Безопасность блокчейна: как понять аудит блокчейна, чтобы оставаться в безопасности в DeFi

Прошлый год был довольно темным временем для криптографии. Мы видели не только катастрофический крах Luna, вырождение 3 Arrows Capital, проблемы неплатежеспособности и банкротства с BlockFi, Celsius, Voyager, VAULD и другими, макроэкономические условия, которые погрузили нас в глубины крипто-зимы, но Это также был катастрофический год для взломов и эксплойтов блокчейна и DeFi, в результате чего люди убегали от DeFi быстрее, чем пловцы, спасающиеся от вод, кишащих акулами.

Теперь вы, наверное, думаете про себя, «Вау, спасибо за депрессивное вступление. Криптовалюта звучит как минное поле!»

И вы не ошиблись, криптовалюта, безусловно, имеет свою долю рисков. Но прежде чем позволить всей этой обреченности и мраку заставить вас навсегда отказаться от криптографии и спрятаться под кроватью, не бойтесь, потому что эта статья поможет вам научиться ориентироваться в водах DeFi самым безопасным способом и покажет вам, что вам нужно. нужно знать об аудите безопасности блокчейна.

Хотя это не поможет защититься от всех рисков в криптографии, нет никакой защиты для тех, кто решит «YOLO» перевести свои сбережения в следующий мемкойн, информация в этой статье, по крайней мере, поможет вам получить еще одну стрелу в вашем колчане. которые вы можете развернуть, чтобы значительно улучшить общую безопасную навигацию в пространстве DeFi.

Просто чтобы развеять некоторые опасения на раннем этапе, не беспокойтесь о том, что эта статья будет слишком технической. Это полезное руководство будет настолько простым для понимания, что даже мой папа, который называет всю криптоиндустрию «этой биткойн-штучкой», сможет ее понять.

И поскольку я так же хорошо разбираюсь в навыках разработки блокчейна, как камень в стрижке волос, я решил получить профессиональную помощь и инсайдерский совет для этой статьи. Я связался с нашими друзьями по адресу Аки Блокчейн чтобы помочь себе и среднему Джо понять, что, черт возьми, все эти аудиты блокчейна.

Я хочу поблагодарить команду Ackee за то, что они нашли время, чтобы помочь нам и нашему сообществу, научив нас основам аудита блокчейна, а также за сотрудничество с нами в этой статье. Отчеты об аудите блокчейна и DeFi являются критически важным аспектом криптографии, и очень немногие из нас действительно понимают это.

Проявляя должную осмотрительность при определении безопасности и защиты протокола DApp или DeFi, многие из нас будут искать что-то, что говорит о том, что платформа прошла аудит, и могут подумать: «Хорошо, достаточно хорошо». Я знаю, что был виновен в этом в прошлом, но что на самом деле означает быть проверенным? Как мы можем это проверить? И, как вы узнаете из этой статьи, только потому, что что-то было проверено, это не означает, что оно автоматически должно получить зеленый свет.

Для начала давайте посмотрим, чем на самом деле занимаются компании, занимающиеся аудитом блокчейна.

Что делают компании, занимающиеся аудитом блокчейна?

Когда мы слышим термин «аудит», многие из нас автоматически представляют себе чопорного старого чувака в костюме, который работает на правительство, который постучится и тщательно проверит все наши финансовые и банковские выписки. В традиционной финансовой индустрии вы были бы правы, но аудиторы блокчейнов не могли быть дальше от этого.

Аудиторы блокчейна ни в коей мере не являются бухгалтерами, они являются экспертами в области кодирования и навыков разработчиков, которые ищут ошибки, ошибки и вредоносный код в исходном коде проекта блокчейна, смарт-контракта или крипто-токена.

Различные аудиторские компании также могут специализироваться в разных областях, поэтому всегда приятно видеть платформу, которая была проверена более чем одной компанией. Каждый проведенный аудит снижает риск, и одна компания может обнаружить что-то, что упустила другая компания.

1inch является отличным примером этого. 1inch — это агрегатор DEX, который был проверен несколькими различными компаниями, что повышает доверие пользователей к платформе и подчеркивает, что команда 1inch твердо привержена обеспечению безопасности своего сообщества.

