Hva gjør DeFi Smart Contract Auditing så sentralt

DeFi hadde vært flaggbæreren av kryptoboomen i 2020, og varmen nektet å dø ut gjennom 2021 også. Med flere og flere mennesker som skyller pengene sine inn i avkastningsoppdrett, fortsetter DeFi å være det i det lange løp.

Du kjenner kanskje mange som multipliserte inntektene sine med DeFi. Det har ikke vært uvanlig i kryptokretser å finne folk som har slynget pengene deres 7x or 10x med avlingsoppdrett. Flash-lån har vært et viktig verktøy i deres hender, som har gjort det mulig for dem å flytte pengene sine raskt mellom protokoller innen fastsatt tid og myntgull.

Rollen til smarte kontrakter i driften av DeFi

Få mennesker innser imidlertid rollen til smarte kontrakter i å kjøre disse kraftige applikasjonene på en automatisert måte. Smarte kontrakter er uforanderlige dataprogrammer lagret på en blokkjede. Disse programmene vil ta en handling når en forhåndsbestemt betingelse er oppfylt. Takket være den smarte kontrakten kan alle interessenter være sikre på utfallet, uten å bli involvert.

Det som gjør at smarte kontrakter blir til et svakt ledd

Smarte kontrakter har kommet ut som en banebrytende åpenbaring. Det er imidlertid en annen side av mynten også. Smarte kontrakter har vist seg å være det svake leddet i DeFi-økosystemet. Utviklere kan ende opp med å skrive dårlig kode, noe som gir de skruppelløse elementene smutthull for å snike penger og gjemme pengene som er låst i protokollen. Mange DeFi-prosjekter er splittet fra de eksisterende protokollene. I slike tilfeller går feilene i den eksisterende protokollen også videre til den forked.

Ofte er ikke utviklere erfarne og kunnskapsrike nok til å skrive sikker kode. Prosjekter har en tendens til å ansette uerfarne utviklere for å spare på kostnadene, uten å innse at en bunt med feil som er trukket ut av disse menneskene kan koste dem dyrt. Noen ganger kan utviklere legge igjen feil med vilje for å avlede midlene fra protokollen til sine egne lommebøker. Og så, i mange tilfeller, kan hackerne være smarte nok til å oppdage feil og sårbarheter i en tilsynelatende sunn kode og slå til uvitende. Uansett hvordan feilene har funnet veien til koden, kan disse utgjøre en eksistensiell trussel mot prosjektet.

En oversikt over DeFi-lekkasjer i 2021

Se på DeFi-utnyttelsene som skjedde i 2021, og du vil bli overrasket over å finne det store antallet protokoller som lekket midler via den smarte kontrakten.

Lenge finans – Gjerningsmennene utnyttet protokollens flashlån-funksjon til å ta med $11 millioner verdt av brukermidler via en smart kontraktsutnyttelse.

Alpha Homora – Denne innflytelseslikviditetsprotokollen ble et offer for en $37.5 million utnyttelse. Utnyttelsen innebar å bruke en funksjon som frigjorde lån uten sikkerhet for pålitelige smarte kontrakter.

Surikat Finance – Smart kontrakthvelv av denne avkastningsoppdrettsprotokollen på Binance Smart Chain ble angrepet, noe som resulterte i et tap på ca. 13 millioner BUSD og 73,000 BNB

BETALT nettverk – Et uendelig mynteangrep på PAID kulminerte i et tap på rundt 180 millioner dollar.

EasyFi – Et angrep på EasyFi, bygget på toppen av Polygon-nettverket, endte med at angriperen tok fra seg eiendeler verdt $75 millioner.

ForceDAO – Hackere målrettet ForceDAO for å drenere 183 ETH fra protokollen.

Uran Finance – Mens protokollen gjennomførte sin token-migrering, fikk den et angrep som tok opp til tap av $50 millioner.

Spartan – Flere flashlånsangrep på denne BSC-baserte DeFi-protokollen førte til et tap på ca $30 millioner.

RARI hovedstad – Hackere tappet avkastningshvelv og utlånspooler av Rari Capital for å påføre tap på $11 millioner.

Hvordan midler blir stjålet fra DeFi-protokoller

Det er tre måter å suge av midler fra DeFi-protokoller –

Smarte smutthull i kontrakten – Det er de smarte kontraktene som utfører nøkkelfunksjonalitet som likviditet og innsats, noe som gjør dem til et evig mål for hackerne. Bugs i smarte kontrakter er hovedårsaken til utnyttelsene.

