Jak audytorzy wykrywają oszustwo DeFi Rug Pull: czy możesz to zrobić sam?

Hakerzy ukradli więcej kryptowalut z platform zdecentralizowanego finansowania (DeFi) niż kiedykolwiek wcześniej w 2022 roku. Prawie 98% wszystkich tokenów uruchomionych na flagowym DeFi, DEX Uniswap, zostało zidentyfikowanych jako podróbki.

Najnowszy, Defrost Finance, oprawa ołowiana witrażu jako świąteczny koszmar dla inwestorów kryptograficznych, niszcząc 12 milionów dolarów ich pieniędzy. 

Większość włamań na platformy DeFi ma miejsce w wyniku naruszenia bezpieczeństwa i wykorzystania kodu. Projekty, które kończą się oszustwami polegającymi na wyciąganiu dywanika, mają poważne problemy z bezpieczeństwem, które mogły zostać przesunięte lub celowo niewykryte. Aby zapobiec podobnym zagrożeniom, audyty bezpieczeństwa DeFi mają kluczowe znaczenie.

Tutaj dowiemy się więcej na temat tych audytów, w jaki sposób są przeprowadzane i czy istnieje możliwość samodzielnego przeprowadzenia audytu DeFi. 

Projekty DeFi są wdrażane jako złożone, samowykonujące się inteligentne kontrakty, często przejrzyste i open source. Działają jako umowy prawne między dwiema stronami. A ponieważ nie stoi za nimi żaden scentralizowany podmiot, nawet niewielki błąd w inteligentnych kontraktach może prowadzić do nieodwracalnych konsekwencji.

Oznacza to, że w smart kontraktach nie powinno być miejsca na błędy. Audyty bezpieczeństwa smart kontraktów DeFi mają to zapewnić.

Audyty bezpieczeństwa badają kod inteligentnych umów i sposób, w jaki opiera się on na warunkach umów. Szczegółowa analiza wyszukuje w kodzie potencjalne luki w zabezpieczeniach, naruszenia i błędy systemowe, dzięki czemu nie można ich wykorzystać. 

Audyty bezpieczeństwa, zwykle przeprowadzane przez strony trzecie, są niezbędne do zapewnienia bezpieczeństwa i wiarygodności projektów oraz utrzymania zdrowego ekosystemu DeFi.

Wyciągnięcie dywanika to rodzaj oszustwa wyjściowego działającego w prostym modelu: programiści tworzą legalnie wyglądający protokół DeFi, uruchamiają go i promują, dopóki projekt nie uzyska wystarczającej płynności, a następnie wyciągają fundusze i znikają. 

Cóż, nie zawsze. Czasami oszuści obwiniają hakerów za kradzież płynności i pozostają w biznesie do następnego razu.

Aby przeprowadzić atak, oszuści osadzają złośliwy kod w inteligentnych umowach. Modyfikują je, aby uniemożliwić inwestorom sprzedaż: ustalają maksymalną (100%) opłatę za sprzedaż, umieszczają na czarnej liście właścicieli tokenów i blokują pieniądze użytkowników w kontrakcie.

Niektóre inteligentne kontrakty obejmują zakodowanie w nich złośliwych „tylnych drzwi”, które umożliwiają programistom wycofanie płynności.  

W większości przypadków zmodyfikowane inteligentne kontrakty nie są weryfikowane przez audytorów bezpieczeństwa i są ukryte przed opinią publiczną. Ponieważ większość umów on-chain jest publicznie dostępna, brak przejrzystości w tym zakresie GitHub może być czerwona flaga. 

Branża blockchain i inteligentnych kontraktów jest wciąż stosunkowo młoda, podobnie jak sektor audytu inteligentnych kontraktów. Wiele firm specjalizuje się w audytach bezpieczeństwa inteligentnych kontraktów, rozwija swoje narzędzia i kształtuje swoje know-how. 

Standardy branżowe i najlepsze praktyki w zakresie bezpieczeństwa inteligentnych kontraktów ewoluują. Mimo to gracze z branży audytu DeFi stosują dość standardowe metody audytu.

Zazwyczaj ich dochodzenia rozpoczynają się od oceny inteligentnego kontraktu. Audytor analizuje oficjalny dokument, logikę biznesową i specyfikację techniczną protokołu DeFi, aby oszacować potencjalne ryzyko i funkcje bezpieczeństwa.

Następnie przenoszą uwagę na kod smart kontraktu. To wtedy rozpoczyna się przegląd kodu i analiza. 

Audytorzy sprawdzają kod linia po linii, szukając luk na różnych poziomach: krytycznych, które mogą skutkować wyciekiem płynności; średnim poziomie, co mogłoby częściowo zaszkodzić inteligentnemu kontraktowi; oraz kwestie niskopoziomowe, które w najmniejszym stopniu wpływają na bezpieczeństwo kontraktu.