В компаниях, занимающихся аудитом блокчейна, будет команда инженеров, которые могут выполнять такие задачи, как:

• Аудит безопасности
• Анализ инструмента
• Проверка кода вручную
• Запускайте и пишите автоматические тесты
• Проводите конкурсы Bug Bounty

В то время как другие аудиторские компании, такие как Ackee Blockchain, также могут соответствовать требованиям «полного обслуживания» и помогать в дополнительных областях, таких как:

• Создание безопасных смарт-контрактов на Solidity или Rust
• Помощь в создании полной экосистемы, работа с UX, дизайном, интерфейсами, бэкэндами и DevOps.

Acee Blockchain также вносит свой вклад в индустрию блокчейнов в целом, и это приятно видеть. Они разработали инструменты безопасности с открытым исходным кодом, которые может использовать каждый, и увлечены обучением и предоставлением возможностей для начинающих разработчиков блокчейнов. В прошлом они проводили онлайн-курсы для разработчиков, которые хотят работать с блокчейном, и даже получили грант от Фонда Солана на запуск летняя школа для Соланы.

Команда предлагает летние онлайн-школы, где преподают Solidity, а осенью 2022 года генеральный директор и соучредитель Ackee Blockchain Йозеф Гаттермайер, доктор философии. будет преподавать темы, связанные с разработкой блокчейна, на Чешский технический университет в Праге. Определенно стоит обратиться к команде Ackee, регистрация на курсы на их сайте и подписаться на них, если вы заинтересованы в будущем развития блокчейна и безопасности.

Как видите, аудит блокчейна может быть чем-то большим, чем просто болтаться в темной комнате и рыться в коде, в этой нише заключена целая экосистема.

Почему важен аудит блокчейна?

Если бы люди были совершенны, не было бы необходимости в аудиторских компаниях блокчейна, поскольку каждая строка кода была бы написана безупречно и полностью защищена от эксплойтов, сбоев и атак.

Что еще хуже, чем ошибки людей, так это то, что люди могут быть коррумпированными и злонамеренными. Довольно часто злоумышленники намеренно вводят в свой протокол вредоносный код, который позволяет им использовать созданную ими платформу для кражи средств пользователей.

Из-за человеческой ошибки и злого умысла смарт-контракты и блокчейн-приложения/DApp подвержены следующим рискам:

• Атаки типа «отказ в обслуживании», которые делают протокол непригодным для использования.
• Коврик тянет / кража с черного хода, когда учредители вводят вредоносный код, который позволяет им снимать средства, размещенные в смарт-контракте.
• Использование кода способами, которые приносят пользу хакеру и вредят пользователям, например, чеканка новых токенов не по назначению или вывод средств клиентов из смарт-контрактов.
• Некоторые хакеры просто хотят «смотреть, как горит мир» и используют любую ошибку, которую они могут найти, чтобы повредить платформу.

Многие пользователи DeFi считают, что одной из самых важных вещей, на которую следует обращать внимание в платформе DeFi, является то, является ли код открытым исходным кодом. Это отличный первый шаг, так как многие проекты будут публиковать код на общедоступном сайте, таком как Github, где каждый может зайти и проверить код самостоятельно.

Когда вы просматриваете страницу проекта на GitHub, это часто является одной из вещей, которые ищут пользователи, которые рассматривают возможность использования DApp, снова используя 1 дюйм в качестве примера:

Это хороший начальный подход для проверки подлинности протокола, поскольку именно здесь члены сообщества или кто-либо другой может войти и убедиться, что там нет скрытого вредоносного кода.

Также полезно знать, что любой может опубликовать что угодно на GitHub. Код, размещенный на GitHub, не подтверждает автоматически, что это тот же самый код, который запускает смарт-контракт. К счастью, пользователи могут проверить это, зайдя в обозреватель блоков, такой как Etherscan, и проверив, что код в GitHub действительно развернут и используется. Здесь 1-дюймовый токен в Etherscan, Например. Я склонен согласиться с мнением, что публикация открытого исходного кода на GitHub — это хороший знак, но для меня, когда я нажимаю на GitHub, чтобы посмотреть, все, что я вижу, это:

Таким образом, вместо того, чтобы мой мозг жарился, как яйцо на горячем тротуаре, пытаясь понять это, мне нравится видеть, что команда профессионалов из аудиторской компании по блокчейну изучила все это и высоко оценила.

