Securitate Blockchain: Cum să înțelegeți Auditurile Blockchain pentru a rămâne în siguranță în DeFi

Anul trecut a fost o perioadă destul de întunecată în cripto. Nu numai că am văzut prăbușirea catastrofală a Lunei, degenerarea lui 3 Arrows Capital, probleme legate de insolvență și faliment cu BlockFi, Celsius, Voyager, VAULD și altele, condiții macroeconomice care ne-au cufundat în adâncurile unei ierni cripto, dar a fost, de asemenea, un an monumental de dezastruos pentru hack-urile și exploatările blockchain și DeFi, ceea ce a dus la oamenii să fugă de DeFi mai repede decât înotătorii care fug din apele infestate de rechini.

Acum probabil te gândești singur, „Wau, mulțumesc pentru introducerea deprimantă. Crypto-ul sună ca un câmp minat!”

Și nu vă înșelați acolo, cripto are cu siguranță partea echitabilă de riscuri. Dar înainte de a lăsa toată această nenorocire și întuneric să te facă să vrei să renunți la cripto pentru totdeauna și să te ascunzi sub pat, nu te teme, pentru că acest articol te va ajuta să te învețe cum să navighezi în apele DeFi în cel mai sigur mod posibil și să îți arate ce ai trebuie să știți despre auditurile de securitate blockchain.

Deși acest lucru nu va ajuta la protejarea împotriva oricărui risc din cripto, nu există nicio protecție pe cineva care decide să-și „YOLO” economiile din viața în următorul memecoin, informațiile din acest articol vă vor ajuta cel puțin să vă echipați cu încă o săgeată în tolba. pe care îl puteți implementa pentru a îmbunătăți considerabil navigarea generală în siguranță în spațiul DeFi.

Doar pentru a înlătura unele temeri de la început, nu vă faceți griji că acest articol este prea tehnic. Acest ghid util va fi atât de ușor de înțeles încât chiar și tatăl meu, care se referă la întreaga industrie criptografică drept „That Bitcoin Stuff”, îl va putea înțelege.

Și pentru că sunt la fel de versat în abilitățile de dezvoltare a blockchain-ului pe cât este o piatră de tuns, am decis să obțin ajutor profesionist și sfaturi din interior pentru acest articol. Am contactat prietenii noștri la ora Ackee Blockchain pentru a mă ajuta să mă învăț pe mine și pe Joe obișnuit despre ce naiba sunt aceste audituri blockchain.

Vreau să mulțumesc echipa Ackee pentru că și-a acordat timpul necesar pentru a ne ajuta pe noi și comunitatea noastră, învățându-ne elementele fundamentale ale auditurilor blockchain și pentru că a colaborat cu noi la acest articol. Rapoartele de audit Blockchain și DeFi sunt un aspect atât de important al cripto-ului și sunt ceva pe care foarte puțini dintre noi îl înțelegem cu adevărat.

Când ne facem diligența necesară pentru a determina siguranța și securitatea unui protocol DApp sau DeFi, mulți dintre noi vor căuta ceva care să spună că platforma a fost auditată și s-ar putea gândi „bine, suficient de bun”. Știu că am fost vinovat de asta în trecut, dar ce înseamnă de fapt să fi fost auditat? Cum putem verifica asta? Și după cum veți afla în acest articol, doar pentru că ceva a fost auditat, asta nu înseamnă că ar trebui să primească automat undă verde.

Pentru început, să ne uităm la ce fac de fapt companiile de audit blockchain.

Ce fac companiile de audit Blockchain?

Când auzim termenul „audit”, mulți dintre noi ne imaginăm automat un tip bătrân îmbrăcat într-un costum care funcționează pentru guvern, care va veni să bată și să analizeze toate situațiile financiare și extrasele noastre bancare cu un pieptene fin. În industria financiară tradițională, ai avea dreptate, dar auditorii blockchain nu ar putea fi mai departe de asta.

Auditorii blockchain nu sunt contabili din nici un fel de imaginație, ei sunt experți în codare și abilități de dezvoltator care caută erori, erori și cod rău intenționat în codul sursă al unui proiect blockchain, contract inteligent sau token cripto.

