Hoe Solana Smart Contract Auditing te doen in tegenstelling tot toenemende hacks

Leestijd: 6 minuten

Solana beweert het snelst groeiende blockchain-netwerk te zijn vanwege de hogere schaalbaarheid. Geëxploiteerd op basis van consensus uit de geschiedenis is de reden voor de grotere schaalbaarheid bij het verwerken van tot 710,000 transacties per seconde. 

Ondanks de enorme populariteit van Solana, wordt de beveiliging van zijn slimme contracten niet grondig getest. En testen is net zo cruciaal voor het leveren van de merkwaarde als beloofd aan de partners en het bevorderen van de betrouwbaarheid van de investeerder in uw project. 

In dit artikel zullen we de mogelijke Solana-coderingsfouten afwikkelen en hoe auditing helpt deze te identificeren en te corrigeren.

Verschillende scenario's van hacks op Solana Blockchain uitgelegd

Wormgat Hack 

Wormhole, een blockchain-brug die tokenized uitwisselingen tussen verschillende blockchains mogelijk maakt, voegt zich bij de reeks gehackte cryptoprojecten. Het totale verlies aan geld is ongeveer $ 320 miljoen - een van de belangrijkste witwasgebeurtenissen op crypto-gebied.

Geschiedenis van hacken

Zoals we weten, maakt Wormhole de overdracht van activa tussen verschillende blockchains mogelijk. Maar de vraag is, hoe wordt het gedaan?

Token gemaakt op elke keten, dat wil zeggen Ethereum of Solana, wordt beheerd door de slimme contracten. En om de tokens over te dragen, worden de transacties goedgekeurd door Guardians die controleren of de geslagen tokens correct zijn gegenereerd door hun handtekening te verifiëren.

Bij het Wormgat-incident, verifieer _handtekening Er wordt misbruik gemaakt van een functie waarmee de hacker een instructie met valse gegevens heeft gemaakt om zijn transacties te valideren. 

Hierdoor creëerde de hacker een handtekening_set met voldoende aantal handtekeningen vereist voor Validator Action Approval (VAA). Daardoor kreeg de hacker toegang om de ongeautoriseerde munt te starten. 

Hierdoor kon de hacker 120,000 ingepakte Ethereum ter waarde van $ 320 miljoen in handen krijgen en ze wegplunderen.   

Crema Finance-hack 

Crema Finance, het liquiditeitsprotocol in de lijst van Solana-blockchainprojecten, leed aan een hack en verloor $ 8.78 miljoen.

Geschiedenis van Hack

De hacker zette een slim contract in om een ​​flitslening te nemen op Solana en liquiditeit toe te voegen op Crema. De prijsgegevens werden vervolgens gemanipuleerd, waardoor de hackers het konden laten lijken alsof ze een enorm bedrag aan vergoedingen bezitten- allemaal met valse gegevens. 

Het Crema-team volgde de geldstroom die de hacker wist te ruilen van Solana naar Ethereum. Het team waarschuwde de hacker onmiddellijk om het gestolen geld terug te geven door de premie te accepteren.

En kort daarna keerde de hacker het geld terug en behield $ 1.6 miljoen als een witte hoed. 

Cashio-hack 

Cashio (CASH), een native algoritmisch ondersteunde stablecoin van Solana, verloor maar liefst $ 52.8 miljoen als gevolg van een oneindige muntfout. Hierna ging de waarde van de munt van $ 1 naar $ 0.00005, waardoor het DeFi-ecosysteem crashte. 

Geschiedenis van de hack

Gebruikmakend van Cashio's codebase, sloeg de hacker eerst twee miljard CASH-tokens. Wat was er mis met de code? 

The Infinite Mint Glitch - Deze fout in het protocol geeft de gebruiker toegang tot een willekeurig aantal tokens zonder enig onderpand te plaatsen. De gebruiker kan deze geslagen tokens vervolgens op de beurzen verkopen, waardoor de prijs van de munt crasht.

In Cashio exploit verbrandde de hacker van de twee miljoen CASH-tokens voor de Sabre USDT-USDC LP-tokens. De Liquidity Pair-tokens worden vervolgens omgewisseld voor USDC- en USDT-tokens, wat resulteert in de afvoer van $ 52.8 miljoen. 

Hoe projecten te beschermen tegen hacks en diefstallen?

Hoewel beveiliging altijd een work-in-progress is, kunnen de beproefde technieken die door ontwikkelaars en auditors worden gebruikt, hackers ervan weerhouden om gemakkelijk aanvallen uit te voeren. 

Beveiligingsmaatregelen zijn effectief gebleken bij het elimineren van bestuursaanvallen, manipulatie van prijsorakels, herintredingsfouten, enz. Laten we nu eens kijken naar de beveiligingsmaatregelen die aanvallers ervan weerhouden contracten te misbruiken en geld wit te wassen.

Slimme codering van contracten: Schrijf contracten met behulp van veilige coderingspraktijken, waaronder het gebruik van geteste bibliotheken, aan te bevelen programmeertaal, het implementeren van speciale beveiliging op portefeuilles, het duidelijk definiëren van functies, enzovoort.

Actionize blockchain-beveiligingschecklist: Er zijn veel goed onderzochte bronnen beschikbaar die kunnen worden gecontroleerd om bescherming tegen hacks te garanderen. 

Gebruik van tools voor beveiligingsaudits: Open-source beveiligingsscanners zijn beschikbaar om geautomatiseerde kwetsbaarheidscontroles op contracten uit te voeren en mogelijke gebreken in de contracten te identificeren. 

