En kort om Ethereum Smart Contract Audit

Lesetid: 6 minutter

En "smart kontrakt”Er et sett med instruksjoner som kjører på Ethereum Blockchain. For revisjon betyr en ethereum smart kontrakt å sikre at den er sikret mot potensielle trusler og vanlige sårbarheter. 

Selv om hackene og utnyttelsene knyttet til smarte kontrakter i det nåværende scenariet er på et høydepunkt noensinne, er det en storm å bli rost for fordi det resulterer i fremskritt og forbedringer for DeFi-plattformer, noe som gjør dem sikrere. 

Når vi snakker om sikkerheten til smarte kontrakter, kan vi ikke gi slipp på “viktigheten av smart kontraktrevisjoner.Smart kontraktrevisjon er en prosess for å kryssverifisere smarte kontraktskoder basert på ulike parametere. Og i de kommende delene vil vi analysere viktigheten av smart kontraktrevisjon, flere tilnærminger til smart kontraktrevisjon, og trinn involvert i revisjon av en Ethereum smart kontrakt. 

Viktigheten av smart kontraktsrevisjon

For bedre å forstå hvorfor enhver interessent ville kreve smart kontraktsrevisjon, må vi se nærmere på den siste fortiden og se de omfattende tapene som påløper på forskjellige DeFi -plattformer. 

• Polynettverk : Tap på 600 millioner dollar
• Lendf.me - tap på 25 millioner dollar
• Syntetikk - 37 millioner sETH tap; 
• BZX - 645 000 dollar tap. 

Dette er bare noen få nylige hack. I henhold til en ny rapport-

"DeFi har stått for over 75% av Crypto Hacks i 2021. Det utgjør 361 millioner dollar, 2.7 ganger mer enn i 2020." 

CipherTrace

Disse enorme tallene er skremmende, men disse angrepene kunne lett blitt redusert hvis DeFi -plattformene kunne ha tatt forebyggende tiltak. Selv om noen av angrepene kan være alvorlige, kunne de fleste av dem lett vært avverget. 

En av de beste måtene å beskytte DeFi -plattformen din mot potensielle fremtidige trusler er å bli kjent med alle de tidligere angrepene. For å gjøre dette, er en av de beste ressursene SWC -registret som presenterer en liste over alle smarte kontraktssårbarheter og eksempler for å håndtere dem. 

kilde: SWC registret 

Så hva er de gylne trinnene for smart kontraktsrevisjon som, når de følges, kan hjelpe ulike DeFi -plattformer til å spare millioner? 

Universelle tilnærminger til smart kontraktsrevisjon 

Det er to vidt brukte metoder for smart kontraktsrevisjon:

• Manuell kodeanalyse
• Automatisk kodeanalyse

Manuell kodeanalyse

Det er prosessen med å undersøke koden linje for linje for å identifisere de potensielle sårbarhetene. Det er en kompleks prosess som krever dyktighet, erfaring, utholdenhet og tålmodighet. For å forbedre sikkerheten til DeFi -prosjektet, er å gå gjennom den manuelle kodeanalysen vesentlig den beste måten å identifisere sårbarhetene som den automatiske kodeanalysen kan etterlate. 

Som oftest støter vi på et svært hyppig spørsmål - "Hvor mange mennesker bør utgjøre kodeteamet?". På QuillAudits, vi setter sikkerheten til prosjektet først; Derfor har vi et gjennomgangsteam av erfarne og dyktige revisorer for å se på dynamikken i smart kontraktskoden.

Selv om det er noen begrensninger i den manuelle kodeanalysen, for eksempel bufferoverløp (spesielt "off-by-one" -feil), død kode og noen andre feil som noen ganger kan bli oversett av en menneskelig korrekturleser, er de bedre egnet for automatiserte analyse for å finne dem. 