Diferite companii de audit se pot specializa și în diferite domenii, motiv pentru care este întotdeauna bine să vezi o platformă care a fost auditată de mai multe companii. Fiecare audit efectuat reduce riscul și o companie poate prelua ceva pe care cealaltă companie a omis.

1inch este un mare exemplu în acest sens. 1inch este un agregator DEX care a fost auditat de mai multe companii diferite, ceea ce sporește încrederea utilizatorilor în platformă și evidențiază faptul că echipa 1inch are un angajament puternic de a asigura siguranța comunității sale.

Companiile de audit blockchain vor avea o echipă de ingineri care poate efectua sarcini precum:

• Audit de securitate
• Analiza instrumentelor
• Revizuirea manuală a codului
• Rulați și scrieți teste automate
• Desfășurați concursuri Bug Bounty

În timp ce alte companii de audit precum Ackee Blockchain pot îndeplini, de asemenea, mai multe cerințe de „serviciu complet” și pot ajuta în domenii suplimentare, cum ar fi:

• Crearea de contracte inteligente sigure pe Solidity sau Rust
• Asistență la construirea unui ecosistem complet, gestionând UX, design, frontend-uri, backend-uri și DevOps

Ackee Blockchain contribuie, de asemenea, la industria blockchain în ansamblu, ceea ce este minunat de văzut. Ei au dezvoltat instrumente de securitate open-source pe care oricine le poate folosi și sunt pasionați de predare și de oferirea de oportunități pentru dezvoltatorii de blockchain aspiranți. În trecut, au găzduit cursuri online pentru dezvoltatori care doresc să lucreze în blockchain și chiar au primit un grant de la Fundația Solana pentru a conduce un scoala de vara pentru Solana.

Echipa oferă școli de vară online unde predau Solidity, iar în toamna lui 2022, CEO-ul și co-fondatorul Ackee Blockchain Josef Gattermayer, Ph.D. va preda subiecte despre dezvoltarea blockchain la Universitatea Tehnică Cehă din Praga. Cu siguranță merită să contactați echipa Ackee, înscrierea la cursuri pe site-ul lor și urmăriți-i dacă sunteți interesat de un viitor în dezvoltarea și securitatea blockchain.

După cum puteți vedea, auditarea blockchain poate însemna mai mult decât o simplă trecere într-o cameră întunecată și să cercetați codul, există un întreg ecosistem încapsulat în nișă.

De ce este important auditul Blockchain?

Dacă oamenii ar fi perfecți, nu ar fi nevoie de companii de audit blockchain, deoarece fiecare linie de cod ar fi scrisă perfect și complet impermeabilă la exploatări, erori și atacuri.

Ceea ce este chiar mai rău decât oamenii care fac greșeli, este că oamenii pot fi corupți și răuvoitori. O apariție destul de frecventă este aceea că actorii răi vor introduce în mod intenționat cod rău intenționat în protocolul lor, care le va permite să exploateze o platformă creată de ei pentru a fura fondurile utilizatorilor.

Între eroarea umană și intenția rău intenționată, contractele inteligente și aplicațiile blockchain/DApps sunt susceptibile la următoarele riscuri:

• Atacurile de refuz al serviciului care fac protocolul inutilizabil.
• Covorul trage/furt de ușile din spate în care fondatorii introduc cod rău intenționat care le permite să retragă fonduri plasate într-un contract inteligent.
• Exploatarea codului în moduri care beneficiază hackerul și dăunează utilizatorilor, cum ar fi baterea de noi jetoane în afara metodelor prevăzute sau scurgerea fondurilor clienților din contractele inteligente.
• Unii hackeri vor pur și simplu să „vadă cum arde lumea” și vor exploata orice defecțiune pe care o pot găsi pentru a deteriora o platformă.

Mulți utilizatori DeFi consideră că unul dintre cele mai importante lucruri de căutat într-o platformă DeFi este dacă codul este sau nu open-source. Acesta este un prim pas grozav, deoarece multe proiecte vor publica codul pe un site public precum Github, unde oricine poate intra și verifica/verifica singur codul.

