Hvordan revisorer oppdager en DeFi Rug Pull Scam: Kan du gjøre det selv?

Hackere stjal mer kryptovaluta fra desentraliserte finansplattformer (DeFi) enn noen gang før i 2022. Nesten 98 % av alle tokens som ble lansert på DeFis flaggmann DEX Uniswap ble identifisert som rugtrekk.

Den siste, Defrost Finance, kom som et julemareritt for kryptoinvestorer, og utslettet 12 millioner dollar av pengene deres. 

De fleste hacks på DeFi-plattformer skjer gjennom sikkerhetsbrudd og kodeutnyttelse. Prosjekter som ender opp med å bli svindel har alvorlige sikkerhetsproblemer som har fått lov til å gli, eller kanskje uoppdaget med vilje. For å forhindre lignende risikoer er DeFi-sikkerhetsrevisjoner kritiske.

Her vil vi finne ut mer om disse revisjonene, hvordan de gjennomføres, og om det er mulig å gjennomføre en DeFi-revisjon selv. 

DeFi-prosjekter implementeres som komplekse, selvutførende smarte kontrakter, ofte transparente og åpen kildekode. De fungerer som juridiske avtaler mellom to parter. Og siden ingen sentralisert enhet står bak dem, kan selv en liten feil i smarte kontrakter føre til irreversible konsekvenser.

Det betyr at det ikke skal være rom for feil i smarte kontrakter. DeFi smart kontrakt sikkerhetsrevisjoner er ment å sikre det.

Sikkerhetsrevisjoner undersøker koden for smarte kontrakter og hvordan den begrunner kontraktens vilkår og betingelser. Den detaljerte analysen søker etter potensielle sikkerhetsfeil, brudd og systemfeil i koden, så den kan ikke utnyttes. 

Sikkerhetsrevisjoner, vanligvis utført av tredjeparter, er avgjørende for å sikre sikkerheten og troverdigheten til prosjekter og opprettholde et sunt DeFi-økosystem.

Et rugtrekk er en type exit-svindel som opererer i en enkel modell: utviklere lager en lovlig DeFi-protokoll, kjører og markedsfører den til prosjektet tiltrekker seg nok likviditet, trekker deretter ut midlene og forsvinner. 

Vel, ikke alltid. Av og til klandrer rug-pull-svindlere hackere for å stjele likviditet og forbli i virksomhet til neste gang.

For å implementere et angrep legger svindlere inn ondsinnet kode i de smarte kontraktene. De endrer dem for å hindre investorer i å selge: sett maks (100%) salgsgebyret, svarteliste token-eiere og lås brukernes penger i en kontrakt.

Noen smarte kontrakter innebærer å kode en ondsinnet "bakdør" inn i dem, som lar utviklere ta ut likviditeten.  

Mesteparten av tiden blir modifiserte smarte kontrakter ikke verifisert av sikkerhetsrevisorer og er skjult for offentligheten. Siden de fleste on-chain kontrakter er offentlig tilgjengelige, en mangel på åpenhet på GitHub kan være et rødt flagg. 

Blockchain- og smartkontraktindustrien er fortsatt relativt ung, og det samme er revisjonssektoren for smarte kontrakter. Tallrike firmaer spesialiserer seg på smarte kontraktssikkerhetsrevisjoner, utvikler verktøyene sine og former kunnskapen deres. 

Bransjestandarder for smart kontraktssikkerhet og beste praksis utvikler seg. Til tross for det brukes noen ganske standard revisjonsmetoder av aktører i DeFi-revisjonsbransjen.

Undersøkelsene deres begynner vanligvis med den smarte kontraktsevalueringen. Revisor analyserer hvitboken, forretningslogikken og den tekniske spesifikasjonen til DeFi-protokollen for å estimere potensielle risikoer og sikkerhetsfunksjoner.

Deretter flytter de oppmerksomheten til koden for den smarte kontrakten. Det er da kodegjennomgang og analyse starter. 

Revisorer inspiserer kode linje for linje, og ser etter sårbarheter på forskjellige nivåer: kritiske som kan resultere i en likviditetslekkasje; middels nivå, noe som delvis kan skade den smarte kontrakten; og problemstillinger på lavt nivå, som påvirker kontraktens sikkerhet minst.