Flash-lån – Angripere bruker massive flashlån for å blåse opp prisstrømmen for en spesifikk stablecoin og multiplisere beholdningen deres i prosessen. Vi kan imidlertid ikke gjøre unna flashlån, da de legger til rette for noen svært nyttige DeFi-funksjoner som arbitrage, bytte av sikkerheter, selvlikvidering og mange flere.

HVORFOR ER FLASH LOAN ATTACKS DE NYE SORTENE 🔥🔥?

Penger for ingenting 💸. Det er hva Flash-lån betegnes som i #DeFi rom. Men i den siste tiden ble forskjellige DeFi-plattformer sludd av over millioner gjennom "Flash Loan"-angrep ⚠️

[1 / 3]den #Blockcha pic.twitter.com/7SvGr2SMgL

- QuillAudits (@QuillAudits) Juli 31, 2021

Oracle manipulasjon – Desentraliserte nettverk kan bare få tilgang til eksterne data via orakler. Oracles rolle er avgjørende for å få sikre og pålitelige data. Hackere ville prøve å manipulere orakler for å påvirke ting til deres fordel. Som flashlån kan du ikke gjøre unna oracle, men det du kan gjøre er å integrere protokollen din med et desentralisert orakel, som generelt er mer pålitelig.

Må lese - Hva du ikke skal glemme når du kontrollerer smarte kontrakter i DeFi

Mulige måter å angripe smarte kontrakter på

Det kan være mange grunner for feil og sårbarheter i smarte kontrakter. Disse inkluderer re-entrance, front-running, ukrypterte on-chain private data, irrelevant kode, meldingsanrop med hardkodet gassmengde, hash-kollisjoner med flere variable lengde-argumenter, uventet Ether-balanse, tilstedeværelse av ubrukte variabler, typografisk feil, DoS med blokkering gassgrense, vilkårlig hopp med funksjonstypevariabel, utilstrekkelig gasssorg, feil arvefølge, brudd på krav, mangel på riktig signaturverifisering, svake kilder til tilfeldighet fra kjedeattributter, signaturformbarhet, DoS med mislykket anrop, bruk av utdaterte funksjoner, ubeskyttet Ether uttak og mange flere. Utviklerne bør være klar over alle disse forekomstene og kodebeskrivelsene deres.

Revisjon av smart kontrakt

En smart kontrakt krever grundig revisjon før distribusjon. Alle funn er forklart i sluttrapporten sammen med anbefalingene. Smart kontraktssikkerhetsnivåer måles i tråd med et sett med spesifikasjoner som kritisk, høy, middels, lav og lavest.

Riktig revisjon innebærer både automatiske og manuelle kontroller. Automatisk revisjon distribuerer programvare som bestemmer delen som er ansvarlig for hver utførelse og utforsker hvor den mulige feilen kan oppstå. Manuell analyse involverer et team av erfarne utviklere som undersøker hver kodelinje. De kan sjekke mot en liste over standardsårbarheter eller utføre en utforskende sjekk basert på deres erfaring.

Innpakning opp

Smarte kontrakter er motoren bak DeFi. For å beskytte et DeFi-prosjekt mot sårbarheter, er det avgjørende å gjennomføre en grundig sjekk av kontrakten. Automatisk så vel som manuell revisjon må utføres samtidig for å gjøre revisjonen så grundig og nøyaktig som mulig. 

Ta kontakt med QuillAudits

QuillAudits er en sikker smart kontraktsrevisjonsplattform designet av QuillHash
Technologies.
Det er en revisjonsplattform som grundig analyserer og verifiserer smarte kontrakter for å se etter sikkerhetsproblemer gjennom effektive håndbok anmeldelse med statisk og dynamisk analyseverktøy, gassanalysatorer i tillegg til simulatorer. Videre inkluderer revisjonsprosessen også omfattende enhetstesting i tillegg til struktur analyse.
Vi har begge en smart kontrakt revisjoner og penetration tester for å finne potensial
sikkerhetsproblemer som kan skade plattformens integritet.

Hvis du trenger noen bistand i de smarte kontraktene revisjon, Føl deg fri til å nå ut til våre eksperter her!

Å være oppdatert med vårt arbeid, Bli med oss fellesskapet:-

Twitter | Linkedin |  Facebook  | Telegram 

Kilde: https://blog.quillhash.com/2021/10/06/what-makes-defi-smart-contract-auditing-so-pivotal/