid rapport op. Hier geven ze gedetailleerde feedback over wat ze hebben ontdekt. Meestal bevat hun rapport aanbevelingen over hoe gedetecteerde codezwakheden kunnen worden verholpen om de beveiliging van het project te verminderen.
Wat zorgt ervoor dat een Smart Contract Audit professioneel is?
Slimme contracten zijn een relatief nieuwe innovatie. Hun beveiligingsnormen evolueren dienovereenkomstig. Dit betekent dat geen enkele gouden regel totale veiligheid van slimme contracten garandeert.
Bovendien zijn niet alle smart contract accountantskantoren hetzelfde en garanderen niet alle audits de veiligheid. Auditors kunnen verschillende vaardigheidsniveaus, verschillende doelen en verschillende kosten hebben.
Om nog maar te zwijgen van het feit dat de markt vol is met schetsmatige ontwikkelaars die audits vervalsen en toch profiteren van de naam van een respectabel bedrijf. Dit is wat er meer dan een jaar geleden gebeurde met Peckshield, een blockchain-beveiligings- en data-analysebedrijf.
Situaties als deze komen vrij vaak voor in de cryptocurrency-ruimte. Ze nemen de naam van een legitieme en respectabele auditor en zetten die in hun whitepaper, waarin ze zeggen dat hun protocol is gecontroleerd.
De enige manier om dit soort gevallen te voorkomen, is door te controleren of er bevestiging is via de oorspronkelijke kanalen van de auditor. Als die er niet zijn, is de kans groot dat de naam van de accountant is gestolen.
Controleer altijd haar klantenportefeuille om te beoordelen of de accountant solide en gerenommeerd is. Google de cases om hun ervaringsgegevens te verifiรซren en controleer of een van de gecontroleerde projecten te maken heeft gehad met een rugtrekactie of andere aanvallen.
Kunt u zelf een code-audit uitvoeren?
Met zoveel hacks en tapijttrekkingen in de crypto-ruimte is het naรฏef om te denken dat DeFi-projecten veilig zijn zonder er dieper op in te gaan. Slimme contractaudits bieden een cruciale veiligheidslaag.
Zelfs de meest professionele kunnen echter niet garanderen dat een DeFi-project absoluut bugvrij is. Slimme contracten zijn complex. Ze vereisen gedetailleerde en uitgebreide analyses, expertise, hulpmiddelen en, belangrijker nog, meer dan รฉรฉn paar ogen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://dailycoin.com/how-auditors-detect-defi-rug-pull-scam/
- 11
- 2022
- a
- Over
- absoluut
- dienovereenkomstig
- accuraat
- Handelen
- toevoeging
- invloed hebben op
- Na
- tegen
- overeenkomsten
- Alles
- toestaat
- altijd
- analyse
- analytics
- analyseert
- en
- aanvallen
- Aanvallen
- aandacht
- Trekt aan
- controleren
- gecontroleerd
- auditing
- accountantskantoren
- accountants
- audits
- geautomatiseerde
- Beschikbaar
- vaardigheden
- achter
- wezen
- voordeel
- BEST
- 'best practices'
- tussen
- blockchain
- Blockchain beveiliging
- inbreuken
- Bug
- bugs
- bedrijfsdeskundigen
- kan niet
- in staat
- gevallen
- gecentraliseerde
- zeker
- kansen
- kanalen
- controle
- Kerstmis
- klant
- code
- Code review
- codering
- Gemeen
- afstand
- Voltooid
- complex
- uitgebreid
- voorwaarden
- Gedrag
- NADELEN
- Gevolgen
- verband
- contract
- contracten
- Kosten
- kon
- en je merk te creรซren
- Geloofwaardigheid
- kritisch
- cruciaal
- crypto
- Crypto-investeerders