Важно прояснить одну вещь: то, что протокол прошел аудит, не означает, что он на 100% безопасен. Никакой код нельзя считать полностью неуязвимым для попыток взлома, поскольку инструменты и навыки хакеров постоянно совершенствуются. Точно так же, как «белые» (хорошие) хакеры и разработчики блокчейнов постоянно совершенствуются и развиваются, плохие парни тоже.

Вы можете думать об этом как об игре в кошки-мышки, написание кода, по сути, похоже на создание творческой головоломки и решение проблем, а хакеры ищут способы решить или взломать головоломку все более умными и изощренными способами, поэтому всегда остаются элементом риска.

Почему 2022 год был особенно плохим для крипто-эксплойтов

Когда мы видим такие заголовки:

Это может быть очень душераздирающе. Криптоиндустрия серьезно пострадала, так как каждую неделю происходит очередной массовый взлом или эксплойт, приводящий к потере миллионов средств.

Это не только грустно, поскольку обычные люди теряют свои деньги, но и вызывает беспокойство, поскольку эти атаки подвергают всю криптоиндустрию все более жесткой критике, замедляют принятие, отталкивают инвесторов и предоставляют правительствам оправдания, необходимые им для повышения авторитета. контроль, чтобы «защитить» инвесторов, часто вводя драконовские меры, от которых многие из нас обратились к криптовалюте, чтобы избежать.

Основная причина этого сводится к небрежному проектированию разработчиков.

Когда я сел с Джозефом из Ackee, я спросил его мнение о том, почему существует рекордное количество эксплойтов, его объяснение имело смысл.

Сильно перефразируя, Йозеф объяснил мне, что криптоиндустрия быстро растет, и между командами идет ожесточенная гонка за выпуск своих продуктов. Не хватает квалифицированных и опытных разработчиков блокчейнов, способных удовлетворить спрос, в результате чего многие проекты нанимают начинающих разработчиков и имеют «достаточно хорошее» отношение, запуская DApps без надлежащих проверок и аудитов.

Йозеф также объяснил, что потребность в услугах аудита блокчейна стремительно растет, и не хватает компаний, занимающихся аудитом блокчейна, чтобы удовлетворить спрос со стороны проектов. Это приводит к тому, что проектные группы не хотят ждать, пока станет доступной аудиторская группа, поэтому они идут вперед и запускают или выпускают обновление либо без аудита, либо полагаясь на устаревший аудит, который не охватывает новая версия или итерация платформы.

Эта тема особенно присутствовала во время бычьего забега 2021 года, но сейчас, когда мы находимся на медвежьем рынке, все гораздо спокойнее. Проекты не торопятся с запуском, и меньше проектов находятся в узком месте аудита. Это правда, что медвежьи рынки — это время для строительства, и команды, как правило, проявляют более усердный подход во время более медленных рыночных периодов.

Мы рассмотрели две конкретные успешные атаки, которые произошли, чтобы выяснить, что именно произошло, чтобы помочь представить все это в перспективе.

Взлом Ethereum DAO в 2016 году

По сути, то, что здесь произошло, было известно как ошибка повторного входа. Проще говоря, код выполняет две инструкции:

1. Вывод
2. Обновить баланс

Если выполнять в хронологическом порядке, то работает как надо. Но поскольку Ethereum является распределенной системой (в отличие от программ web2), контракт может быть вызван из другого контракта, что дает возможность реализовать пользовательскую функцию обратного вызова, которая вызывается из инструкции по снятию средств.

И эта функция обратного вызова, реализованная хакером, вызывает контракт снова и снова несколько раз, прежде чем наконец будет выполнена инструкция по обновлению баланса. Это позволяет злоумышленнику отступить несколько раз.

Это частая ошибка начинающих разработчиков web3. Даже спустя 5 лет после этой атаки проблема все еще возникает из-за того, что разработчики не нашли время, чтобы извлечь уроки из этого случая. В этом случае решение довольно простое — просто поместить эти две строки кода в противоположном порядке. Сначала обновление, потом вывод.