Când se uită la pagina GitHub a unui proiect, acesta este adesea unul dintre lucrurile pe care le caută utilizatorii care se gândesc să utilizeze un DApp, folosind din nou 1 inch ca exemplu:

Aceasta este o abordare inițială bună de luat atunci când se verifică autenticitatea unui protocol, deoarece aici membrii comunității sau oricine pot intra și verifica că nu există niciun cod rău intenționat ascuns acolo.

De asemenea, este util să știți că oricine poate posta orice pe GitHub. Codul postat în GitHub nu confirmă automat că acesta este același cod care rulează contractul inteligent. Din fericire, utilizatorii pot verifica acest lucru mergând într-un explorator de blocuri precum Etherscan și verificând pentru a vedea dacă codul din GitHub este implementat și utilizat. Aici este Token de 1 inch în Etherscan, de exemplu. Tind să fiu de acord cu sentimentul că publicarea open-source pe GitHub este un semn bun, dar pentru mine, când dau clic pe GitHub pentru a arunca o privire, tot ce văd este:

Așa că, în loc ca creierul meu să se prăjească ca un ou pe un trotuar fierbinte să încerce să-și dea seama, îmi place să văd că o echipă de profesioniști de la o companie de audit blockchain a cercetat toate acestea și i-au dat degetul în sus.

Este important să clarificăm un lucru, și anume că doar pentru că un protocol a fost auditat, asta nu înseamnă că este 100% sigur. Niciun cod nu poate fi niciodată considerat complet impermeabil la tentativele de hack, deoarece instrumentele și abilitățile hackerilor devin tot mai sofisticate. La fel cum hackerii (buni) și dezvoltatorii de blockchain devin mai buni și evoluează tot timpul, la fel și băieții răi.

Te poți gândi ca la un joc de pisică și șoarece, scrierea codului este, în esență, ca construirea unui puzzle creativ și rezolvarea problemelor, iar hackerii caută modalități de a rezolva sau ataca puzzle-ul în moduri din ce în ce mai inteligente și mai sofisticate, așa că vor exista rămâne întotdeauna un element de risc.

De ce 2022 a fost deosebit de rău pentru Crypto Exploits

Când vedem titluri ca acesta:

Poate fi destul de sfâșietor. Industria cripto a primit un ochi negru, deoarece în fiecare săptămână pare să existe un alt hack sau exploatare masiv, care are ca rezultat pierderea de milioane de fonduri.

Acest lucru nu este doar trist, deoarece aceștia sunt oameni obișnuiți care își pierd banii, ci și îngrijorător, deoarece aceste atacuri supun întreaga industrie cripto la critici din ce în ce mai dure, încetinesc adoptarea, țin investitorii la distanță și oferă guvernelor scuzele de care au nevoie pentru a-și crește autoritatea. control pentru a „proteja” investitorii, impunând adesea măsuri draconice de care mulți dintre noi am apelat la cripto pentru a scăpa.

Motivul principal pentru acest lucru se rezumă la ingineria neglijent pentru dezvoltatori.

Când m-am așezat cu Josef de la Ackee, i-am cerut părerea lui despre motivul pentru care a existat un număr record de exploatări, explicația lui avea sens.

Parafrazând puternic, Josef a continuat să-mi explice că industria criptografică este în creștere rapidă și există o cursă acerbă pentru echipe pentru a-și lansa produsele. Există o lipsă de dezvoltatori blockchain calificați și experimentați, capabili să răspundă cererii, ceea ce duce la angajarea de către multe proiecte a dezvoltatorilor începători și o atitudine „destul de bună”, lansând DApps fără a fi efectuate verificările și auditurile adecvate.

Josef a continuat explicând că nevoia de servicii de audit blockchain crește vertiginos și nu există suficiente companii de audit blockchain pentru a satisface cererea din proiecte. Acest lucru a făcut ca echipele de proiect să nu aștepte ca o echipă de audit să devină disponibilă, așa că merg mai departe și lansează sau lansează o actualizare, fie fără un audit, fie bazându-se pe un audit învechit care nu acoperă. noua versiune sau iterație a unei platforme.