- crypto ruimte
- cryptogeld
- gegevens
- gegevens Analytics
- Database
- gedecentraliseerde
- Gedecentraliseerde financiรซn
- gedecentraliseerde financiering (DeFi)
- Verdedigen
- Defi
- defi-platforms
- defi projecten
- DEFI-PROTOCOL
- DeFi-beveiliging
- implementeren
- beschrijving
- Niettegenstaande
- detail
- gedetailleerd
- gedetecteerd
- ontwikkelen
- ontwikkelaars
- Dex
- anders
- verdwijnen
- ontdekt
- ecosysteem
- genoeg
- verzekeren
- waarborgt
- zorgen
- entiteit
- fouten
- schatting
- schatten
- evaluatie
- Zelfs
- OOIT
- evoluerende
- afrit
- zwendel afsluiten
- verwacht
- ervaring
- expertise
- deskundigen
- Exploiteren
- Exploited
- exploits
- extern
- oog
- Ogen
- sneller
- Voordelen
- honorarium
- feedback
- finale
- financiรซn
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- bedrijven
- vast
- flash
- flitsleningen
- gebreken
- oppompen van
- vol
- fondsen
- doel
- Doelen
- Gouden
- Kopen Google Reviews
- garantie
- garanties
- Hackers
- hacks
- gebeuren
- gebeurd
- gezond
- verborgen
- Hoe
- HTTPS
- Mensen
- geรฏdentificeerd
- identificeert
- uitvoeren
- geรฏmplementeerd
- in
- Inclusief
- -industrie
- industriestandaarden
- Innovatie
- wisselwerking
- onderzoeken
- Investeerders
- betrekken
- problemen
- IT
- zelf
- koning
- bekend
- Gebrek
- laatste
- gelanceerd
- lagen
- leiden
- lekken
- Juridisch
- Legit
- niveaus
- Lijn
- Liquiditeit
- Leningen
- plaats
- op zoek
- handboek
- veel
- Markt
- max
- middel
- methoden
- macht
- miljoen
- Verzachten
- model
- gewijzigd
- geld
- meer
- meest
- naam
- bijna
- New
- volgende
- aantal
- vele
- Aan de ketting
- EEN
- open source
- exploiteert
- origineel
- oorspronkelijk
- Overige
- Overig
- eigenaren
- deel
- partijen
- Peckschild
- platforms
- Plato
- Plato gegevensintelligentie
- PlatoData
- spelers
- portfolio
- mogelijk
- potentieel
- praktijken
- Voorbereiden
- mooi
- voorkomen
- professioneel
- project
- projecten
- promoten
- PROS
- protocol
- zorgen voor
- publiek
- in het openbaar
- Truien
- doel
- zetten
- aanbevelingen
- archief
- Rood
- relatief
- verslag
- achtenswaardig
- vereisen
- achtenswaardig
- resultaat
- beoordelen
- risico's
- Kamer
- tapijt trekken
- tapijt trekken oplichting
- tapijt trekt
- Regel
- lopen
- veilig
- Veiligheid
- dezelfde
- Oplichterij
- Oplichters
- oplichting
- het scannen
- sector
- veiligheid
- Security Audit
- Beveiligingsaudits
- beveiligingsinbreuken
- binnen XNUMX minuten
- ernstig
- reeks
- Vorm
- verschuiving
- moet
- gelijk
- Eenvoudig
- sinds
- bekwaamheid
- Schuif
- Klein
- slim
- slim contract
- Slimme contractcontrole
- Slimme contractbeveiliging
- Slimme contracten
- So
- Software
- solide
- sommige
- Tussenruimte
- specializeren
- specificatie
- standaard
- normen
- begin
- blijven
- Still
- stola
- gestolen
- system
- Nemen
- Technisch
- technieken
- termen
- algemene voorwaarden
- De
- hun
- Derde
- derden
- bedreigingen
- Door
- niet de tijd of
- tijdrovend
- naar
- teken
- tokens
- tools
- Totaal
- Transparantie
- transparant
- typisch
- Onverwacht
- uniswap
- doorgaans
- geverifieerd
- controleren
- Overtredingen
- vitaal
- kwetsbaarheden
- Wat
- of
- welke
- en
- whitepaper
- afvegen
- intrekken
- zonder
- jaar
- You
- jong
- jezelf
- zephyrnet