Аудиторы ищут подобные известные проблемы при аудите протокола.

Атака червоточин Соланы 2022

2022 год начался не очень удачно: первая крупная атака на Солану произошла в начале февраля. Злоумышленник обошел проверку подписи в программе на Rust, так что выглядело так, будто опекуны подписали депозит в размере 120 XNUMX ETH в Wormhole на Солане, хотя на самом деле это не так. Злоумышленник затем отчеканил 120 тысяч ETH на Солане.

До этой атаки червоточины многие в криптосообществе полагали, что разработка Solana и Rust слишком сложна для обучения, чтобы привлечь разработчиков-любителей. Это привело к убеждению, что над Соланой работали только лучшие разработчики, а это означало, что не было такой сильной необходимости в аудитах. После этой атаки Йозеф упомянул, что он и его команда заметили значительное увеличение запросов на аудит DApps и протоколов Solana.

После всего этого вы можете подумать, что если люди являются источником ошибок и вредоносных намерений, то не имеет ли смысл просто иметь компьютеры и машины с искусственным интеллектом, которые вряд ли совершат ошибки и неспособны на злонамеренные намерения, просто написать весь этот код? для нас?

Это отличный вопрос, и из-за статей, подобных приведенной выше, это тоже пришло мне в голову. Мы расскажем об этом в следующем разделе.

Будущее безопасности блокчейна

Очевидно, что мы движемся к будущему, в котором многие из наших рабочих мест будут переданы на аутсорсинг компьютерам и программам искусственного интеллекта, которые могут выполнять работу людей намного лучше, чем мы.

Мы уже видим это на автоматизированных кассах и автозаводах, где больше роботов, чем людей. Компьютеры даже берут на себя узкоспециализированные рабочие места, такие как врачи и фармацевты, так как робот может быть более точным со скальпелем, а компьютерная программа может просмотреть всю базу данных лекарств и за считанные секунды заполнить отчеты о том, какие лекарства могут и не могут смешиваться с другими химическими веществами и лекарства, задача невозможная для человека.

Я был уверен, что программирование и разработка станут одной из первых профессий, которые заменят компьютеры. Если все буквы и цифры на экране построены таким образом, чтобы выполнять определенные задачи, то, конечно же, компьютер мог бы сделать это лучше, чем человек, с меньшим количеством ошибок, верно?

Я думал, что компании, занимающиеся аудитом блокчейна, пойдут по пути птицы Додо (вымерли), поскольку, как только компьютеры начнут развиваться автономно, ошибок будет не найти. Это показало, как мало я знал о разработке, поскольку команда Аки объяснила некоторые концепции, которые я не оценил.

Большая часть разработки блокчейна — это решение проблем и рассмотрение проблемы на 360 градусов. Требуется большой творческий подход и нестандартное мышление, на что компьютеры не способны. Это не так просто, как «когда произойдет «X», выполните «Y».

Мы также должны учитывать, что многие из этих DApps и приложений пытаются решить «человеческие» проблемы и то, как мы взаимодействуем с системами, протоколами и процедурами. Прости, маленький Баттер Бот, но ты не создан для того, чтобы понимать человеческие проблемы и предлагать человеческие решения.

Мало того, что количество рабочих мест в сфере разработки блокчейнов и безопасности стремительно растет, но похоже, что потребность в этих ролях будет еще долгие годы.

Это не означает, что в сфере разработки web3 не происходит автоматизации. Существует множество бесплатных инструментов для разработчиков, которые предоставляют им обратную связь по безопасности и помогают разгрузить часть работы, чтобы разработчики могли сосредоточиться на других задачах.

Например, на Ethereum есть хороший статический анализатор кода с именем Slither который очень популярен, и Ackee Blockchain работает над своим собственным статическим анализатором с открытым исходным кодом под названием Проснулся, который обнаруживает вещи иначе, чем Slither, что снижает необходимость ручного анализа кода.

