DeFi является динамичным компонентом криптовалютной индустрии с примерно $80 миллиард активов заперт в протоколах в марте 2021 года. Однако, как говорится, проблемы накапливаются там, где деньги.
Проекты в DeFi были подделками и мошенничеством, а слабым болтом в такой деятельности были плохо построенные смарт-контракты. Это становится очевидным, если взглянуть на мошенничества последних месяцев.
Полисетевая атака
Разработан для обеспечения совместимости блокчейнов. Poly Network быстро росла и заблокировал криптоактивы на сумму около одного миллиарда долларов США. Однако заинтересованные стороны были шокированы, когда более $600 миллион долларов США криптовалюты был украден в результате одной атаки. В результате активы под управлением протокола (AUM) сократились более чем вдвое.
Успех взлома был обусловлен уязвимостью в смарт-контракте, используемом в протоколе межсетевой передачи активов. Хакеры заменили адрес своего собственного кошелька на адрес, обычно используемый смарт-контрактом. Метод работы был воспроизведен в блокчейнах Polygon, Ethereum и BSC, чтобы получить доступ к криптовалютам, оставив десятки тысяч пользователей протокола без внимания.
Команда безопасности Poly Network смогла докопаться до электронной почты, IP-адреса и других данных хакеров. Под давлением они вернули большую часть украденного! Но не всем протоколам так повезло.
БлинЗайка атака
В мае 2021 года протокол PancakeBunny подвергся атаке, когда хакеры завладели криптоактивами стоимостью $45 миллион. Для этой цели они использовали эксплойт флэш-кредита. Хуже того, хакеры обменялись КРОЛИК токены для монет Binance, в результате чего цена токенов BUNNY резко возрастает. $6 от $146.
Хуже того, последовала еще одна атака. Несмотря на атаку, разработчикам Bunny Finance не удалось предотвратить атаку на PolyBunny, форк блокчейна Polygon компании. Злоумышленники отчеканили $2.1 ПОЛИБАННИ стоимостью в миллион. Цена токенов POLYBUNNY упала до $2 с $10.
Флэш-кредит включает в себя смарт-контракт, который позволяет любому брать кредит и погашать его за одну транзакцию. Они манипулировали ценой BNB, используя уязвимость в пуле ликвидности BNB-USDT PancakeBunny, успешно отчеканив почти семь миллионов BUNNY в шестиэтапном процессе.
Атака BurgerSwap
28 мая 2021 года BurgerSwap на блокчейне BSC подвергся атаке с использованием срочного кредита. Хакеры украли $ 7.2M в 14 сделках. И снова виновником стал эксплойт с мгновенным кредитом.
Злоумышленники создали собственную фальшивую монету (нестандартные токены BEP-20) и новую торговую пару с $BURGER. Используя маршрутизацию $WBNB, хакеры повторно вошли в систему. Бургер своп через поддельные монеты и манипулирование резервами в контракте пары, вызывая изменение цены и зарабатывая свои деньги.
Роль контракта
Проекты DeFi управляются смарт-контрактами, поэтому любой сбой становится серьезной проблемой для заинтересованных сторон. Смарт-контракт включает в себя набор программных кодов, предназначенных для автоматизации исполнения и расчетов. Именно этот уровень делает автоматизацию в протоколах блокчейна реальностью. Смарт-контракты имеют определенные начальные и конечные события, основанные на событии, происходящем извне.
Самые читаемые - Что нельзя забывать при аудите смарт-контрактов в DeFi
Многосторонняя подпись контролирует доступ к контракту. Доступ к внешним и внутренним источникам данных запускает выполнение условий. Смарт-контракты могут получить доступ к распределенным базам данных, в которых хранятся активы. Они также содержат встроенную информацию о собственности на активы и вовлеченных сторонах.
Почему так важно делать смарт-контракты действительно умными
Смарт-контракты — это разум и душа протоколов DeFi. Протоколы ведут себя точно так, как запрограммированы смарт-контракты, лежащие в их основе. Ошибка может привести к огромным потерям для протокола. Хуже того, это может привести к необратимому отключению.
Ответственность за создание безупречных смарт-контрактов лежит на разработчиках. Недостатки дизайна контракта приводят к ошибкам, которые могут быть серьезными, средними или умеренными. Разработчики должны иметь возможность создавать контракты, которые являются безопасными и функционируют должным образом. Не должно быть бэкдоров, которыми могут воспользоваться хакеры. Как только контракт будет наполнен криптовалютой, недобросовестные элементы могут попытаться его истощить.