Această temă a fost prezentă în special în timpul alergării de tauri din 2021, dar lucrurile sunt mult mai relaxate acum că ne aflăm într-o piață ursară. Proiectele nu se grăbesc să se lanseze și sunt mai puține proiecte în blocajul auditului. Este adevărat că piețele ursiste sunt momentul pentru a construi, iar echipele tind să adopte o abordare mai diligentă în perioadele de piață mai lente.

Am analizat două atacuri specifice de succes care s-au întâmplat pentru a investiga exact ce s-a întâmplat, pentru a ajuta să punem toate acestea în perspectivă.

Hackul Ethereum DAO din 2016

În esență, ceea ce s-a întâmplat aici a fost ceva cunoscut ca o eroare de reintrare. Pentru a spune simplu, codul execută două instrucțiuni:

1. retrage
2. Actualizați soldul

Dacă este efectuată cronologic, funcționează așa cum ar trebui. Dar, deoarece Ethereum este un sistem distribuit (spre deosebire de programele web2), contractul poate fi apelat dintr-un alt contract care aduce o opțiune de implementare a unei funcții de apel invers personalizate care este apelată din instrucțiunea de retragere.

Și această funcție de apel invers implementată de hacker apelează din nou contractul, apoi din nou de mai multe ori înainte ca instrucțiunea de actualizare a echilibrului să fie în sfârșit executată. Acest lucru permite atacatorului să se retragă de mai multe ori.

Aceasta este o greșeală frecventă făcută de dezvoltatorii web3 începători. Chiar și la 5 ani de la acest atac, problema apare din cauza dezvoltatorilor care nu își fac timp să învețe din acest caz. Soluția este destul de simplă în acest caz, și anume să puneți acele două linii de cod în ordine opusă. Mai întâi actualizare, apoi retragere.

Auditorii caută probleme cunoscute ca aceasta atunci când auditează un protocol.

Solana Wormhole Attack 2022

2022 nu a început bine, primul atac major pe Solana a avut loc la începutul lunii februarie. Atacatorul a ocolit o verificare a semnăturii într-un program Rust, așa că părea că gardienii au semnat un depozit de 120 ETH în Wormhole pe Solana, deși nu au făcut-o. Atacatorul a bătut apoi 120 de ETH împachetat pe Solana.

Înainte de acest atac de găuri de vierme, mulți din comunitatea criptografică au presupus că dezvoltarea Solana și Rust era prea grea pentru a învăța să atragă dezvoltatori amatori. Acest lucru a condus la convingerea că doar cei mai buni dezvoltatori au lucrat la Solana, ceea ce înseamnă că nu era nevoie atât de mare de audituri. După acest atac, Josef a menționat că el și echipa sa au văzut o creștere semnificativă a cererilor de audit pentru DApps și protocoale Solana.

După toate acestea, s-ar putea să vă gândiți că, dacă oamenii sunt sursa erorilor și a intențiilor dăunătoare, nu ar avea sens să aveți doar computere și mașini de inteligență artificială care este puțin probabil să facă greșeli și incapabile de intenții rău intenționate, trebuie doar să scrieți tot acest cod. pentru noi?

Aceasta este o întrebare grozavă și, din cauza articolelor precum cel de mai sus, acesta este ceva care mi-a trecut și prin minte. Vom acoperi asta în secțiunea următoare.

Viitorul securității blockchain

Este evident că ne îndreptăm către un viitor în care multe dintre locurile noastre de muncă vor fi externalizate către computere și programe AI care pot face treaba oamenilor mult mai bine decât noi.

Vedem deja acest lucru cu casierii automate și fabricile de producție de mașini care au mai mulți roboți decât oameni. Calculatoarele preiau chiar locuri de muncă foarte specializate, cum ar fi doctorii și farmaciștii, deoarece un robot poate fi mai precis cu un bisturiu și un program de calculator poate cerceta întreaga bază de date a medicamentelor și în câteva secunde poate completa rapoarte despre ce medicamente se pot amesteca și nu cu alte substanțe chimice și medicamente, o sarcină imposibilă pentru un om.