Команда Ackee также обнаружила у Соланы тенденцию к проблемам с тестами. Разработчики писали их недостаточно, так как это довольно трудоемко, с необходимостью написания большого количества шаблонного кода. Итак, Ackee Blockchain возглавил проект, в котором они написали среду тестирования с открытым исходным кодом для Solana под названием Трдельник что позволит разработчикам легче писать тесты. Команда получила почетное упоминание и выиграла приз Маринад во время Hackathon в Праге для Трдельника.

Все это показывает нам, что автоматизация и компьютеры, вероятно, будут играть все более важную роль в помощи разработчикам блокчейнов и аудиторам безопасности, но вряд ли заменят их в ближайшее время.

Общее мнение среди разработчиков блокчейна заключается в том, что многие из этих взломов и эксплойтов являются результатом того, что эта отрасль все еще молодая и неопытная. Поскольку индустрия блокчейнов продолжает развиваться и развиваться, эксплойтов должно быть все меньше и меньше, в результате чего общее криптопространство становится более безопасным и удобным для пользователя.

Хорошо, теперь давайте перейдем к хорошему, главному выводу из этой статьи.

Как убедиться, что платформа прошла аудит

Самый первый шаг — убедиться, что аудит можно найти. Их можно найти в репозитории проекта на GitHub, а любые проведенные аудиты должны быть четко указаны в документации проекта или на самом веб-сайте платформы. Если вы не можете найти упоминания об аудите, я бы держался подальше.

Отсутствие общедоступного аудита, вероятно, означает, что:

• Аудит не проводился
• Был неудачный аудит, о котором проект не хочет знать
• В ходе аудита были обнаружены проблемы, которые команда не устранила
• Код содержит вредоносные бэкдор-маршруты, которые могут привести к краже

Как упоминалось ранее, также приятно видеть, что код с открытым исходным кодом помечен как «общедоступный» на GitHub. Это не требование, но все же бонус. Однако есть причины не открывать исходный код, так что это не всегда мешает. Причинами отказа от открытого исходного кода могут быть такие вещи, как:

• Компании, желающие сохранить конкурентное преимущество. Как только компания открывает свой код, любой может создать такой же протокол и конкурировать. Вот почему Coca-Cola держит свой рецепт в секрете, а в KFC, как известно, есть свои «Совершенно секретные 11 трав и специй».
• Как только код становится общедоступным, хакеры могут использовать эту информацию для поиска эксплойтов. Хотя хорошая практика делает обратное, если проект уверен в своем коде, он его опубликует.
• Ранние проекты могут не захотеть сразу открывать свой код, пока не создадут большое сообщество и достаточное количество пользователей, что создаст препятствие для потенциальных конкурентов.

Недавно я встретился с командой проекта, которая сразу же пожалела об открытии исходного кода своей платформы, поскольку конкурирующая компания просто скопировала их код и бизнес-модель, и у нее было больше средств, чтобы платить влиятельным лицам и платить за подписчиков. Из-за этого казалось, что конкурирующая фирма была лучшей платформой с самого запуска, поскольку создавала впечатление, что у нее больше пользователей и больше последователей. Конкурирующая компания теперь значительно опережает первоначальную команду основателей, которая предпочла более органичный и этичный рост.

Вот отличный визуал из Мост Глобальный который суммирует некоторые общие различия между программным обеспечением с открытым исходным кодом и программным обеспечением с закрытым исходным кодом:

Два интересных подхода к открытому и закрытому исходному коду можно найти, сравнив популярные аппаратные кошельки. Trezor и Ledger. Trezor решил опубликовать 100% своего исходного кода для всеобщего обозрения, в то время как Ledger предпочел разыграть свои карты поближе и открыл некоторый код, но оставил исходный код прошивки закрытым.

Это привело к тому, что многие сторонники блокчейна предпочли Trezor Ledger, поскольку они считали, что Ledger должен открыть исходный код своего кода, задаваясь вопросом, что они пытаются скрыть. Я лично не вижу в этом повода для беспокойства, поскольку Ledger доказала свою репутацию и преданность делу и стала одним из крупнейших поставщиков аппаратных кошельков в мире, создав одно из самых безопасных криптохранилищ высочайшего класса. устройства.