Het is echter misschien niet effectief bij het opsporen van fouten, maar het helpt bij een basiscontrole. Verschillende soorten audittools helpen bij het identificeren van bugs in de blockchain en slimme contracten zoals MythX, Echidna, Manticore, Oyente, SmartCheck, enz. 

Uitvoeren van Pentesting- en auditdiensten: Last but not least, het controleren van slimme contracten kan nooit worden onderschat. Kleine mazen in de wet helpen de hackers een manier te vinden om de contracten binnen te dringen en te laten crashen.

Beveiligingsaudits en periodieke pentesten analyseren het project grondig en elimineren zelfs de kleinste mogelijkheden voor hackers. Nu we weten dat auditing- en pentesting-services een grotere betekenis hebben bij het bieden van beveiliging, laten we stapsgewijs begrijpen hoe het werkt. 

De rol van auditing bij het beveiligen van slimme contracten

Auditing omvat een reeks stappen van geautomatiseerd testen tot handmatige beoordeling, waarbij alle aspecten van codering en het controleren op zwakke plekken in de code breed worden behandeld. Enkele van de specificaties die in het Solana-auditproces worden behandeld, zijn:

• Functionaliteitscontroles
• Bevriezen van een contract
• Manipulatie van tokenvoorraad
• Manipulatie van gebruikerssaldo
• Kill-switch mechanisme
• Bewerkingsproeven en het genereren van gebeurtenissen, enzovoort:

Stappen gevolgd door QuillAudits om een ​​Solana Smart Contract te controleren

De auditing van de slimme contracten van Solana gebeurt met de grootst mogelijke zorgvuldigheid en er wordt een goed uitgewerkt auditrapport opgemaakt met alle analyses uit de auditing. De stapsgewijze workflow wordt hieronder gegeven. 

Stap 1- Gegevens verzamelen

Het idee en het beoogde doel van het project worden verzameld en bestudeerd van de klant om de code en de werking ervan te begrijpen en volledig te leren kennen. Zodra de discussies voorbij zijn, bevriezen de auditors de code om naar de volgende stap van het auditproces te gaan.

Stap 2- Handmatig testen

Onze ervaren interne auditors controleren op de fijne kneepjes en zorgen over kwetsbaarheden in de code. Het omvat het uitkijken naar wiskundige fouten, logische problemen, enz.

Stap 3- Functionaliteitstests 

Dit proces omvat het testen van contracten onder verschillende omstandigheden en het verifiëren van gegevens die zijn opgehaald door de slimme contracten van Solana. Het slimme contract wordt getest om ervoor te zorgen dat de beoogde acties correct worden uitgevoerd.

Stap 4- Testen op de nieuwste aanvalsvectoren

De recente aanvallen worden bestudeerd en er worden tests uitgevoerd op slimme contracten om er zeker van te zijn dat ze volledig bestand zijn tegen aanvallen. Het omvat het controleren op aanvallen zoals marktmanipulatie, LP-prijzen, front-running vectoren, enz. 

Stap 5- Geautomatiseerde gereedschapstests

Tools zoals Soteria, cargo-Clippy, cargo-audit en gespecialiseerde tools voor Solana smart contract auditing worden geïmplementeerd om eventuele fouten op te sporen. We implementeren ook technieken zoals: fuzzing om ervoor te zorgen dat we aanvalsvectoren in de echte wereld zoveel mogelijk kunnen articuleren.

Stap 6- Initieel auditrapport

Het eerste auditrapport presenteert de bugs in het contract en vervolgens sturen we het naar het ontwikkelaarsteam om ze op te lossen. 

Stap 7- Definitief auditrapport

Het rapport wordt getest op de door het ontwikkelteam aangebrachte correcties en vervolgens wordt het definitieve auditrapport ingediend. 

Laatste gedachten, 

De nadruk op de noodzaak van Solana slimme contractcontrolediensten om de denkbare gebreken en technische mankementen op te lossen om ze te beschermen tegen hackers wordt hieruit duidelijk gemaakt.

En niet te vergeten, QuillAudits beschikken over de expertise gewapend met geavanceerde tools en technieken om de auditdiensten uit te voeren en gegarandeerde resultaten te leveren. U hoeft niet ergens anders te zoeken, want we zijn slechts een klik verwijderd.

Veelgestelde vragen

Wat is de Solana Smart Contract-codeertaal?

Solana smart contract is geschreven met behulp van de Rust-programmeertaal met het programma dat Solana-specifieke mechanismen bevat. 

Is Solana sneller dan Ethereum?

Jazeker, Solana kan tot 70,000 transacties per seconde verwerken en Ethereum slechts 30 transacties. Ook is de bloktijd van Solana één seconde, terwijl Ethereum 15 seconden is.

Wat zijn de grootste uitdagingen voor slimme contracten van Solana?

De algemene problemen waarmee Solana smart contract te maken heeft, zijn onder meer verouderde afhankelijkheden, overtollige/herhaalde code, niet-geïnitialiseerd geheugen in roestcode, enz. 

Hoe controleert u de slimme contracten van Solana?

QuillAudits voert een diepgaand onderzoek uit van de componenten van slimme contracten en bibliotheken die worden geïmporteerd, afgezien van roestcodering. We doen handmatige codebeoordeling en doen een uitgebreide scan om de invoer van het programma via Fuzzing te verifiëren. 

Wat is het belang van slimme contractcontrole?

Blockchain trekt de aandacht van miljarden mensen, waaronder hackers. Kortom, auditing is cruciaal om mogelijke kwetsbaarheden te voorkomen en de geloofwaardigheid van het project te waarborgen. 

156 keer bekeken