Kako revizorji odkrijejo prevaro DeFi Rug Pull: ali lahko to storite sami?

Hekerji so leta 2022 s platform za decentralizirano financiranje (DeFi) ukradli več kriptovalute kot kdaj koli prej. Skoraj 98 % vseh žetonov, lansiranih na vodilni platformi DeFi DEX Uniswap, je bilo prepoznanih kot vlečenje preproge.

Najnovejša, Defrost Finance, prišel kot božična nočna mora za kripto vlagatelje, ki je izbrisala 12 milijonov dolarjev njihovega denarja. 

Večina vdorov na platforme DeFi se zgodi zaradi kršitev varnosti in izkoriščanja kode. Projekti, ki se končajo kot prevare s vlečenjem preprog, imajo resne varnostne težave, ki so bile namerno zdrsnjene ali morda neodkrite. Za preprečevanje podobnih tveganj so varnostne revizije DeFi ključnega pomena.

Tukaj bomo izvedeli več o teh revizijah, kako se izvajajo in ali je mogoče revizijo DeFi izvesti sami. 

Projekti DeFi se izvajajo kot kompleksne, samoizvršljive pametne pogodbe, pogosto pregledne in odprtokodne. Delujejo kot pravni sporazumi med dvema strankama. In ker za njimi ne stoji noben centraliziran subjekt, lahko že majhna napaka v pametnih pogodbah povzroči nepopravljive posledice.

To pomeni, da v pametnih pogodbah ne sme biti prostora za napake. Varnostne revizije pametnih pogodb DeFi naj bi to zagotovile.

Revizije varnosti preučujejo kodo pametnih pogodb in kako utemeljuje pogoje in določila pogodb. Podrobna analiza išče morebitne varnostne pomanjkljivosti, kršitve in sistemske napake v kodi, zato je ni mogoče izkoristiti. 

Varnostne revizije, ki jih običajno izvajajo tretje osebe, so ključnega pomena za zagotavljanje varnosti in verodostojnosti projektov ter ohranjanje zdravega ekosistema DeFi.

Rug pull je vrsta izstopne prevare, ki deluje po preprostem modelu: razvijalci ustvarijo zakonit protokol DeFi, ga zaženejo in promovirajo, dokler projekt ne privabi dovolj likvidnosti, nato potegnejo sredstva in izginejo. 

No, ne vedno. Občasno prevaranti za krajo likvidnosti obtožijo hekerje in ostanejo v poslu do naslednjič.

Za izvedbo napada prevaranti vdelajo zlonamerno kodo v pametne pogodbe. Spremenijo jih, da vlagateljem preprečijo prodajo: določijo najvišjo (100-odstotno) prodajno provizijo, lastnike žetonov uvrstijo na črni seznam in zaklenejo denar uporabnikov v pogodbo.

Nekatere pametne pogodbe vključujejo kodiranje zlonamernih "zadnjih vrat", ki razvijalcem omogočajo dvig likvidnosti.  

Spremenjene pametne pogodbe večinoma niso preverjene s strani varnostnih revizorjev in so skrite očem javnosti. Ker je večina pogodb v verigi javno dostopnih, je pomanjkanje preglednosti GitHub je lahko rdeča zastava. 

Industrija veriženja blokov in pametnih pogodb je še vedno razmeroma mlada, prav tako revizijski sektor pametnih pogodb. Številna podjetja so specializirana za revizije varnosti pametnih pogodb, razvijajo svoja orodja in oblikujejo svoje znanje in izkušnje. 

Industrijski standardi in najboljše prakse varnosti pametnih pogodb se razvijajo. Kljub temu akterji revizijske industrije DeFi uporabljajo nekaj precej standardnih revizijskih metod.

Običajno se njihove preiskave začnejo z oceno pametne pogodbe. Revizor analizira belo knjigo, poslovno logiko in tehnične specifikacije protokola DeFi, da oceni možna tveganja in varnostne funkcije.

Nato preusmerijo pozornost na kodo pametne pogodbe. Takrat se začneta pregled in analiza kode. 

Revizorji pregledujejo kodo vrstico za vrstico in iščejo ranljivosti različnih ravni: kritične, ki lahko povzročijo uhajanje likvidnosti; srednje ravni, kar bi lahko delno poškodovalo pametno pogodbo; in vprašanja nizke ravni, ki najmanj vplivajo na varnost pogodbe.

