Tempo de leitura: 6 minutos
UMA "smart contract”É um conjunto de instruções executado no Ethereum Blockchain. Para auditar, um contrato inteligente ethereum significa garantir que está protegido contra ameaças potenciais e vulnerabilidades comuns.
Embora, no cenário atual, os hacks e exploits relacionados a contratos inteligentes estejam em alta, é uma tempestade a ser elogiada porque está resultando em avanços e melhorias para Plataformas DeFi, o que os torna mais seguros.
Quando falamos sobre a segurança de contratos inteligentes, não podemos abrir mão do “importância das auditorias de contratos inteligentes.“A auditoria de contratos inteligentes é um processo para verificar códigos de contratos inteligentes com base em vários parâmetros. E nas próximas seções, analisaremos a importância da auditoria de contrato inteligente, várias abordagens para a auditoria de contrato inteligente e as etapas envolvidas na auditoria de um contrato inteligente Ethereum.
Importância da Auditoria de Contrato Inteligente
Para entender melhor por que qualquer parte interessada exigiria uma auditoria de contrato inteligente, precisamos olhar para o passado recente e ver as perdas volumosas incorridas em várias plataformas DeFi.
- Rede Poli : Perda de $ 600 milhões
- Lendf.me - perda de $ 25 milhões;
- Synthetix - 37 milhões de perda de sETH;
- bZx - perda de $ 645.
Esses são apenas alguns hacks recentes. De acordo com um novo relatório-
“O DeFi representou mais de 75% dos hackers de criptografia em 2021. Isso equivale a US $ 361 milhões, 2.7 vezes mais do que em 2020.”
CipherTrace
Esses números enormes são assustadores, mas esses ataques poderiam ter sido mitigados facilmente se as plataformas DeFi pudessem ter tomado medidas preventivas. Embora alguns dos ataques possam ser graves, a maioria deles poderia ter sido facilmente evitada.
Uma das melhores maneiras de manter sua plataforma DeFi protegida de ameaças futuras em potencial é familiarizar-se com todos os ataques anteriores. Para fazer isso, um dos melhores recursos é o registro SWC, que apresenta uma lista de todas as vulnerabilidades de contratos inteligentes e exemplos para combatê-las.
Fonte: SWC registro
Então, quais são as etapas de ouro da auditoria de contrato inteligente que, quando seguidas, podem ajudar várias plataformas DeFi a economizar milhões?
Abordagens universais para auditoria de contrato inteligente
Existem dois métodos amplamente adotados para auditoria de contrato inteligente:
- Análise Manual de Código
- Análise Automática de Código
Análise Manual de Código
É o processo de examinar o código linha por linha para identificar as vulnerabilidades potenciais. É um processo complexo que requer habilidade, experiência, persistência e paciência. Para melhorar a segurança do projeto DeFi, passar pela análise de código manual é substancialmente a melhor maneira de identificar as vulnerabilidades que a análise automática de código pode deixar.
Na maioria das vezes, nos deparamos com uma pergunta muito frequente - “Quantas pessoas deveriam compor a equipe de revisão de código?”. No QuillAuditorias, colocamos a segurança do projeto em primeiro lugar; portanto, temos uma equipe de revisão de auditores experientes e qualificados para examinar a dinâmica do código de contrato inteligente.
Embora existam algumas limitações da análise de código manual, como estouro de buffer (especialmente erros "off-by-one"), código morto e alguns outros erros que às vezes podem ser esquecidos por um revisor humano, eles são mais adequados para automatizados análise para encontrá-los.
Análise Automática de Código
A análise automática de código economiza tempo e dinheiro, pois usa vários testes de penetração para encontrar vulnerabilidades. Nós em QuillAuditorias aproveite várias ferramentas internas de código aberto para maximizar os resultados das auditorias de segurança. Algumas das melhores ferramentas usadas por nossos auditores internos são:
- MythX - Um serviço de segurança de contrato inteligente que examina seu projeto com base em análise estática, análise dinâmica e execução simbólica. Para usar MythX requer uma chave de API de mitox.io.