M-am gândit cu siguranță că programarea și dezvoltarea va fi una dintre primele locuri de muncă înlocuite de computere. Dacă toate litere și numere pe un ecran sunt construite astfel încât să îndeplinească anumite sarcini, atunci cu siguranță un computer ar putea face asta mai bine decât un om, cu mai puține erori, nu?

Am crezut că companiile de audit blockchain vor merge pe calea păsării Dodo (disparută), deoarece odată ce computerele încep să se dezvolte în mod autonom, nu vor exista erori de găsit. Acest lucru a evidențiat cât de puțin știam despre dezvoltare, deoarece echipa Ackee a explicat câteva concepte pe care nu le-am apreciat.

O mare parte a dezvoltării blockchain-ului este rezolvarea problemelor și analizarea unei perspective la 360 de grade asupra unei probleme. Este nevoie de o cantitate mare de creativitate și de gândire „în afara cutiei” că computerele nu pot face. Nu este la fel de simplu ca „când se întâmplă „X”, executați „Y”.

De asemenea, trebuie să luăm în considerare faptul că multe dintre aceste DApp-uri și aplicații încearcă să rezolve probleme „umane” și modul în care interacționăm cu sistemele, protocoalele și procedurile. Îmi pare rău, micuțul Butter Bot, dar nu ești făcut să înțelegi problemele umane și să oferi soluții umane.

Nu numai că locurile de muncă în dezvoltarea blockchain și securitate cresc vertiginos, dar se pare că va fi nevoie de aceste roluri în anii următori.

Asta nu înseamnă că nu există nicio automatizare în spațiul de dezvoltare web3. Există o mulțime de instrumente gratuite pentru dezvoltatori care le oferă un feedback de securitate și ajută la descărcarea unei părți din muncă, astfel încât dezvoltatorii să se poată concentra pe alte sarcini.

De exemplu, pe Ethereum, există un bun analizor de cod static numit târî care este foarte popular și Ackee Blockchain lucrează la propriul analizor static open-source numit trezit, care detectează lucrurile altfel decât Slither, reducând sarcina de a analiza manual codul.

Echipa Ackee a dezvăluit și o tendință pe Solana cu privire la o problemă cu testele. Dezvoltatorii nu au scris suficient din ele, deoarece este destul de intensivă în muncă, fiind nevoie să scrie mult cod standard. Deci, Ackee Blockchain a condus un proiect în care au scris un cadru de testare open-source pentru Solana numit Trdelnik care va permite dezvoltatorilor să scrie teste mai ușor. Echipa a primit o mențiune de onoare și a câștigat un premiu pentru marinată în timpul a Hackathon la Praga pentru Trdelnik.

Toate acestea ne arată că este probabil ca automatizarea și computerele să joace un rol din ce în ce mai important în asistarea dezvoltatorilor blockchain și a auditorilor de securitate, dar este puțin probabil să le înlocuiască în curând.

Sentimentul general în rândul dezvoltatorilor de blockchain este că multe dintre aceste hack-uri și exploatări sunt rezultatul faptului că aceasta este încă o industrie tânără și fără experiență. Pe măsură ce industria blockchain continuă să evolueze și să se maturizeze, ar trebui să existe din ce în ce mai puține exploatări, ceea ce duce la faptul că spațiul cripto general devine mai sigur și mai ușor de utilizat.

Bine, acum să intrăm în lucrurile bune, concluzia majoră din acest articol.

Cum să verificați că o platformă a fost auditată

Primul pas este să vă asigurați că există un audit de găsit. Acestea pot fi găsite în depozitul GitHub al proiectului și orice audituri efectuate trebuie menționate clar în documentele proiectului sau pe site-ul platformei în sine. Dacă nu găsiți nicio mențiune despre un audit, aș sta departe.

