Как аудиторы обнаруживают мошенническую аферу DeFi Rug Pull: можете ли вы сделать это самостоятельно?

В 2022 году хакеры украли больше криптовалюты с платформ децентрализованного финансирования (DeFi), чем когда-либо прежде. Почти 98% всех токенов, запущенных на флагманской платформе DeFi DEX Uniswap, были идентифицированы как махинации.

Последний из них, Defrost Finance, пришел как рождественский кошмар для криптоинвесторов, уничтоживший 12 миллионов долларов их денег. 

Большинство взломов на платформах DeFi происходят из-за нарушений безопасности и эксплойтов кода. Проекты, которые в конечном итоге оказываются мошенничеством, имеют серьезные проблемы с безопасностью, которым было позволено ускользнуть или, возможно, намеренно остаться незамеченными. Чтобы предотвратить подобные риски, аудит безопасности DeFi имеет решающее значение.

Здесь мы узнаем больше об этих аудитах, о том, как они проводятся и можно ли провести аудит DeFi самостоятельно. 

Проекты DeFi реализуются как сложные, самоисполняющиеся смарт-контракты, часто прозрачные и с открытым исходным кодом. Они действуют как юридические соглашения между двумя сторонами. А поскольку за ними не стоит никакой централизованный орган, даже небольшая ошибка в смарт-контрактах может привести к необратимым последствиям.

Это означает, что в смарт-контрактах не должно быть места для ошибок. Аудит безопасности смарт-контрактов DeFi предназначен для обеспечения этого.

Аудит безопасности проверяет код смарт-контрактов и то, как он обосновывает условия контрактов. Детальный анализ ищет потенциальные недостатки безопасности, нарушения и системные ошибки в коде, поэтому его невозможно использовать. 

Аудит безопасности, обычно проводимый третьими сторонами, жизненно важен для обеспечения безопасности и надежности проектов, а также поддержания здоровой экосистемы DeFi.

Подтягивание ковра — это тип мошенничества с выходом, который работает по простой модели: разработчики создают законно выглядящий протокол DeFi, запускают и продвигают его до тех пор, пока проект не привлечет достаточную ликвидность, затем выводят средства и исчезают. 

Ну, не всегда. Иногда мошенники обвиняют хакеров в краже ликвидности и остаются в бизнесе до следующего раза.

Для реализации атаки мошенники встраивают в смарт-контракты вредоносный код. Они модифицируют их, чтобы предотвратить продажу инвесторами: устанавливают максимальную (100%) комиссию за продажу, заносят в черный список владельцев токенов и фиксируют деньги пользователей в контракте.

Некоторые смарт-контракты включают в себя программирование вредоносного «черного хода», который позволяет разработчикам выводить ликвидность.  

В большинстве случаев модифицированные смарт-контракты не проверяются аудиторами безопасности и скрыты от посторонних глаз. Поскольку большинство ончейн-контрактов общедоступны, отсутствие прозрачности GitHub может быть красным флагом. 

Индустрия блокчейна и смарт-контрактов все еще относительно молода, как и сектор аудита смарт-контрактов. Многие фирмы специализируются на аудите безопасности смарт-контрактов, разрабатывают свои инструменты и формируют ноу-хау. 

Отраслевые стандарты безопасности смарт-контрактов и лучшие практики развиваются. Несмотря на это, игроки индустрии аудита DeFi используют довольно стандартные методы аудита.

Обычно их исследования начинаются с оценки смарт-контракта. Аудитор анализирует технический документ, бизнес-логику и техническую спецификацию протокола DeFi, чтобы оценить потенциальные риски и функции безопасности.

Затем они переключают свое внимание на код смарт-контракта. Это когда начинается проверка кода и анализ. 

Аудиторы проверяют код построчно, выискивая уязвимости разного уровня: критические, которые могут привести к утечке ликвидности; средний уровень, который может частично повредить смарт-контракт; и вопросы низкого уровня, которые меньше всего влияют на безопасность контракта.

Они используют ряд методов аудита, включая автоматический и ручной анализ. Оба имеют свои плюсы и минусы.

Автоматический аудит безопасности означает сканирование кода с помощью программного обеспечения для автоматического анализа, которое ищет ошибки в базе данных известных уязвимостей и определяет их точное расположение в коде.

Программный аудит обычно проводится перед ручным анализом для обнаружения ошибок, которые люди могут не заметить. Это быстрее и требует меньше времени, но в то же время не всегда может учитывать контекст и, таким образом, пропускать определенные уязвимости. 

Ручной анализ кода является главным в аудите смарт-контрактов и является наиболее важной частью комплексного и точного аудита безопасности смарт-кода. Его проводят как минимум два отдельных эксперта, которые проверяют код построчно.

Цель состоит в том, чтобы убедиться, что каждая деталь в спецификации проекта реализована в смарт-контракте и ничто не нарушает его первоначально задуманное поведение. 

Аудиторы тщательно проверяют код на предмет непреднамеренного, неожиданного поведения, важных проблем безопасности и уязвимостей, таких как повторный вход, манипуляции с данными, мгновенные кредиты и другие манипуляции, которые могут быть реализованы во время взаимодействия смарт-контракта с другими.

В дополнение к этому, при ручном аудите проводится моделирование, чтобы оценить, насколько хорошо смарт-контракт проекта DeFi реагирует на неопознанные угрозы и насколько он способен защитить себя от них. 

В заключительной части ручного анализа кода аудитор сравнивает логику смарт-контракта с его описанием в технической документации проекта. 

После выявления и устранения всех уязвимостей аудиторы запускают процесс двойной проверки, чтобы убедиться, что смарт-код работает должным образом.

Наконец, после завершения аудита безопасности аудиторы составляют подробный отчет. Здесь они предоставляют подробные отзывы о том, что они обнаружили. Обычно их отчет содержит рекомендации о том, как можно исправить обнаруженные недостатки кода, чтобы снизить безопасность проекта. 

Смарт-контракты — относительно новая инновация. Их стандарты безопасности развиваются соответствующим образом. Это означает, что ни одно золотое правило не гарантирует полную безопасность смарт-контрактов.

Более того, не все аудиторские фирмы по смарт-контрактам одинаковы, и не все аудиты гарантируют безопасность. Аудиторы могут иметь разный уровень квалификации, разные цели и разные затраты.

Не говоря уже о том, что на рынке полно сомнительных застройщиков, которые подделывают проверки и при этом наживаются на имени респектабельной компании. Именно это произошло с Peckshield, компанией, занимающейся безопасностью блокчейнов и анализом данных, более года назад.

Подобные ситуации довольно распространены в криптовалютном пространстве. Они берут имя законного и уважаемого аудитора и помещают его в свой технический документ, говоря, что их протокол прошел аудит.

Единственный способ избежать подобных случаев — проверить наличие подтверждения по первоначальным каналам одитора. Если их нет, есть вероятность, что имя одитора было украдено. 

Всегда проверяйте портфель клиентов, чтобы оценить, является ли аудитор надежным и авторитетным. Погуглите случаи, чтобы проверить записи об их опыте, и проверьте, не пострадал ли какой-либо из проверенных проектов от взлома или других атак.

Учитывая такое количество хаков и незаконных действий в криптопространстве, наивно полагать, что проекты DeFi безопасны, не изучая их более подробно. Аудит смарт-контрактов обеспечивает критический уровень безопасности. 

Однако даже самые профессиональные специалисты не гарантируют, что проект DeFi не содержит ошибок. Смарт-контракты сложны. Они требуют детального и всестороннего анализа, опыта, инструментов и, самое главное, не одной пары глаз.