После того, как аудит был проведен и обнаружен, если он был обнародован, любой может открыть документ и найти результаты аудита. Вместо того, чтобы прокручивать весь аудиторский документ, для нашей простой цели все, что нам нужно, это найти страницу «Резюме», которая часто выглядит примерно так:

Эта страница будет расположена либо в самом начале, либо в конце отчета. Это страница, которая показывает результаты аудита в простом формате, понятном обычному человеку. Давайте углубимся в то, какую информацию это показывает нам.

Аудит свежий? Аудит должен быть постоянным сервисом, и обязательно должен проводиться новый аудит для КАЖДОГО обновления, версии или новой функции/функции. Если была запущена новая функция или версия, предыдущие результаты аудита больше не действительны, поскольку кодовая база, вероятно, изменилась.

Это можно проверить, посмотрев версию проекта и/или хэш коммита. Версия что-то вроде, когда вы видите Uniswap «V2» (версия 2), а хэш фиксации идентифицирует ревизию в репозитории исходного кода. При просмотре хэша версии или коммита, показанного в аудите, который можно увидеть на изображении выше в таблице с заголовком «репозиторий», пользователи могут проверить, совпадает ли он с хэшем версии или коммита, показанным в GitHub.

Это будет выглядеть примерно так:

Вот еще один взгляд из одного из аудитов Acee Blockchain:

Хотя, если хэш фиксации не совпадает, это не обязательно означает, что есть красный флаг. Хэш фиксации на GitHub проекта будет меняться каждый раз, когда выполняется новая корректировка или итерация. Каждая корректировка изменит хэш коммита и не должна вызывать беспокойства, если была лишь незначительная корректировка.

Если вы не видите хэш коммита из аудита на главной странице GitHub, вы можете зайти в «Историю коммитов» и найти хэш коммита и сами убедиться, насколько сильно изменилось с момента проведения аудита.

Это можно сделать, нажав здесь:

Затем выполните поиск здесь:

Поскольку новый хэш фиксации заполняется для каждого изменения, каждое с отметкой даты и времени, если между временем проведения аудита и хэшем фиксации, на котором в данный момент находится проект, было выполнено значительное количество новых коммитов, вы можете вы хотите подождать, пока не будет проведена другая проверка, прежде чем вмешиваться.

Если у вас есть аналитический взгляд и вы хотите погрузиться глубже, вы можете щелкнуть каждый новый хэш коммита и сравнить старый код, показанный красным, с новым кодом, показанным зеленым, и проверить для себя, что именно изменилось:

Если вы заметили новый хэш коммита, который отличается от того, когда был проведен аудит, и видите что-то вроде этого:

Это одно из тех незначительных изменений, о которых я упоминал, и хотя оно заполнило новый хэш коммита, беспокоиться не о чем, так как это было простое переименование файла. Изображение GitHub выше показывает 0 добавлений и 0 удалений.

Теперь перейдем к следующему пункту, на который следует обратить внимание в резюме:

Вопросы - Резюме показывает все проблемы, которые были обнаружены в ходе аудита, и, что более важно, решает ли команда эти проблемы. Этот раздел можно увидеть внизу, где отображается «Всего проблем», а затем идет разбивка их по степени серьезности и по тому, были ли они решены. Аудиторская компания сначала выявляет проблемы, сообщает о них команде разработчиков, а затем снова проверяет код, как только разработчики решают проблемы, прежде чем аудиторская группа отметит проблему как «решенную».

Очевидно, что любые проблемы, отмеченные как «критические» или «высокий риск», должны быть решены. Даже если в отчете показано, что все критические проблемы или проблемы с высокой степенью риска были решены, это все равно следует отметить с некоторым скептицизмом в отношении проекта. Если группа аудита с самого начала обнаружила большое количество критических проблем, это может показать, что команда разработчиков, стоящая за проектом, может быть довольно новичком, что приведет к дальнейшим и дополнительным проблемам в будущем.

Проблемы со средним или низким уровнем риска встречаются часто и обычно не вызывают беспокойства. Группа аудиторов может даже пометить что-то как проблему с низким уровнем риска, если они просто предлагают альтернативу или имеют разные мнения о том, как к чему-то подходить.