Wdrażają szereg technik audytu, w tym analizę automatyczną i ręczną. Oba mają swoje wady i zalety.

Zautomatyzowany audyt bezpieczeństwa polega na skanowaniu kodu za pomocą oprogramowania do automatycznej analizy, które wyszukuje błędy w bazie znanych podatności i określa ich dokładną lokalizację w kodzie.

Audyt oprogramowania jest zwykle przeprowadzany przed analizą ręczną w celu wykrycia błędów, które ludzie mogą przeoczyć. Jest szybszy i mniej czasochłonny, ale jednocześnie może nie zawsze być świadomy kontekstu i tym samym przeoczyć pewne luki. 

Ręczna analiza kodu jest kluczem do audytu inteligentnych kontraktów i jest najważniejszą częścią kompleksowego i dokładnego audytu bezpieczeństwa inteligentnego kodu. Jest przeprowadzane przez co najmniej dwóch niezależnych ekspertów, którzy sprawdzają kod linia po linijce.

Celem jest sprawdzenie, czy każdy szczegół w specyfikacji projektu jest zaimplementowany w smart kontrakcie i czy nic nie narusza jego pierwotnie zamierzonego zachowania. 

Audytorzy sprawdzają kod pod kątem niezamierzonego, nieoczekiwanego zachowania, kluczowych problemów związanych z bezpieczeństwem i luk w zabezpieczeniach, takich jak ponowne wejście, manipulacje danymi, pożyczki flash i inne manipulacje, które mogą zostać wdrożone podczas interakcji inteligentnej umowy z innymi.

Oprócz tego ręczne audyty przeprowadzają symulacje, aby ocenić, jak dobrze inteligentny kontrakt projektu DeFi reaguje na niezidentyfikowane zagrożenia i na ile jest w stanie się przed nimi bronić. 

W końcowej części ręcznej analizy kodu audytor porównuje logikę smart kontraktu z jego opisem w whitepaper projektu. 

Po zidentyfikowaniu i naprawieniu wszystkich luk w zabezpieczeniach audytorzy przeprowadzają proces podwójnej kontroli, aby upewnić się, że inteligentny kod działa zgodnie z oczekiwaniami.

Ostatecznie po zakończeniu audytu bezpieczeństwa audytorzy przygotowują kompleksowy raport. Tam przekazują szczegółowe informacje zwrotne na temat tego, co odkryli. Zazwyczaj ich raport zawiera zalecenia, w jaki sposób można naprawić wykryte słabości kodu, aby złagodzić bezpieczeństwo projektu. 

Inteligentne kontrakty to stosunkowo nowa innowacja. Ich standardy bezpieczeństwa odpowiednio ewoluują. Oznacza to, że żadna złota zasada nie gwarantuje całkowitego bezpieczeństwa inteligentnych kontraktów.

Co więcej, nie wszystkie firmy audytorskie inteligentnych kontraktów są takie same i nie wszystkie audyty gwarantują bezpieczeństwo. Audytorzy mogą mieć różne poziomy umiejętności, różne cele i różne koszty.

Nie mówiąc już o tym, że na rynku pełno jest programistów, którzy fałszują audyty, a mimo to czerpią korzyści z nazwy szanowanej firmy. To właśnie przydarzyło się Peckshield, firmie zajmującej się bezpieczeństwem blockchain i analizą danych, ponad rok temu.

Takie sytuacje są dość powszechne w przestrzeni kryptowalut. Przyjmują nazwisko legalnego i szanowanego audytora i umieszczają je w swoim dokumencie, mówiąc, że ich protokół został skontrolowany.

Jedynym sposobem uniknięcia takich przypadków jest sprawdzenie potwierdzenia w oryginalnych kanałach audytora. Jeśli ich nie ma, istnieje ryzyko, że nazwisko audytora zostało skradzione. 

Zawsze sprawdzaj portfolio swoich klientów, aby ocenić, czy audytor jest solidny i renomowany. Wygoogluj przypadki, aby zweryfikować historię ich doświadczeń i sprawdzić, czy któryś ze skontrolowanych projektów padł ofiarą ciągnięcia dywanika lub innych ataków.

Przy tak wielu hackach i dywanikach w przestrzeni kryptograficznej naiwnością jest wyobrażać sobie, że projekty DeFi są bezpieczne, bez głębszego przyjrzenia się im. Inteligentne audyty kontraktów zapewniają kluczową warstwę bezpieczeństwa. 

Jednak nawet najbardziej profesjonalni nie gwarantują, że projekt DeFi będzie całkowicie wolny od błędów. Inteligentne kontrakty są złożone. Wymagają szczegółowej i wszechstronnej analizy, wiedzy specjalistycznej, narzędzi i, co najważniejsze, więcej niż jednej pary oczu.