Automatisk kodeanalyse 

Automatisk kodeanalyse sparer tid og penger da den bruker forskjellige penetrasjonstester for å finne sårbarheter. Vi kl QuillAudits utnytte ulike interne open source-verktøy for å maksimere resultatene for sikkerhetsrevisjoner. Noen av de beste verktøyene som brukes av våre interne revisorer er:

• MythX - En smart kontraktssikkerhetstjeneste som undersøker prosjektet ditt basert på statisk analyse, dynamisk analyse og symbolsk utførelse. For å bruke MythX krever en API -nøkkel fra mythx.io.
• Mythril - Et verktøy for sikkerhetsanalyse for smarte kontrakter fra Ethereum. Den undersøker en rekke sikkerhetsproblemer-heltallsunderflyt, eier-overskriv-til-Ether-tilbaketrekking og andre. 
• Skli - Et statisk analyserammeverk skrevet i Python 3, det identifiserer sårbarheter og skriver ut visuell informasjon om kontraktdetaljer, og gir et API for tilpasset analyse som kan skrives fleksibelt. 
• echidna - En merkelig skapning som spiser insekter! Et Haskell-program utviklet for fuzzing/eiendomsbasert testing av Ethereum smarte kontrakter. 
• Lytter - Å analysere Ethereum -kode for å finne sårbarheter. 

Det var bare en kortfattet liste over verktøy som vårt interne team av revisorer benytter for å utføre automatisk kodeanalyse. Men hva er de gylne trinnene for å gjennomføre en smart kontraktsrevisjon? 

Trinn for å revidere en Ethereum Smart -kontrakt 

Selv om det kan være mer enn én grunn til å utføre en smart kontraktsrevisjon, er hovedmotivet å sikre din Defi -plattform. Vi kl QuillAudits følg en omfattende metode for å gjennomføre en smart kontraktsrevisjon.

#1: Samle kodedesignmønstre 

Det er et av de fremste trinnene i å utføre en smart kontraktsrevisjon. For selskapet som utfører revisjoner, er det viktig å ha en klar forståelse av koden og arbeidsspesifikasjonene til smartkontraktplattformen. 

#2: Enhetstesting 

Vi utfører smarte kontraktenhetstester ved hjelp av forskjellige verktøy for kodedekning. Vi implementerer også enhetstesttilfeller for å kontrollere at hver funksjon fungerer i samsvar med den generelle smarte kontraktskoden. 

#3: Manuell analyse

Noen ganger kan automatisert analyse resultere i falskt positive rapporter; Derfor blir det nødvendig med line-by-line manuell forskning for å finne potensielle sårbarheter som-løpeforhold, transaksjonsbestillingsavhengighet, tidsstempelavhengighet eksterne samtaler og tjenestenektangrep. 

#4: Første rapport 

Vi presenterer deretter for deg en første rapport med alle feilene og feilene som skal løses av teamet ditt. 

#5: Koden er løst

Løs alle feil og feil som ble oppdaget i den foreløpige analysen, og send dem deretter til revisorene for den siste gjennomgangen. 

#6: Statisk analyse og formell bekreftelse

Vi utfører kodevurderinger ved hjelp av våre interne automatiserte verktøy for åpen kildekode for å oppdage smutthull, ondsinnede koder i smartkontrakten. 

#7: Sluttrevisjonsrapport 

Den endelige revisjonsrapporten presenteres for klienten og publiseres på GitHub for alle å henvise til.  

Dette er den omfattende strategien som vårt interne team av dyktige revisorer følger, selv om det er synlig at din smarte kontrakt blir revidert to ganger til samme pris. 

Selv om revisjon av et DeFi -prosjekt en gang ikke garanterer sikkerheten, anbefaler vi at det revideres minst to ganger (eller) tre ganger. Tidligere har det vært hendelser som "Popsicle Finance" -hack for $ 20M. Det ble revidert to ganger, men det ble også utnyttet på grunn av en felles sårbarhet. 

Derfor beskriver hendelser som dette tydelig viktigheten av smart kontraktsrevisjon - "jo mer jo bedre!".

Avsluttende ord

Vel, hvis du har vært med oss ​​til her, er du kjent med hvordan en ethereum smart kontrakt revideres. 

Selv om det økende antallet DeFi -hack og utnyttelser kan skremme deg, utfører du en robust smart kontraktsrevisjon fra et pålitelig firma som f.eks. QuillAudits vil spare deg for millioner av dollar. 

1,624 Visninger

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://blog.quillhash.com/2023/02/08/how-properly-auditing-an-ethereum-smart-contract-can-save-you-millions/