DeFi było sztandarowym nosicielem boomu kryptograficznego w 2020 roku, a upał nie chciał ucichnąć również w 2021 roku. Ponieważ coraz więcej osób przeznacza swoje fundusze na uprawę plonów, DeFi nadal działa na dłuższą metę.
Być może znasz wielu, którzy pomnożyli swoje zarobki dzięki DeFi. W kręgach kryptograficznych nie było rzadkością znalezienie osób, które katapultowały ich fundusze 7x or 10x z uprawą plonów. Pożyczki Flash były głównym narzędziem w ich rękach, umożliwiając im szybkie przenoszenie pieniędzy między protokołami w określonym czasie i miętowym złotem.
Rola inteligentnych kontraktów w prowadzeniu DeFi
Niewiele osób zdaje sobie jednak sprawę z roli inteligentnych kontraktów w automatycznym uruchamianiu tych potężnych aplikacji. Inteligentne kontrakty to niezmienne programy komputerowe przechowywane w łańcuchu bloków. Programy te podejmą działanie, gdy spełniony zostanie z góry określony warunek. Dzięki inteligentnemu kontraktowi wszyscy interesariusze mogą być pewni wyniku, bez faktycznego angażowania się.
Co sprawia, że inteligentne kontrakty stają się słabym ogniwem
Inteligentne kontrakty okazały się przełomowym odkryciem. Jednak jest też druga strona medalu. Inteligentne kontrakty okazały się słabym ogniwem ekosystemu DeFi. Deweloperzy mogą skończyć na pisaniu złego kodu, dając pozbawionym skrupułów elementom luki, aby przemycić pieniądze i ukryć fundusze zablokowane w protokole. Wiele projektów DeFi jest rozwidlonych z istniejących protokołów. W takich przypadkach błędy w istniejącym protokole przechodzą również na rozwidlony protokół.
Często programiści nie mają wystarczającej wiedzy i doświadczenia, aby pisać bezpieczny kod. Projekty mają tendencję do zatrudniania niedoświadczonych programistów, aby zaoszczędzić na kosztach, nie zdając sobie sprawy, że pakiet błędów wyrzuconych przez tych ludzi może ich drogo kosztować. Czasami programiści mogą celowo pozostawiać błędy, aby przekierować środki z protokołu do własnych portfeli. W wielu przypadkach hakerzy mogą być wystarczająco sprytni, aby wykryć błędy i luki w pozornie zdrowym kodzie i zaatakować z zaskoczenia. Niezależnie od tego, w jaki sposób błędy znalazły się w kodzie, mogą one stanowić egzystencjalne zagrożenie dla projektu.
Przegląd przecieków DeFi w 2021 r.
Rzuć okiem na exploity DeFi, które miały miejsce w 2021 r., a zdziwisz się, gdy zobaczysz ogromną liczbę protokołów, które wyciekły środki za pośrednictwem inteligentnej umowy.
Tęsknić Finanse – Sprawcy wykorzystali funkcję wypożyczenia błyskawicznego protokołu, aby zgarnąć $11 milionowe fundusze użytkowników dzięki wykorzystaniu inteligentnego kontraktu.
alfa homora – Ten protokół płynności lewarowanej stał się ofiarą $37.5 milion wykorzystać. Exploit polegał na wykorzystaniu funkcji, która udostępniała niezabezpieczone pożyczki na zaufane inteligentne kontrakty.
Surykatka Finanse – Zaatakowano inteligentny skarbiec kontraktów tego protokołu uprawy plonów na Binance Smart Chain, co spowodowało utratę około 13 mln BUSD i 73,000 BNB.
Sieć płatna – Niekończący się atak menniczy na PAID zakończył się stratą około 180 milionów dolarów.
EasyFi – Atak na EasyFi, zbudowany na bazie sieci Polygon, zakończył się tym, że atakujący zabrał wartości warte $75 milion.
Wymuś DAO – Hakerzy skierowali ForceDAO do drenażu 183 ETH z protokołu.
Finanse uranu – Podczas gdy protokół przeprowadzał migrację tokenów, doznał ataku, który trwał do strat $50 milion.
Spartanin – Wielokrotne ataki typu flash pożyczki na ten protokół DeFi oparty na BSC doprowadziły do utraty około $30 milion.
Kapitał RARI – Hakerzy opróżnili skarbce zysku i pulę pożyczek Rari Capital, aby spowodować stratę $11 milion.
Jak kradzione są fundusze z protokołów DeFi
Istnieją trzy sposoby wyprowadzania środków z protokołów DeFi –
Luki w inteligentnych umowach – To inteligentne kontrakty realizujące kluczowe funkcje, takie jak płynność i obstawianie, czynią je odwiecznym celem hakerów. Błędy w inteligentnych kontraktach są główną przyczyną exploitów.
Pożyczki błyskawiczne – Atakujący używają ogromnych pożyczek flash, aby zawyżać kanał cenowy dla konkretnego stablecoina i pomnażać w ten sposób swoje zasoby. Nie możemy jednak zrezygnować z pożyczek flash, ponieważ ułatwiają one niektóre bardzo przydatne funkcje DeFi, takie jak arbitraż, zamiana zabezpieczeń, samolikwidacja i wiele innych.
Manipulacja Oracle – Zdecentralizowane sieci mają dostęp do danych zewnętrznych tylko za pośrednictwem wyroczni. Rola wyroczni jest kluczowa dla uzyskania bezpiecznych i wiarygodnych danych. Hakerzy próbowaliby manipulować wyroczniami, aby wpłynąć na rzeczy na swoją korzyść. Podobnie jak pożyczki flash, nie możesz pozbyć się wyroczni, ale możesz zintegrować swój protokół ze zdecentralizowaną wyrocznią, która jest ogólnie bardziej godna zaufania.