Роль аудита
Аудит смарт-контрактов необходим для обнаружения ошибок, лазеек и уязвимостей безопасности в коде и предложения улучшений. Хотя блокчейны практически представляют собой безопасную экосистему, плохо написанный смарт-контракт создает уязвимость. Разработчикам нельзя полностью доверять создание безупречных контрактов по двум причинам.
Во-первых, один разработчик или группа разработчиков не в состоянии обеспечить соблюдение всех параметров, касающихся уязвимостей. Во-вторых, разработчики могут намеренно оставить бэкдор для слива контракта в любой момент по своему выбору. Чтобы свести на нет оба этих препятствия, необходим тщательный аудит.
Аудит безопасности смарт-контрактов включает в себя тщательный анализ кода, на котором работает приложение, с целью исправления проблем с дизайном, ошибок в коде или уязвимостей безопасности. Вам необходимо сосредоточиться на фирме, занимающейся аудитом безопасности, которой вы можете доверять при проведении аудита. Этот процесс обычно включает в себя такие этапы, как согласование набора спецификаций, выполнение тестов, запуск инструментов автоматического выполнения, ручной анализ кода и создание отчета.
Подведение итогов
Такие хаки, как Poly Network, PancakeBunny и BurgerSwap, подчеркивают, как критический аудит смарт-контрактов предназначен для успеха проекта блокчейна. Аудиты помогите обнаружить ошибки, проблемы и уязвимости безопасности, помогая устранить лазейки до того, как будет нанесен какой-либо ущерб.
Обратитесь в QuillAudits
QuillAudits это безопасная платформа для аудита смарт-контрактов, разработанная QuillHash
Технологии.
Это платформа аудита, которая тщательно анализирует и проверяет смарт-контракты для проверки уязвимостей безопасности с помощью эффективных руководство обзор с статический и динамический инструменты анализа, газоанализаторы так же как и сигнал тренажеры. Кроме того, процесс аудита также включает в себя обширные модульное тестирование так же как и сигнал структурный анализ.
Мы ведем как смарт-контракт аудит и проникновение тесты, чтобы найти потенциал
уязвимости безопасности, которые могут повредить платформу целостность.
Если вам нужно помощь в смарт-контрактах аудит, не стесняйтесь тянуться нашим специалистам здесь!
Чтобы быть до настоящего времени с нашей работой, присоединяйтесь к нашим Сообщество:-
Twitter | LinkedIn | что его цель | Telegram
- доступ
- активно
- плюс
- Все
- анализ
- Применение
- около
- активы
- Активы
- аудит
- Автоматизированный
- автоматизация
- задняя дверь
- Черные ходы
- миллиард
- binance
- блокчейн
- НББ
- болт
- Ошибка
- ошибки
- изменение
- CNBC
- код
- Монета
- Coins
- компонент
- контракт
- контрактов
- крипто-
- криптовалюты
- криптовалюта
- данным
- базы данных
- Defi
- Проект
- Застройщик
- застройщиков
- DID
- долларов
- экосистема
- Эфириума
- События
- События
- Эксплуатировать
- что его цель
- Ошибка
- не настоящие
- финансы
- Фирма
- Flash
- недостатки
- вилка
- Бесплатно
- полный
- функция
- мотыга
- Хакеры
- взломы
- история
- держать
- Как
- HTTPS
- огромный
- промышленность
- информация
- Взаимодействие
- вовлеченный
- IP
- вопросы
- IT
- присоединиться
- большой
- вести
- Ликвидность
- основной
- Создание
- управление
- Март
- средний
- миллиона
- деньги
- месяцев
- сеть
- Другое
- Платформа
- бассейн
- давление
- цена
- Проект
- проектов
- протокол
- Реальность
- причины
- отчету
- обзоре
- Бег
- мошенничество
- безопасность
- набор
- поселок
- выключение
- умный
- умный контракт
- Смарт-контракты
- So
- Software
- Начало
- украли
- украли
- успех
- тестов
- время
- Лексемы
- Торговля
- сделка
- Сделки
- Доверие
- us
- USD
- пользователей
- Уязвимости
- уязвимость
- Кошелек
- Работа
- стоимость
- нуль
