Kaj naredi revizijo pametnih pogodb DeFi tako ključno

DeFi je bil zastavonoša kripto razcveta leta 2020 in vročina tudi do leta 2021 ni popustila. Z vse več ljudmi, ki svoja sredstva odplaknejo v kmetovanje donosov, je DeFi dolgoročno še naprej.

Morda poznate mnoge, ki so z DeFi pomnožili svoj zaslužek. V kripto krogih ni bilo nenavadno najti ljudi, ki so katapultirali njihova sredstva 7x or 10x z donosnim kmetovanjem. Hitra posojila so bila glavno orodje v njihovih rokah, ki jim je omogočalo hitro premikanje denarja med protokoli v določenem času in kovnico zlata.

Vloga pametnih pogodb pri vodenju DeFi

Le malo ljudi pa se zaveda vloge pametnih pogodb pri avtomatiziranem izvajanju teh zmogljivih aplikacij. Pametne pogodbe so nespremenljivi računalniški programi, shranjeni v verigi blokov. Ti programi bi ukrepali, ko bi bil izpolnjen vnaprej določen pogoj. Zahvaljujoč pametni pogodbi so lahko vsi deležniki prepričani o izidu, ne da bi se dejansko vključili.

Zaradi česar se pametne pogodbe spremenijo v šibki člen

Pametne pogodbe so postale prelomno razkritje. Vendar pa obstaja tudi druga plat medalje. Pametne pogodbe so se izkazale za šibki člen v ekosistemu DeFi. Razvijalci bi lahko na koncu napisali slabo kodo, kar bi brezvestnim elementom dalo vrzeli, da prikradejo denar in skrijejo sredstva, zaklenjena v protokolu. Številni projekti DeFi so razcepljeni iz obstoječih protokolov. V takih primerih se napake v obstoječem protokolu prenesejo tudi na razcepljenega.

Pogosto razvijalci nimajo dovolj izkušenj in znanja za pisanje varne kode. Projekti običajno najemajo neizkušene razvijalce, da prihranijo stroške, ne da bi se zavedali, da jih lahko kup hroščev, ki jih ustvarijo ti ljudje, drago stane. Včasih lahko razvijalci namerno pustijo hrošče, da preusmerijo sredstva iz protokola v svoje denarnice. In potem so lahko hekerji v mnogih primerih dovolj pametni, da odkrijejo hrošče in ranljivosti v na videz zdravi kodi in napadejo neopaženi. Ne glede na to, kako so hrošči našli pot do kode, lahko predstavljajo eksistencialno grožnjo projektu.

Pregled uhajanja podatkov iz DeFi v letu 2021

Če pogledate izkoriščanja DeFi, ki so se zgodila leta 2021, boste presenečeni nad ogromnim številom protokolov, ki so uhajala sredstva prek pametne pogodbe.

Leto financ – Storilci so izkoristili funkcijo hitrega izposoje protokola za vrečko $11 milijonov uporabniških sredstev prek izkoriščanja pametne pogodbe.

Alfa Homora – Ta protokol likvidnosti vzvoda je postal žrtev a $37.5 milijonov izkoriščajo. Izkoriščanje je vključevalo uporabo funkcije, ki je sprostila nezavarovana posojila za zaupanja vredne pametne pogodbe.

Meerkat Finance – Trezor pametnih pogodb tega protokola za kmetovanje donosa na Binance Smart Chain je bil napaden, kar je povzročilo izgubo približno 13 milijonov BUSD in 73,000 BNB

PLAČANO omrežje – Neskončni napad na PAID je dosegel vrhunec v izgubi okoli 180 milijonov $.

EasyFi – Napad na EasyFi, zgrajen na vrhu omrežja Polygon, se je končal tako, da je napadalec odnesel sredstva v vrednosti $75 milijonov.

ForceDAO – Hekerji so ciljali na izčrpavanje ForceDAO 183 ETH iz protokola.

Uranove finance – Medtem ko je protokol izvajal svojo migracijo žetonov, je utrpel napad, ki je povzročil izgubo $50 milijonov.

Spartan – Večkratni napadi izposoje flash na ta protokol DeFi, ki temelji na BSC, so povzročili izgubo približno $30 milijonov.

RARI Capital – Hekerji so izpraznili trezorje donosov in posojilne sklade Rari Capital, da bi povzročili izgubo $11 milijonov.

Kako se sredstva ukradejo iz protokolov DeFi

Obstajajo trije načini za črpanje sredstev iz protokolov DeFi –

Vrzeli v pametnih pogodbah – Pametne pogodbe izvajajo ključne funkcije, kot sta likvidnost in staking, zaradi česar so večna tarča hekerjev. Napake v pametnih pogodbah so glavni vzrok za podvige.

