Cum detectează auditorii o înșelătorie DeFi Rug Pull: poți să o faci singur?

Hackerii au furat mai multe criptomonede de pe platformele de finanțare descentralizată (DeFi) decât oricând înainte în 2022. Aproape 98% din toate jetoanele lansate pe flagman-ul DEX Uniswap de la DeFi au fost identificate drept covorașe.

Cel mai recent, Defrost Finance, a venit ca un coșmar de Crăciun pentru investitorii cripto, ștergând 12 milioane de dolari din banii lor. 

Cele mai multe hack-uri pe platformele DeFi au loc prin breșe de securitate și exploatări de cod. Proiectele care ajung să fie înșelătorii de covoare au probleme serioase de securitate care au fost lăsate să alunece sau, poate, nedetectate intenționat. Pentru a preveni riscuri similare, auditurile de securitate DeFi sunt critice.

Aici vom afla mai multe despre aceste audituri, cum sunt efectuate și dacă este posibil să desfășurați singur un audit DeFi. 

Proiectele DeFi sunt implementate ca contracte inteligente complexe, auto-executive, adesea transparente și open-source. Acţionează ca acorduri legale între două părţi. Și din moment ce nicio entitate centralizată nu se află în spatele lor, chiar și o mică eroare în contractele inteligente ar putea duce la consecințe ireversibile.

Aceasta înseamnă că nu ar trebui să existe loc pentru erori în contractele inteligente. Auditurile de securitate a contractelor inteligente DeFi sunt menite să asigure asta.

Auditurile de securitate examinează codul contractelor inteligente și modul în care acesta întemeiază termenii și condițiile contractelor. Analiza detaliată caută potențiale defecte de securitate, încălcări și erori de sistem în cod, astfel încât acesta nu poate fi exploatat. 

Auditurile de securitate, de obicei efectuate de terți, sunt vitale pentru a asigura securitatea și credibilitatea proiectelor și pentru a menține un ecosistem DeFi sănătos.

O tragere de covor este un tip de escrocherie de ieșire care funcționează într-un model simplu: dezvoltatorii creează un protocol DeFi cu aspect legitim, îl rulează și îl promovează până când proiectul atrage suficientă lichiditate, apoi scot fondurile și dispar. 

Ei bine, nu întotdeauna. Ocazional, escrocii care trag covorul dau vina pe hackeri pentru furtul de lichiditati si raman in afaceri pana data viitoare.

Pentru a implementa un atac, escrocii încorporează cod rău intenționat în contractele inteligente. Le modifică pentru a împiedica investitorii să vândă: setați taxa de vânzare maximă (100%), puneți pe lista neagră a proprietarilor de jetoane și blocați banii utilizatorilor într-un contract.

Unele contracte inteligente implică codificarea unei „uși din spate” rău intenționate în ele, care permite dezvoltatorilor să retragă lichiditatea.  

De cele mai multe ori, contractele inteligente modificate nu sunt verificate de auditorii de securitate și sunt ascunse ochiului public. Deoarece majoritatea contractelor în lanț sunt disponibile publicului, lipsește transparența GitHub ar putea fi un steag roșu. 

Industria blockchain și a contractelor inteligente este încă relativ tânără, la fel și sectorul de audit al contractelor inteligente. Numeroase firme sunt specializate în audituri de securitate smart contract, își dezvoltă instrumentele și își modelează know-how-ul. 

Standardele și cele mai bune practici din industria de securitate a contractelor inteligente evoluează. În ciuda acestui fapt, unele metode de audit destul de standard sunt folosite de jucătorii din industria de audit DeFi.

De obicei, investigațiile lor încep cu evaluarea contractului inteligent. Auditorul analizează documentul alb, logica de afaceri și specificațiile tehnice ale protocolului DeFi pentru a estima riscurile potențiale și caracteristicile de securitate.

Apoi își îndreaptă atenția asupra codului contractului inteligent. Acesta este momentul în care începe revizuirea și analiza codului. 

Auditorii inspectează codul linie cu linie, căutând vulnerabilități de diferite niveluri: cele critice care pot duce la o scurgere de lichiditate; nivel mediu, care ar putea deteriora parțial contractul inteligent; și probleme de nivel scăzut, care afectează cel mai puțin securitatea contractului.

