Время Читать: 6 минут
Solana утверждает, что является самой быстрорастущей сетью блокчейнов из-за ее более высокой масштабируемости. Консенсус, основанный на доказательстве истории, является причиной его большей масштабируемости при обработке до 710,000 XNUMX транзакций в секунду.
Несмотря на огромную популярность Solana, безопасность ее смарт-контрактов тщательно не проверяется. И тестирование так же важно для обеспечения ценности бренда, как обещано партнерам, и для повышения надежности вашего проекта со стороны инвестора.
В этой статье мы расскажем о возможных дефектах кодирования Соланы и о том, как аудит помогает их выявить и исправить.
Объяснены различные сценарии взлома блокчейна Solana
Червоточины Взлом
Wormhole, блокчейн-мост, который облегчает токенизированный обмен между различными блокчейнами, присоединяется к череде взломанных криптопроектов. Общая потеря средств составляет около 320 миллионов долларов, что является одним из крупнейших событий по отмыванию денег в криптосфере.
История взлома
Как мы знаем, Wormhole позволяет передавать активы между разными блокчейнами. Но вопрос в том, как это делается?
Токен, созданный в каждой цепочке, например Ethereum или Solana, управляется смарт-контрактами. А для передачи токенов транзакции утверждаются Хранителями, которые проверяют правильность генерации токенов, проверяя их подписи.
В инциденте с червоточиной проверить _signature используется функция, с помощью которой хакер создал инструкцию с поддельными данными для проверки своих транзакций.
Благодаря этому хакер создал набор_подписей содержащий достаточное количество подписей, необходимых для утверждения действия валидатора (VAA). Таким образом, хакер получил доступ для запуска несанкционированного монетного двора.
Таким образом, хакер смог завладеть 120,000 320 обернутых Ethereum стоимостью XNUMX миллионов долларов, разграбив их.
Крема Финансы Взлом
Crema Finance, протокол ликвидности в списке блокчейн-проектов Solana, пострадал от взлома, потеряв 8.78 миллиона долларов.
История взлома
Хакер развернул смарт-контракт, чтобы взять быстрый кредит на Solana и добавить ликвидности на Crema. Затем данные о ценах были изменены, что позволило хакерам создать впечатление, что они владеют огромной суммой комиссионных.- все с поддельными данными.
Команда Crema отследила поток средств, которые хакеру удалось перевести из Solana в Ethereum. Команда немедленно предупредила хакера вернуть украденные средства, приняв вознаграждение.
И вскоре после этого хакер вернул средства, сохранив 1.6 миллиона долларов в качестве вознаграждения за белую шляпу.
Взлом кассы
Cashio (CASH), собственная стабильная монета Solana, поддерживаемая алгоритмами, потеряла колоссальные 52.8 миллиона долларов из-за бесконечной ошибки монетного двора. После этого стоимость монеты упала с 1 доллара до 0.00005 доллара, что привело к краху экосистемы DeFi.
История взлома
Используя кодовую базу Cashio, хакер впервые выпустил два миллиарда токенов CASH. Что было не так с кодом?
Сбой бесконечной чеканки — эта ошибка в протоколе дает пользователю доступ к чеканке любого количества токенов без внесения залога. Затем пользователь может продать эти отчеканенные токены на биржах, что обрушит цену монеты.
В эксплойте Cashio хакер сжег два миллиона токенов CASH для токенов Sabre USDT-USDC LP. Затем токены Liquidity Pair обмениваются на токены USDC и USDT, что приводит к сливу 52.8 млн долларов.
Как защитить проекты от взломов и краж?
Хотя безопасность всегда находится в стадии разработки, испытанные и испытанные методы, принятые разработчиками и аудиторами, могут защитить хакеров от простых атак.
Меры безопасности доказали свою эффективность в устранении атак на управление, манипуляций с ценовыми оракулами, ошибок повторного входа и т. д. Итак, давайте теперь найдем меры безопасности, которые удерживают злоумышленников от использования контрактов и отмывания денег.
Умное кодирование контрактов: Пишите контракты, используя методы безопасного кодирования, которые включают использование проверенных библиотек, рекомендуемого языка программирования, реализацию специальной безопасности в кошельках, четкое определение функций и так далее.
Контрольный список безопасности блокчейна Actionize: Доступно множество хорошо изученных ресурсов, которые можно проверить, чтобы обеспечить защиту от взлома.
Использование инструментов аудита безопасности: Сканеры безопасности с открытым исходным кодом доступны для автоматической проверки контрактов на уязвимости и выявления потенциальных недостатков в контрактах.
Тем не менее, это может быть неэффективно при обнаружении ошибок, но помогает для базовой проверки. Различные виды инструментов аудита помогают выявлять ошибки в блокчейне и смарт-контрактах, таких как MythX, Echidna, Manticore, Oyente, SmartCheck и т. д.
Проведение пентестинга и аудита: И последнее, но не менее важное: аудит смарт-контрактов нельзя недооценивать. Небольшие лазейки помогают хакерам найти способ взломать контракты.