Niciun audit disponibil public înseamnă probabil că:

• Nu a fost efectuat niciun audit
• A existat un audit eșuat pe care proiectul nu vrea să fie cunoscut
• Auditul a descoperit probleme pe care echipa nu le-a abordat
• Codul conține rute de uși din spate rău intenționate care ar putea duce la furt

După cum am menționat mai devreme, este, de asemenea, plăcut să vedem că codul este open-source, fiind etichetat „public” pe GitHub. Aceasta nu este o cerință, dar este totuși un bonus. Totuși, există motive pentru a nu deschide codul sursă, așa că nu este întotdeauna o problemă. Motivele pentru a nu deschide codul sursă pot fi lucruri precum:

• Companii care doresc să păstreze un avantaj competitiv. De îndată ce o companie își deschide codul, oricine poate crea același protocol și poate concura. Acesta este motivul pentru care Coca-Cola își păstrează rețeta secretă, iar KFC are faimosul „11 ierburi și condimente top secret”.
• Odată ce un cod este public, hackerii pot folosi informațiile pentru a căuta exploit-uri. Deși buna practică face opusul, dacă un proiect are încredere în codul său, îl vor publica.
• Este posibil ca proiectele timpurii să nu dorească să-și deschidă codul imediat până când nu au creat o comunitate mare și destui utilizatori, creând un obstacol pentru potențialii concurenți.

Recent, m-am întâlnit cu o echipă de proiect care a regretat că și-a găsit platforma de sursă deschisă imediat, deoarece o companie concurentă și-a copiat pur și simplu codul și modelul de afaceri și a avut mai multe finanțări pentru a plăti influențatorii și pentru abonați. Acest lucru a făcut să pară că firma concurentă a fost platforma mai bună chiar de la lansare, deoarece a dat impresia de mai mulți utilizatori și de un număr mai mare de urmăritori. Compania concurentă este acum semnificativ înaintea echipei fondatoare inițiale, care a ales să crească mai organic și mai etic.

Iată o imagine excelentă de la Bridge Global care rezumă unele dintre diferențele generalizate dintre software-ul open-source și open-source:

Două abordări interesante ale codului sursă deschis versus închis pot fi găsite prin compararea portofelelor hardware populare depozit și carte mare. Trezor a ales să publice 100% din codul sursă pentru public pentru ca oricine să-l verifice, în timp ce Ledger a ales să-și joace cărțile mai aproape de piept și să folosească un cod deschis, dar să păstreze sursa închisă a firmware-ului.

Acest lucru a făcut ca mulți elițiști ai blockchain-ului să aleagă Trezor în locul Ledger, deoarece au simțit că Ledger ar trebui să-și deschidă codul, întrebându-se ce încearcă să ascundă. Personal, nu văd acest lucru drept un motiv de îngrijorare, deoarece Ledger și-a dovedit palmaresul și dedicarea față de spațiu și a devenit unul dintre cei mai mari furnizori de portofele hardware din lume, creând unele dintre cele mai bune stocări cripto securizate dispozitive.

Odată ce un audit a fost efectuat și localizat, atâta timp cât acesta a fost făcut public, oricine poate deschide documentul și poate găsi rezultatele auditului. În loc să parcurgem întregul document de audit, în scopul nostru simplu, tot ce trebuie să căutăm este pagina „Rezumat”, care arată adesea cam așa:

Această pagină va fi fie la începutul, fie la sfârșitul raportului. Este o pagină care arată rezultatele auditului într-un format simplu pe care omul obișnuit îl poate înțelege. Să analizăm ce informații ne arată asta.

Auditul este recent? Auditurile ar trebui să fie un serviciu continuu și cu siguranță ar trebui să existe un nou audit pentru FIECARE actualizare, versiune sau caracteristică/funcție nouă introdusă. Dacă a fost lansată o nouă caracteristică sau versiune, rezultatele auditului anterior nu mai sunt valabile, deoarece baza de cod s-a schimbat probabil.

Acest lucru poate fi verificat analizând versiunea proiectului și/sau commit hash. Versiunea este ceva ca atunci când vezi uniswap „V2” (versiunea 2), iar hash-ul de comitere identifică o revizuire în depozitul de cod sursă. Când se uită la versiunea sau commit hash afișată în audit, care poate fi văzută în imaginea de mai sus în tabelul cu titlul „depozitar”, utilizatorii pot verifica pentru a se asigura că aceasta coincide cu versiunea sau commit hash afișată în GitHub.