- Mithril - Uma ferramenta de análise de segurança para contratos inteligentes Ethereum. Ele examina uma série de questões de segurança - underflows de inteiros, substituição do proprietário para retirada do Ether e outros.
- Slither - Uma estrutura de análise estática escrita em Python 3, que identifica vulnerabilidades e imprime informações visuais sobre os detalhes do contrato e fornece uma API para que a análise personalizada seja escrita com flexibilidade.
- Echidna - Uma criatura esquisita que come insetos! Um programa Haskell desenvolvido para fuzzing / teste baseado em propriedade de contratos inteligentes Ethereum.
- Ouvinte - Para analisar o código Ethereum para encontrar vulnerabilidades.
Essa foi apenas uma lista concisa de ferramentas utilizadas por nossa equipe interna de auditores para realizar a análise automática de código. Mas quais são essas etapas de ouro para realizar uma auditoria de contrato inteligente?
Passos para auditar um contrato inteligente Ethereum
Embora possa haver mais de um motivo para realizar uma auditoria de contrato inteligente, o motivo principal é proteger sua plataforma Defi. Nós em QuillAuditorias siga uma metodologia abrangente para conduzir uma auditoria de contrato inteligente.
Nº 1: Reunindo padrões de design de código
É uma das etapas mais importantes na realização de uma auditoria de contrato inteligente. Para a empresa que realiza auditorias, é importante ter um entendimento claro do código e das especificações de funcionamento da plataforma de contrato inteligente.
Nº 2: Teste de Unidade
Realizamos testes de unidade de contrato inteligentes com a ajuda de várias ferramentas de cobertura de código. Também implementamos casos de teste de unidade para verificar se cada função funciona de forma coerente com o código geral do contrato inteligente.
# 3: Análise manual
Às vezes, a análise automatizada pode resultar em relatórios falso-positivos; portanto, fazer pesquisas manuais linha por linha torna-se necessário para encontrar vulnerabilidades potenciais como - condições de corrida, dependência de ordem de transação, chamadas externas de dependência de carimbo de data / hora e ataques de negação de serviço.
# 4: Relatório inicial
Em seguida, apresentamos a você um relatório inicial com todos os bugs e erros que devem ser corrigidos por sua equipe.
# 5: Código corrigido
Corrija todos os bugs e erros descobertos na análise preliminar e envie para os auditores para a revisão final.
Nº 6: Análise estática e verificação formal
Realizamos revisões de código usando nossas ferramentas automatizadas de código aberto internas para detectar quaisquer lacunas e códigos maliciosos no contrato inteligente.
Nº 7: Relatório Final de Auditoria
O relatório final da auditoria é apresentado ao cliente e publicado no GitHub para que todos possam consultar.
Essa é a estratégia abrangente que nossa equipe interna de auditores qualificados segue, embora seja visível que seu contrato inteligente está sendo auditado duas vezes pelo mesmo preço.
Embora auditar um projeto DeFi uma vez não garanta sua segurança, recomendamos que seja auditado pelo menos duas (ou) três vezes. No passado, houve incidentes como o hack "Popsicle Finance" para $ 20M. Ele foi auditado duas vezes, mas também foi explorado devido a uma vulnerabilidade comum.
Portanto, incidentes como este delineiam claramente o importância da auditoria de contrato inteligente - "quanto mais melhor!".
Palavras finais
Bem, se você esteve conosco até aqui, você está familiarizado com a forma como um contrato inteligente ethereum é auditado.
Embora o número crescente de hacks e exploits de DeFi possa alarmar você, a realização de uma auditoria robusta e inteligente de contrato de uma empresa confiável como QuillAuditorias vai economizar milhões de dólares.