Аудиты безопасности и периодические пентесты тщательно анализируют проект и исключают даже малейшие возможности для хакеров. Зная, что услуги аудита и пентестинга имеют большее значение для обеспечения безопасности, давайте пошагово разберемся, как это делается.
Роль аудита в обеспечении безопасности смарт-контрактов
Аудит включает в себя ряд шагов от автоматизированного тестирования до проверки вручную, широко охватывая все аспекты кодирования и проверяя наличие слабых мест в коде. Некоторые из спецификаций, охватываемых процессом аудита Solana, включают:
- Проверка функциональности
- Замораживание контракта
- Манипуляции с предложением токенов
- Манипуляции с балансом пользователя
- Механизм аварийного отключения
- Операционные испытания и генерация событий и т. д.
Шаги, которые выполняет QuillAudits для аудита смарт-контракта Solana
Аудит смарт-контрактов Solana проводится с максимальной тщательностью, а тщательно проработанный аудиторский отчет содержит весь анализ аудита. Пошаговый рабочий процесс приведен ниже.
Шаг 1. Сбор деталей
Идея и предполагаемая цель проекта собираются и изучаются у клиента, чтобы понять и получить полное знание кода и его функционирования. После завершения обсуждения аудиторы замораживают код, чтобы перейти к следующему этапу процесса аудита.
Шаг 2. Ручное тестирование
Наши опытные штатные аудиторы проверяют код на наличие сложностей и проблем с уязвимостями. Это включает в себя поиск математических ошибок, логических проблем и т. д.
Шаг 3. Тестирование функциональности
Этот процесс включает в себя тестирование контрактов в различных условиях и проверку данных, полученных смарт-контрактами Solana. Смарт-контракт тестируется, чтобы убедиться, что предполагаемые действия выполняются правильно.
Шаг 4. Тестирование последних векторов атак
Изучаются недавние атаки, и проводятся тесты смарт-контрактов, чтобы убедиться, что они обеспечивают полную устойчивость к атакам. Он включает в себя проверку атак, таких как манипулирование рынком, ценообразование LP, опережающие векторы и т. д.
Шаг 5- Автоматическое тестирование инструмента
Такие инструменты, как Soteria, Cargo-Clippy, Cargo-Audit и специализированные инструменты для аудита смарт-контрактов Solana, реализованы для выявления любых ошибок. Мы также внедряем такие методы, как Fuzzing чтобы мы могли как можно лучше сформулировать реальные векторы атак.
Шаг 6- Первоначальный аудиторский отчет
Первоначальный аудиторский отчет представляет ошибки в контракте, а затем мы отправляем его команде разработчиков для их устранения.
Шаг 7- Окончательный аудиторский отчет
Отчет проверяется на предмет исправлений, внесенных командой разработчиков, после чего представляется окончательный аудиторский отчет.
Последние мысли,
Акцент на необходимости Услуги аудита смарт-контрактов Solana чтобы устранить возможные недостатки и технические сбои, чтобы защитить их от хакеров, становится ясно из этого.
И не говоря уже о том, QuillAudits иметь опыт, вооруженный всеми передовыми инструментами и методами, для оказания аудиторских услуг и получения гарантированных результатов. Вам не нужно искать в другом месте, так как мы на расстоянии одного клика.
Часто задаваемые вопросы
Что такое язык кодирования смарт-контрактов Solana?
Смарт-контракт Solana написан на языке программирования Rust с программой, содержащей специфичные для Solana механизмы.
Solana быстрее, чем Ethereum?
Конечно да, Solana может обрабатывать до 70,000 30 транзакций в секунду, а Ethereum только 15 транзакций. Кроме того, время блока Solana составляет одну секунду, а Ethereum — XNUMX секунд.
С какими основными проблемами сталкиваются смарт-контракты Solana?
Общие проблемы, с которыми сталкивается смарт-контракт Solana, включают устаревшие зависимости, избыточный/повторяющийся код, неинициализированную память в коде ржавчины и т. д.
Как вы проверяете смарт-контракты Solana?
QuillAudits проводит углубленную проверку компонентов смарт-контрактов и библиотек, импортированных помимо кодирования ржавчины. Мы проводим ручную проверку кода и выполняем исчерпывающее сканирование для проверки входных данных программы с помощью фаззинга.
Каково значение аудита смарт-контрактов?
Блокчейн привлекает внимание миллиардов, в том числе хакеров. Короче говоря, аудит имеет решающее значение для предотвращения потенциальных уязвимостей и обеспечения доверия к проекту.
156 Просмотры
- Bitcoin
- блокчейн
- Блокчейн и безопасность смарт-контрактов
- соответствие блокчейна
- блочная конференция
- coinbase
- Coingenius
- Консенсус
- криптоконференция
- криптодобыча
- криптовалюта
- децентрализованная
- Defi
- Цифровые активы
- Эфириума
- обучение с помощью машины
- невзаимозаменяемый токен
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платоблокчейн
- ПлатонДанные
- платогейминг
- Polygon
- Доказательство доли
- Квиллхэш
- Смарт Контракт Аудит
- Безопасность смарт-контрактов
- W3
- зефирнет