Asta va arata cam asa:

Iată o altă imagine de la unul dintre Auditurile Ackee Blockchain:

Deși, dacă hashul de comit nu se potrivește, asta nu înseamnă neapărat că există un semnal roșu. Hash-ul de comitere de pe GitHub al proiectului se va schimba de fiecare dată când se face o nouă ajustare sau o iterație. Fiecare ajustare va schimba hash-ul de comitere și nu ar trebui să fie un motiv de îngrijorare dacă a existat doar o ajustare minoră.

Dacă nu vedeți hashul de comitere din audit pe pagina principală GitHub, puteți accesa „Istoricul de comitere” și căutați hash-ul de comitere și să vedeți singur cât de mult s-a schimbat de la efectuarea auditului.

Acest lucru se poate face făcând clic aici:

Atunci făcând o căutare aici:

Pe măsură ce un nou hash de comitere este populat pentru fiecare modificare, fiecare cu o ștampilă de dată și oră, dacă a existat un număr semnificativ de noi comiteri între momentul în care a fost efectuat auditul și hash-ul de comite pe care se află în prezent proiectul, este posibil să doresc să ia în considerare așteptarea până când se efectuează un alt audit înainte de a se implica.

Dacă aveți un ochi analitic și doriți să vă aprofundați, puteți face clic pe fiecare nou commit hash și puteți compara vechiul cod afișat în roșu cu noul cod afișat în verde și puteți verifica singur ce s-a schimbat exact:

Dacă observați un nou commit hash care este diferit de momentul în care a fost efectuat auditul și vedeți ceva de genul acesta:

Aceasta este una dintre acele modificări nesemnificative pe care le-am menționat și, deși a populat un nou hash de comitere, nu este ceva de care să vă îngrijorați, deoarece aceasta a fost o simplă redenumire a unui fișier. Imaginea GitHub de mai sus arată 0 adăugiri și 0 ștergeri.

Acum treceți la următorul lucru de căutat în Rezumatul executiv:

Probleme - Rezumatul executiv arată toate problemele care au fost descoperite în timpul auditului și, mai important, dacă echipa a rezolvat problemele. Această secțiune poate fi văzută în partea de jos, unde afișează „Probleme totale”, apoi le descompune în severitate și dacă au fost sau nu rezolvate. Compania de audit identifică mai întâi problemele, le semnalează echipei de dezvoltare și apoi verifică din nou codul odată ce dezvoltatorii abordează problemele înainte ca echipa de audit să marcheze problema ca „rezolvată”.

În mod clar, orice probleme care sunt marcate ca „Critice” sau „Risc ridicat” ar trebui rezolvate. Chiar dacă raportul arată că toate problemele critice sau cu risc ridicat au fost rezolvate, acest lucru ar trebui totuși remarcat cu oarecare scepticism cu privire la proiect. Dacă echipa de audit a găsit un număr mare de probleme critice pentru început, aceasta poate evidenția faptul că echipa de dezvoltatori din spatele proiectului poate fi destul de începătoare, ceea ce duce la probleme suplimentare și suplimentare pe parcurs.

Problemele cu risc mediu sau scăzut sunt frecvente și, în mod normal, nu reprezintă un motiv de îngrijorare. Echipa de audit poate chiar să marcheze ceva ca fiind o problemă cu risc scăzut dacă pur și simplu sugerează o alternativă sau are o diferență de opinie cu privire la modul de abordare a ceva.

Iată un rezumat a ceea ce înseamnă fiecare dintre categorii:

Critic – Orice lucru marcat ca critic înseamnă că ceva este exploatabil chiar acum.

Echipa de la Ackee Blockchain mi-a spus o poveste despre un audit pe care îl desfășurau în care au găsit o problemă critică asupra unui protocol care fusese deja lansat. Ei au trezit echipa de dezvoltatori a proiectului la ora 5 dimineața într-o urgență „toate mâinile pe punte” pentru a repara codul cât mai curând posibil. Din fericire, au surprins problema la timp înainte ca hackerii să poată identifica vulnerabilitatea.