De bruker en rekke revisjonsteknikker, inkludert automatisert og manuell analyse. Begge har sine fordeler og ulemper.

En automatisert sikkerhetsrevisjon betyr å skanne koden med automatisert analyseprogramvare, som søker etter feil mot databasen med kjente sårbarheter og identifiserer deres nøyaktige plassering i koden.

Den programvarebaserte revisjonen utføres vanligvis før den manuelle analysen for å oppdage feil som mennesker kan overse. Den er raskere og mindre tidkrevende, men samtidig er den kanskje ikke alltid klar over konteksten og går dermed glipp av visse sårbarheter. 

Manuell kodeanalyse er kongen i smart kontraktrevisjon og er den mest kritiske delen av en omfattende og nøyaktig smartkodesikkerhetsrevisjon. Den utføres av minst to separate eksperter som inspiserer koden linje for linje.

Målet er å verifisere at hver detalj i prosjektets spesifikasjon er implementert i den smarte kontrakten og at ingenting bryter med den opprinnelig tiltenkte oppførselen. 

Revisorene gransker koden for utilsiktet, uventet oppførsel, avgjørende sikkerhetsproblemer og sårbarheter som gjeninntreden, datamanipulasjoner, flash-lån og andre manipulasjoner som kan implementeres mens den smarte kontrakten samhandler med andre.

I tillegg til det kjører manuelle revisjoner simuleringer for å evaluere hvor godt DeFi-prosjektets smarte kontrakt reagerer på uidentifiserte trusler og hvor i stand den er til å forsvare seg mot dem. 

Innenfor den siste delen av manuell kodeanalyse sammenligner revisor smartkontraktens logikk med beskrivelsen i prosjektets whitepaper. 

Når alle sårbarheter er identifisert og fikset, kjører revisorene en dobbeltsjekkprosess for å sikre at smartkoden kjører som forventet.

Til slutt, etter at sikkerhetsrevisjonen er fullført, utarbeider revisorene en omfattende rapport. Det er her de gir detaljerte tilbakemeldinger på hva de oppdaget. Vanligvis kommer rapporten deres med anbefalinger om hvordan oppdagede kodesvakheter kan fikses for å redusere prosjektets sikkerhet. 

Smarte kontrakter er en relativt ny innovasjon. Sikkerhetsstandardene deres utvikler seg tilsvarende. Dette betyr at ingen gylden regel garanterer total smart kontraktsikkerhet.

Dessuten er ikke alle smarte kontraktsrevisjonsfirmaer like, og ikke alle revisjoner garanterer sikkerhet. Revisorer kan ha ulike ferdighetsnivåer, ulike mål og ulike kostnader.

For ikke å nevne det faktum at markedet er fullt av skisserte utviklere som forfalsker revisjoner og fortsatt drar nytte av navnet til et respektabelt selskap. Dette er hva som skjedde med Peckshield, et blockchain-sikkerhets- og dataanalyseselskap, for mer enn ett år siden.

Situasjoner som dette er ganske vanlige i kryptovaluta-området. De tar navnet på en legitim og respektabel revisor og legger det inn i deres whitepaper, og sier at protokollen deres ble revidert.

Den eneste måten å unngå tilfeller som dette er å sjekke for bekreftelse på revisors originale kanaler. Hvis det ikke er noen, er sjansen stor for at revisors navn er stjålet. 

Sjekk alltid kundeporteføljen for å vurdere om revisor er solid og anerkjent. Google sakene for å verifisere erfaringspostene deres, og sjekk om noen av de reviderte prosjektene har vært utsatt for et teppetrekk eller andre angrep.

Med så mange hacks og tepper i kryptoområdet, er det naivt å forestille seg at DeFi-prosjekter er trygge uten å se nærmere på dem. Smarte kontraktrevisjoner gir et kritisk lag av sikkerhet. 

Selv de mest profesjonelle garanterer imidlertid ikke at et DeFi-prosjekt er helt feilfritt. Smarte kontrakter er komplekse. De krever detaljerte og omfattende analyser, ekspertise, verktøy og, viktigst av alt, mer enn ett par øyne.