Ei implementează o serie de tehnici de audit, inclusiv analiză automată și manuală. Ambele au avantajele și dezavantajele lor.

Un audit de securitate automatizat înseamnă scanarea codului cu un software de analiză automată, care caută erori în baza de date a vulnerabilităților cunoscute și identifică locația exactă a acestora în cod.

Auditul bazat pe software este de obicei efectuat înainte de analiza manuală pentru a detecta erorile pe care oamenii le-ar putea trece cu vederea. Este mai rapid și consumă mai puțin timp, dar, în același timp, poate să nu fie întotdeauna conștient de context și, astfel, să rateze anumite vulnerabilități. 

Analiza manuală a codului este regele în auditarea contractelor inteligente și este partea cea mai critică a unui audit de securitate cuprinzător și precis al codului inteligent. Este condus de cel puțin doi experți separati care inspectează codul linie cu linie.

Scopul este de a verifica dacă fiecare detaliu din specificația proiectului este implementat în contractul inteligent și că nimic nu încalcă comportamentul inițial prevăzut. 

Auditorii examinează codul pentru comportament neintenționat, neașteptat, probleme cruciale de securitate și vulnerabilități precum reintrarea, manipulările de date, împrumuturile flash și alte manipulări care ar putea fi implementate în timp ce contractul inteligent interacționează cu alții.

În plus, auditurile manuale rulează simulări pentru a evalua cât de bine răspunde contractul inteligent al proiectului DeFi la amenințările neidentificate și cât de capabil este să se apere împotriva acestora. 

În partea finală a analizei manuale a codului, auditorul compară logica contractului inteligent cu descrierea acestuia din cartea albă a proiectului. 

Odată ce toate vulnerabilitățile au fost identificate și remediate, auditorii rulează un proces de dublă verificare pentru a se asigura că codul inteligent funcționează conform așteptărilor.

În cele din urmă, după finalizarea auditului de securitate, auditorii întocmesc un raport cuprinzător. Aici oferă feedback detaliat despre ceea ce au descoperit. De obicei, raportul lor vine cu recomandări despre cum pot fi remediate punctele slabe detectate ale codului pentru a atenua securitatea proiectului. 

Contractele inteligente sunt o inovație relativ nouă. Standardele lor de securitate evoluează în consecință. Aceasta înseamnă că nicio regulă de aur nu garantează siguranța totală a contractului inteligent.

Mai mult, nu toate firmele de audit smart contract sunt la fel și nu toate auditurile garantează siguranța. Auditorii pot avea diferite niveluri de calificare, obiective diferite și costuri diferite.

Ca să nu mai vorbim de faptul că piața este plină de dezvoltatori scheletici care fac audituri și beneficiază în continuare de numele unei companii respectabile. Iată ce s-a întâmplat cu Peckshield, o companie de securitate și analiză a datelor blockchain, în urmă cu mai bine de un an.

Situații ca aceasta sunt destul de frecvente în spațiul criptomonedei. Ei iau numele unui auditor legitim și respectabil și îl pun în cartea lor albă, spunând că protocolul lor a fost auditat.

Singura modalitate de a evita astfel de cazuri este de a verifica confirmarea pe canalele originale ale auditorului. Dacă nu există, sunt șanse ca numele auditorului să fi fost furat. 

Verificați întotdeauna portofoliul de clienți pentru a evalua dacă auditorul este solid și de încredere. Google cazurile pentru a verifica înregistrările lor de experiență și pentru a verifica dacă vreunul dintre proiectele auditate a suferit o tragere de covor sau alte atacuri.

Cu atât de multe hack-uri și covorașe în spațiul cripto, este naiv să ne imaginăm că proiectele DeFi sunt în siguranță fără a le analiza mai detaliat. Auditurile inteligente ale contractelor oferă un nivel critic de siguranță. 

Cu toate acestea, chiar și cei mai profesioniști nu garantează că un proiect DeFi este absolut fără erori. Contractele inteligente sunt complexe. Acestea necesită analize detaliate și cuprinzătoare, expertiză, instrumente și, cel mai important, mai mult de o pereche de ochi.