Severitate mare – Probleme care nu sunt exploatabile acum, dar ar putea fi dacă unele secvențe specifice sunt îndeplinite.

Medie spre scăzută - Acestea sunt adesea modificări minore care sunt necesare sau recomandări și nu neapărat amenințări de securitate.

Diferite companii de audit vor redacta rezumate executive și în diferite formate. Rezumatul prezentat mai sus a fost realizat de firma de audit Quantstamp. Ackee Blockchain oferă PDF-ului auditul și un rezumat web care combină rezultatele inițiale și cele ulterioare într-un format mai mult de eseu, care este mai ușor de citit. Puteți găsi un exemplu în acest sens Rezumatul auditului.

Lucruri suplimentare de căutat:

• A fost efectuat un audit de mai multe companii? Cu cât sunt mai mulți ochi care caută probleme, cu atât există mai puține șanse ca un defect să existe în cod.
• Compania de audit blockchain este profesionistă și respectată în comunitate? Dacă nu ați auzit niciodată de compania de audit înainte, aruncați o privire pe site-ul lor și căutați alte proiecte la care au lucrat. Sunt vreuna dintre platformele pe care le-au auditat de renume? Verificați dacă vreuna dintre platforme a fost exploatată după ce compania a efectuat un audit, acest lucru ar putea evidenția un istoric de competențe slabe de audit. Căutați lucruri precum hackath-uri câștigate și sprijin/granturi de la fundațiile de rețea de nivel 1.

Un bun exemplu în acest sens este Ackee Blockchain, căruia i-au fost atribuite granturi oficiale de dezvoltare/comunitate de către patru fundații cheie: Coinbase Giving, Fundația Ethereum, Fundația Solana și Fundația Tezos.

Dacă sunteți cineva care a devenit, de înțeles, neîncrezător în această eră a dezinformării, dacă vedeți o afirmație precum imaginea de mai sus preluată de pe site-ul Ackee Blockchain, în loc să vă credeți pe cuvânt, puteți oricând să navigați pe site-urile fundațiilor. menționat și verificați singur afirmațiile.

Motivul pentru care spun acest lucru este pentru că, în anii în care am scris recenzii, numărul de site-uri web care susțin „Prezentate în Forbes sau Yahoo Finance”, atunci când nu au fost niciodată, este copleșitor. Mi-aș dori să existe o formă de poliție pe internet care să poată duce companiile la închisoare pe internet pentru minciună și declarații înșelătoare de genul acesta. De aceea, în cripto există o zicală „nu ai încredere, verifică”. Nu vă faceți griji, Ackee verifică și de fapt are încredere de către fundațiile de mai sus, am verificat 😉

Gânduri de închidere

Ei bine, iată-l. Câteva informații despre securitatea blockchain pe care sper că le-ați găsit utile. Sper că acest articol vă va ajuta să vă simțiți mai încrezători când vă aventurați în lumea cripto, cu încă un strat de armură și să puteți naviga prin apele cripto mai sigur decât înainte. Știu că voi fi sârguincios în a verifica aceste informații data viitoare când voi selecta ce DApp-uri și protocoale aleg să am încredere cu activele mele cripto.

După cum se spune, „în cripto, nu este vorba despre cât câștigi, ci despre cât păstrezi”, deoarece, din păcate, mulți dintre noi, vechii veterani cripto crusty, am pierdut mai mult decât partea echitabilă a Satoshis într-o multitudine de hack-uri, înșelătorii, tragerile de covor, falimentele etc. Cu cât avem mai multe cunoștințe, cu atât ne putem proteja mai bine de multe dintre riscurile aspre care există în această lume nouă și în devenire ciudată a cripto-ului.

Disclaimer: Acestea sunt opiniile scriitorului și nu ar trebui să fie considerate sfaturi de investiții. Cititorii ar trebui să își facă propriile cercetări.