Flash posojila – Napadalci uporabljajo ogromna hitra posojila, da napihnejo ceno določenega stabilnega kovanca in pri tem pomnožijo svoje deleže. Hitrih posojil pa ne moremo odpraviti, saj omogočajo nekatere zelo uporabne funkcije DeFi, kot so arbitraža, zamenjava zavarovanja, samolikvidacija in številne druge.

ZAKAJ SO NAPADI FLASH LOAN NOVO ČRNO 🔥🔥?

Denar za nič 💸. Tako se hitra posojila imenujejo v #Izziv prostora. Toda v nedavni preteklosti so bile različne platforme DeFi prek napadov 'Flash Loan' odvzete več kot milijone ⚠️

[1 / 3]#Blockchain pic.twitter.com/7SvGr2SMgL

- QuillAudits (@QuillAudits) Julij 31, 2021

Oracle manipulacija – Decentralizirana omrežja lahko dostopajo do zunanjih podatkov le prek oraklov. Vloga Oracle je ključna za pridobivanje varnih in zanesljivih podatkov. Hekerji bi poskušali manipulirati z oraklji, da bi vplivali na stvari v svojo korist. Tako kot hitra posojila tudi Oracle ne morete odpraviti, lahko pa svoj protokol integrirate z decentraliziranim Oracle, ki je na splošno bolj zaupanja vreden.

Morati prebrati - Kaj ne pozabite pri reviziji pametnih pogodb v DeFi

Možni načini napada na pametne pogodbe

Lahko bi bilo več razlogov za hrošče in ranljivosti v pametnih pogodbah. Ti vključujejo ponovni vstop, vodenje v prvi vrsti, nešifrirane zasebne podatke v verigi, nepomembno kodo, klic sporočila s trdo kodirano količino plina, zgoščevalne kolizije z več argumenti spremenljive dolžine, nepričakovano ravnotežje Ether, prisotnost neuporabljenih spremenljivk, tipkarsko napako, DoS z blokom omejitev plina, samovoljni skok s spremenljivko tipa funkcije, nezadostno stiskanje plina, nepravilen vrstni red dedovanja, kršitev zahteve, pomanjkanje ustreznega preverjanja podpisa, šibki viri naključnosti iz atributov verige, prilagodljivost podpisa, DoS z neuspelim klicem, uporaba zastarelih funkcij, nezaščiten Ether umik in še veliko več. Razvijalci se morajo zavedati vseh teh primerov in njihovih opisov kode.

Revizija pametne pogodbe

Pametna pogodba zahteva temeljito revizijo pred uvedbo. Vsa odkritja so skupaj s priporočili pojasnjena v končnem poročilu. Ravni varnosti pametnih pogodb se merijo v skladu z naborom specifikacij, kot so kritična, visoka, srednja, nizka in najnižja.

Pravilna revizija vključuje tako avtomatske kot tudi ročne preglede. Samodejna revizija uvede programsko opremo, ki določi del, ki je odgovoren za vsako izvedbo, in razišče, kje bi lahko prišlo do morebitne napake. Ročna analiza vključuje ekipo izkušenih razvijalcev, ki preučuje vsako vrstico kode. Lahko preverijo glede na seznam standardnih ranljivosti ali izvedejo raziskovalno preverjanje na podlagi svojih izkušenj.

Zavijanje

Pametne pogodbe so motor za DeFi. Za zaščito projekta DeFi pred ranljivostmi je nujno izvesti temeljito preverjanje pogodbe. Samodejno in ročno revizijo je treba izvajati hkrati, da bo revizija čim bolj temeljita in natančna. 

Obrnite se na QuillAudits

QuillAudits je varna platforma za revizijo pametnih pogodb, ki jo je oblikoval QuillHash
Tehnologije.
Gre za revizijsko platformo, ki strogo analizira in preverja pametne pogodbe, da z učinkovitimi preverja varnostne ranljivosti Navodilo pregled s statična in dinamično orodja za analizo, analizatorji plina tako dobro, kot simulatorji. Poleg tega revizijski postopek vključuje tudi obsežen testiranje enote tako dobro, kot strukturna analiza.
Izvajamo obe pametni pogodbi revizije in penetracija testi za odkrivanje potenciala
varnostne ranljivosti, ki bi lahko škodovale platformi celovitost.

Če jih rabiš Pomoč v pametnih pogodbah Revizija, vas prosimo seči po našim strokovnjakom tukaj!

Biti posodobljen z našim delom se nam pridružite Skupnosti:-

Twitter | LinkedIn | Facebook  | Telegram 

Vir: https://blog.quillhash.com/2021/10/06/what-makes-defi-smart-contract-auditing-so-pivotal/