Вот краткое изложение того, что означает каждая из категорий:

критический – Все, что помечено как критическое, означает, что что-то можно использовать прямо сейчас.

Команда Acee Blockchain рассказала мне историю об аудите, который они проводили, когда они обнаружили критическую проблему в уже запущенном протоколе. Они разбудили команду разработчиков проекта в 5 утра в чрезвычайной ситуации «все руки на палубе», чтобы исправить код как можно скорее. К счастью, они вовремя обнаружили проблему, прежде чем хакеры смогли определить уязвимость.

Высокая степень серьезности - Проблемы, которые сейчас не могут быть использованы, но могут быть, если будут выполнены некоторые определенные последовательности.

От среднего до низкого – Часто это необходимые незначительные настройки или рекомендации, а не обязательно угрозы безопасности.

Различные аудиторские компании также будут составлять резюме в разных форматах. Резюме, показанное выше, было сделано аудиторской фирмой. Квантштамп. Ackee Blockchain предоставляет PDF-файл с аудитом и веб-резюме, который сочетает в себе первоначальные и последующие результаты в формате, более похожем на эссе, который легче читать. Вы можете найти пример этого в их Резюме аудита.

Дополнительные вещи для поиска:

• Был ли аудит завершен более чем одной компанией? Чем больше глаз ищет проблемы, тем меньше шансов, что в коде есть изъян.
• Является ли аудиторская компания блокчейна профессиональной и уважаемой в сообществе? Если вы никогда раньше не слышали об аудиторской компании, загляните на их веб-сайт и найдите другие проекты, над которыми они работали. Являются ли какие-либо из проверенных ими платформ авторитетными? Проверьте, не использовалась ли какая-либо из платформ после того, как компания провела аудит, это может подчеркнуть послужной список плохих навыков аудита. Ищите такие вещи, как выигранные хакатоны и поддержка/гранты от сетевых фондов уровня 1.

Хорошим примером этого является Ackee Blockchain, которому были назначены официальные гранты на разработку/сообщество от четырех ключевых фондов: Coinbase Giving, Ethereum Foundation, Solana Foundation и Tezos Foundation.

Если вы относитесь к тем, кто по понятным причинам стал недоверчивым в наш век дезинформации, если вы видите утверждение, такое как изображение выше, взятое с веб-сайта Ackee Blockchain, вместо того, чтобы верить им на слово, вы всегда можете перейти на веб-сайты фондов. упомянул и проверить претензии для себя.

Причина, по которой я говорю это, заключается в том, что за те годы, что я писал обзоры, количество веб-сайтов, которые претендуют на то, что они «представлены в Forbes или Yahoo Finance», хотя их никогда не было, огромно. Я бы хотел, чтобы существовала какая-то форма интернет-полиции, которая могла бы сажать компании в интернет-тюрьму за ложь и подобные вводящие в заблуждение заявления. Вот почему в криптографии есть поговорка «не доверяй, проверяй». Не волнуйтесь, Ackee проверяет и действительно доверяет вышеуказанным фондам, я проверил 😉

Заключительные мысли

Ну вот и все. Некоторая информация о безопасности блокчейна, которая, я надеюсь, окажется для вас полезной. Я надеюсь, что эта статья поможет вам чувствовать себя более уверенно, отправляясь в мир криптографии с еще одним слоем брони и имея возможность перемещаться по криптоводам безопаснее, чем раньше. Я знаю, что буду усердно проверять эту информацию в следующий раз, когда буду выбирать, каким DApps и протоколам доверять свои криптоактивы.

Как говорится, «в криптовалюте важно не то, сколько вы зарабатываете, а то, сколько вы сохраняете», поскольку, к сожалению, многие из нас, старых крутых крипто-ветеранов, потеряли больше, чем наша справедливая доля сатоши в результате множества взломов. мошенничество, мошенничество, банкротство и т. д. Чем больше у нас знаний, тем лучше мы можем защитить себя от многих суровых рисков, существующих в этом новом и многообещающем дурацком мире криптографии.

Отказ от ответственности: это мнение автора, и его не следует рассматривать как инвестиционный совет. Читатели должны провести собственное исследование.