Musisz przeczytać - O czym nie zapomnieć podczas audytu inteligentnych kontraktów w DeFi
Możliwe sposoby ataku na inteligentne kontrakty
Może być kilka powodów za błędy i luki w inteligentnych kontraktach. Obejmują one ponowne wejście, uruchamianie z przodu, niezaszyfrowane prywatne dane w łańcuchu, nieistotny kod, wywołanie wiadomości z zakodowaną na stałe ilością gazu, kolizje haszowania z wieloma argumentami o zmiennej długości, nieoczekiwane saldo Ether, obecność nieużywanych zmiennych, błąd typograficzny, DoS z blokiem limit gazu, arbitralny skok ze zmienną typu funkcji, niewystarczający griefing gazu, nieprawidłowa kolejność dziedziczenia, naruszenie wymagań, brak poprawnej weryfikacji podpisu, słabe źródła losowości z atrybutów łańcucha, plastyczność podpisu, DoS przy nieudanym wywołaniu, użycie przestarzałych funkcji, niezabezpieczony Ether wycofanie i wiele innych. Deweloperzy powinni być świadomi wszystkich tych wystąpień i ich opisów kodu.
Audyt smart kontraktu
Inteligentna umowa wymaga dokładnego audytu przed wdrożeniem. Wszystkie odkrycia są wyjaśnione w raporcie końcowym wraz z zaleceniami. Poziomy bezpieczeństwa inteligentnych kontraktów są mierzone zgodnie z zestawem specyfikacji, takich jak krytyczne, wysokie, średnie, niskie i najniższe.
Właściwy audyt obejmuje zarówno kontrolę automatyczną, jak i ręczną. Audyt automatyczny wdraża oprogramowanie, które określa część odpowiedzialną za każde wykonanie i bada, gdzie może wystąpić ewentualny błąd. Analiza ręczna obejmuje zespół doświadczonych programistów sprawdzających każdą linię kodu. Mogą sprawdzić listę standardowych luk w zabezpieczeniach lub przeprowadzić kontrolę eksploracyjną w oparciu o swoje doświadczenie.
Zamykając
Inteligentne kontrakty są motorem DeFi. Aby chronić projekt DeFi przed lukami, konieczne jest przeprowadzenie dokładnej kontroli umowy. Audyt automatyczny i ręczny musi być prowadzony równolegle, aby audyt był jak najbardziej dokładny i dokładny.
Skontaktuj się z QuillAudits
QuillAudyty to bezpieczna platforma audytów inteligentnych kontraktów zaprojektowana przez QuillHash
Technologie.
Jest to platforma audytowa, która rygorystycznie analizuje i weryfikuje inteligentne kontrakty w celu sprawdzenia luk w zabezpieczeniach poprzez skuteczne podręcznik recenzja z statyczny i dynamiczny narzędzia analityczne, analizatory gazów jak również symulatory. Ponadto proces audytu obejmuje również rozbudowane: testów jednostkowych jak również analiza strukturalna.
Przeprowadzamy zarówno inteligentne kontrakty kontrole i penetracja testy, aby znaleźć potencjał
luki w zabezpieczeniach, które mogą zaszkodzić platformie integralność.
Jeśli potrzebujesz wsparcie w inteligentnych kontraktach Audyt, nie krępuj się osiągnąć naszym ekspertom tutaj!
Być na bieżąco z naszą pracą, Dołącz do nas Społeczność:-
Twitter | LinkedIn | Facebook | Telegram
Źródło: https://blog.quillhash.com/2021/10/06/what-makes-defi-smart-contract-auditing-so-pivotal/
- 2020
- 7
- dostęp
- Działania
- Korzyść
- Wszystkie kategorie
- analiza
- aplikacje
- arbitraż
- argumenty
- na około
- Aktywa
- Audyt
- zautomatyzowane
- binance
- Czarny
- blockchain
- BnB
- wysięgnik
- Bug
- błędy
- Zapakować
- BUSD
- wezwanie
- kapitał
- Etui
- Spowodować
- Wykrywanie urządzeń szpiegujących
- kod
- Moneta
- ciągły
- umowa
- umowy
- Koszty:
- Crypto
- dane
- Zdecentralizowane
- DeFi
- deweloperzy
- Zarobki
- Ekosystem
- ETH.
- Eter
- doświadczenie
- Wykorzystać
- rolnictwo
- Cecha
- Korzyści
- Migać
- Darmowy
- funkcjonować
- fundusze
- GAS
- Dający
- Złoto
- hakerzy
- haszysz
- Wysoki
- zatrudnić
- W jaki sposób
- HTTPS
- wpływ
- zaangażowany
- IT
- przystąpić
- skok
- Klawisz
- Wycieki
- Doprowadziło
- pożyczanie
- Dźwignia
- Linia
- LINK
- Płynność
- Lista
- Kredyty
- długo
- poważny
- Dokonywanie
- średni
- milion
- pieniądze
- ruch
- sieć
- sieci
- wyrocznia
- zamówienie
- Ludzie
- kluczowy
- Platforma
- Platformy
- Baseny
- Cena
- prywatny
- Programy
- projekt
- projektowanie
- chronić
- protokół
- raport
- przeglądu
- run
- bieganie
- bezpieczeństwo
- zestaw
- mądry
- inteligentna umowa
- Inteligentne kontrakty
- poskarżyć
- So
- Tworzenie
- Typ przestrzeni
- Spot
- stablecoin
- Staking
- chować na potem
- skradziony
- cel
- Testy
- czas
- żeton
- Top
- i twitterze
- Sklepienie
- Weryfikacja
- Luki w zabezpieczeniach
- Portfele
- KIM
- w ciągu
- Praca
- wartość
- pisanie
- Wydajność