1,624 Visualizações
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://blog.quillhash.com/2023/02/08/how-properly-auditing-an-ethereum-smart-contract-can-save-you-millions/
- 000
- 1
- 10
- 2020
- 2021
- 7
- a
- Sobre
- em
- adotado
- avanços
- alarme
- Todos os Produtos
- análise
- analisar
- e
- qualquer um
- api
- se aproxima
- Ataques
- auditor
- auditadas
- auditoria
- auditores
- auditorias
- Automatizado
- Automático
- baseado
- Porque
- torna-se
- antes
- ser
- MELHOR
- Melhor
- blockchain
- amortecer
- erros
- chamadas
- não podes
- transportar
- transporte
- casos
- remover filtragem
- claramente
- cliente
- código
- Revisão de código
- COM
- como
- comum
- Empresa
- integrações
- compreensivo
- condições
- Conduzir
- contract
- contratos
- poderia
- cobertura
- criatura
- cripto
- hacks de criptografia
- personalizadas
- morto
- DeFi
- Plataforma DeFi
- plataformas de defi
- Denial of Service
- dependência
- Design
- detalhes
- desenvolvido
- descoberto
- Não faz
- fazer
- dólares
- dinâmico
- dinâmica
- cada
- facilmente
- garantir
- erros
- especialmente
- ethereum
- Blockchain Ethereum
- Examina
- Examinando
- exemplos
- execução
- vasta experiência
- experiente
- exploradas
- façanhas
- externo
- familiar
- poucos
- final
- Encontre
- Empresa
- Primeiro nome
- fixado
- seguido
- segue
- principal
- formal
- próximo
- Quadro
- freqüente
- da
- função
- futuro
- coleta
- ter
- GitHub
- Go
- vai
- Dourado
- garanta
- cortar
- hacks
- ajudar
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- Alta
- Como funciona o dobrador de carta de canal
- HTTPS
- enorme
- humano
- identifica
- identificar
- executar
- importância
- importante
- melhorar
- melhorias
- in
- INFORMAÇÕES
- do estado inicial,
- instruções
- envolvido
- questões
- IT
- Guarda
- Chave
- Deixar
- limitações
- Lista
- olhar
- lacunas
- fora
- perdas
- fazer
- FAZ
- manual
- muitos
- muitas pessoas
- Maximizar
- significa
- medidas
- Metodologia
- métodos
- milhão
- milhões
- erros
- mi
- dinheiro
- mais
- a maioria
- múltiplo
- necessário
- você merece...
- Novo
- número
- números
- ONE
- open source
- Outros
- Outros
- esboço
- global
- parâmetros
- passado
- Paciência
- Pessoas
- Realizar
- persistência
- plataforma
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- potencial
- Elogiado
- presente
- apresentado
- presentes
- preço
- primário
- impressões
- processo
- Agenda
- projeto
- fornece
- publicado
- colocar
- Python
- questão
- Quilhash
- Corrida
- alcance
- razão
- recentemente
- recomendar
- registro
- relacionado
- Denunciar
- Relatórios
- requerer
- exige
- pesquisa
- Recursos
- resultar
- resultando
- rever
- Opinões
- ascensão
- uma conta de despesas robusta
- Execute
- seguro
- mesmo
- Salvar
- cenário
- seções
- seguro
- segurança
- Auditorias de segurança
- serviço
- conjunto
- grave
- rede de apoio social
- habilidade
- hábil
- smart
- smart contract
- Auditoria Inteligente de Contratos
- Segurança de contrato inteligente
- Smart Contracts
- So
- alguns
- falar
- especificações
- partes interessadas
- Passos
- Storm
- Estratégia
- tal
- Profissionais
- teste
- ensaio
- testes
- A
- ameaças
- Através da
- tempo
- vezes
- timestamp
- para
- ferramenta
- ferramentas
- digno de confiança
- compreender
- compreensão
- unidade
- us
- usar
- vário
- verificar
- visível
- vulnerabilidades
- vulnerabilidade
- maneiras
- O Quê
- qual
- enquanto
- largamente
- precisarão
- trabalhar
- trabalho
- seria
- escrito
- Vocês
- investimentos
- você mesmo
- zefirnet