Uporabljajo številne revizijske tehnike, vključno z avtomatsko in ročno analizo. Oba imata svoje prednosti in slabosti.

Avtomatizirana varnostna revizija pomeni skeniranje kode s programsko opremo za avtomatizirano analizo, ki išče hrošče v bazi znanih ranljivosti in identificira njihovo natančno lokacijo v kodi.

Revizija, ki temelji na programski opremi, se običajno izvede pred ročno analizo, da se odkrijejo napake, ki bi jih ljudje lahko spregledali. Je hitrejši in manj zamuden, hkrati pa se morda ne zaveda vedno konteksta in tako spregleda določene ranljivosti. 

Ročna analiza kode je kralj pri reviziji pametnih pogodb in je najbolj kritičen del celovite in natančne revizije varnosti pametne kode. Izvajata ga vsaj dva ločena strokovnjaka, ki pregledujeta kodo vrstico za vrstico.

Cilj je preveriti, ali je vsaka podrobnost v specifikaciji projekta implementirana v pametno pogodbo in da nič ne krši njenega prvotno predvidenega vedenja. 

Revizorji natančno pregledajo kodo glede nenamernega, nepričakovanega vedenja, ključnih varnostnih vprašanj in ranljivosti, kot so ponovni vstop, manipulacije podatkov, hitra posojila in druge manipulacije, ki bi se lahko izvajale, medtem ko pametna pogodba sodeluje z drugimi.

Poleg tega ročne revizije izvajajo simulacije za oceno, kako dobro se pametna pogodba projekta DeFi odziva na neidentificirane grožnje in kako sposobna se je braniti pred njimi. 

V zadnjem delu ročne analize kode revizor primerja logiko pametne pogodbe z njenim opisom v beli knjigi projekta. 

Ko so vse ranljivosti prepoznane in odpravljene, revizorji izvedejo postopek dvojnega preverjanja, da zagotovijo, da pametna koda deluje po pričakovanjih.

Nazadnje, po opravljeni presoji varnosti, revizorji pripravijo celovito poročilo. Tukaj podajo podrobne povratne informacije o tem, kaj so odkrili. Običajno njihovo poročilo vsebuje priporočila o tem, kako je mogoče odpraviti odkrite pomanjkljivosti kode, da se zmanjša varnost projekta. 

Pametne pogodbe so razmeroma nova inovacija. Temu primerno se razvijajo tudi njihovi varnostni standardi. To pomeni, da nobeno zlato pravilo ne zagotavlja popolne varnosti pametnih pogodb.

Poleg tega niso vsa revizijska podjetja za pametne pogodbe enaka in vse revizije ne zagotavljajo varnosti. Revizorji imajo lahko različne ravni znanja, različne cilje in različne stroške.

Da ne omenjam dejstva, da je trg poln nedorečenih razvijalcev, ki ponarejajo revizije in še vedno koristijo ime uglednega podjetja. To se je pred več kot enim letom zgodilo podjetju Peckshield, ki se ukvarja z varnostjo in analizo podatkov v verigi blokov.

Takšne situacije so v prostoru kriptovalut precej pogoste. Vzamejo ime zakonitega in uglednega revizorja in ga vnesejo v svojo belo knjigo, kjer pravijo, da je bil njihov protokol revidiran.

Edini način, da se izognete takšnim primerom, je, da preverite potrditev na izvornih kanalih revizorja. Če jih ni, obstaja velika verjetnost, da je bilo revizorjevo ime ukradeno. 

Vedno preverite njegov portfelj strank, da ocenite, ali je revizor trden in ugleden. Poguglajte primere, da preverite njihove zapise o izkušnjah in preverite, ali je kateri od revidiranih projektov utrpel vlečenje preproge ali druge napade.

S toliko vdori in preprogami v kriptoprostoru si je naivno predstavljati, da so projekti DeFi varni, ne da bi jih podrobneje preučili. Revizije pametnih pogodb zagotavljajo kritično raven varnosti. 

Vendar tudi najbolj profesionalni ne zagotavljajo, da je projekt DeFi popolnoma brez napak. Pametne pogodbe so zapletene. Zahtevajo podrobno in celovito analizo, strokovno znanje, orodja in, kar je najpomembneje, več kot en par oči.