Čas branja: 6 min
Solana trdi, da je najhitreje rastoče omrežje blockchain zaradi svoje večje razširljivosti. Delovanje na podlagi soglasja o dokazovanju zgodovine je razlog za njegovo večjo razširljivost pri obdelavi do 710,000 transakcij na sekundo.
Kljub Solanini izjemni priljubljenosti varnost njenih pametnih pogodb ni temeljito preizkušena. In testiranje je prav tako ključnega pomena pri zagotavljanju vrednosti blagovne znamke, kot je obljubljeno partnerjem, in spodbujanju vlagateljeve zanesljivosti pri vašem projektu.
V tem članku bomo razkrili morebitne napake kodiranja Solana in kako jih revizija pomaga prepoznati in popraviti.
Pojasnjeni so različni scenariji vdorov v verigo blokov Solana
Wormhole Hack
Wormhole, blokovni most, ki omogoča tokenizirane izmenjave med različnimi blokovnimi verigami, se pridružuje nizu kripto projektov, v katere je vdrlo. Skupna izguba sredstev znaša okoli 320 milijonov dolarjev – eden večjih pranj denarja na kripto področju.
Zgodovina vdora
Kot vemo, Wormhole omogoča prenos sredstev med različnimi verigami blokov. Toda vprašanje je, kako se to naredi?
Žeton, ustvarjen v vsaki verigi, tj. Ethereum ali Solana, upravljajo pametne pogodbe. Za prenos žetonov transakcije odobrijo skrbniki, ki s preverjanjem njihovih podpisov preverijo, ali so kovani žetoni pravilno ustvarjeni.
V incidentu v črvini je preveri _podpis je izkoriščena funkcija, s katero je heker ustvaril navodilo z lažnimi podatki za potrditev svojih transakcij.
S tem je heker ustvaril a set_podpisov ki vsebuje zadostno število podpisov, potrebnih za odobritev dejanja validatorja (VAA). S tem je heker pridobil dostop do iniciacije nepooblaščenega kovništva.
S tem se je hekerju uspelo dokopati do 120,000 zavitih Ethereumov v vrednosti 320 milijonov dolarjev in jih izropati.
Crema Finance Hack
Crema Finance, likvidnostni protokol na seznamu projektov verige blokov Solana, je utrpel vdor in izgubil 8.78 milijona dolarjev.
Zgodovina hekanja
Heker je uporabil pametno pogodbo za najem hitrega posojila Solani in dodajanje likvidnosti Cremi. Podatki o cenah so bili nato manipulirani, kar je hekerjem omogočilo, da je bilo videti, kot da imajo v lasti ogromen znesek honorarja - vsi z lažnimi podatki.
Ekipa Crema je izsledila tok sredstev, ki jih je heker uspel zamenjati iz Solane v Ethereum. Ekipa je hekerja takoj opozorila, naj vrne ukradena sredstva s sprejemom nagrade.
Kmalu zatem je heker vrnil sredstva in obdržal 1.6 milijona dolarjev kot nagrado za beli klobuk.
Cashio Hack
Cashio (CASH), izvorni algoritemsko podprt stabilni coin Solane, je izgubil neverjetnih 52.8 milijona dolarjev zaradi neskončne napake kovnice. Po tem se je vrednost kovanca povečala z 1 $ na 0.00005 $, kar je zrušilo ekosistem DeFi.
Zgodovina vdora
Z izkoriščanjem kodne baze Cashio je heker najprej skoval dve milijardi žetonov CASH. Kaj je bilo narobe s kodo?
Napaka pri neskončnem kovništvu— Ta napaka v protokolu omogoča uporabniku dostop do kovanja poljubnega števila žetonov brez kakršnega koli zavarovanja. Uporabnik lahko te kovane žetone nato proda na borzah, kar zruši ceno kovanca.
Pri izkoriščanju Cashio je heker porabil dva milijona žetonov CASH za žetone Sabre USDT-USDC LP. Žetoni para likvidnosti se nato zamenjajo za žetone USDC in USDT, kar povzroči črpanje 52.8 milijona USD.
Kako zaščititi projekte pred vdori in krajo?
Medtem ko je varnost vedno v teku, lahko preizkušene tehnike, ki so jih sprejeli razvijalci in revizorji, preprečijo hekerjem enostavno izvajanje napadov.
Varnostni ukrepi so se izkazali za učinkovite pri odpravljanju napadov na upravljanje, manipulacije cenovnega orakla, napak pri ponovnem vstopu itd. Torej, poiščimo zdaj varnostne ukrepe, ki napadalce odvrnejo od izkoriščanja pogodb in pranja denarja.
Pametno kodiranje pogodb: Pišite pogodbe z uporabo varnih praks kodiranja, ki vključujejo uporabo preizkušenih knjižnic, priporočljiv programski jezik, izvajanje posebne varnosti na denarnicah, jasno definiranje funkcij in tako naprej.
Varnostni kontrolni seznam verige blokov Actionize: Na voljo je veliko dobro raziskanih virov, ki jih je mogoče preveriti, da zagotovite zaščito pred vdori.
Uporaba orodij za revizijo varnosti: Odprtokodni varnostni skenerji so na voljo za samodejno preverjanje ranljivosti pogodb in odkrivanje morebitnih pomanjkljivosti v pogodbah.
Vendar morda ne bo učinkovito pri odkrivanju napak, pomaga pa pri osnovnem pregledu. Različne vrste revizijskih orodij pomagajo prepoznati napake v verigi blokov in pametnih pogodbah, kot so MythX, Echidna, Manticore, Oyente, SmartCheck itd.
Izvedite pentesting in storitve revizije: Nenazadnje revizija pametnih pogodb nikoli ne sme biti podcenjena. Majhne vrzeli pomagajo hekerjem, da najdejo način za vdor in sesutje pogodb.
Varnostne revizije in občasno pentestiranje temeljito analizirajo projekt in odpravijo tudi najmanjše možnosti za hekerje. Ker vemo, da imajo storitve revizije in pentestiranja večji pomen pri zagotavljanju varnosti, poglejmo postopoma, kako se to izvaja.
Vloga revizije pri varovanju pametnih pogodb
Revizija vključuje niz korakov od avtomatiziranega testiranja do ročnega pregleda, ki široko zajema vse vidike kodiranja in preverjanja morebitnih šibkih točk v kodi. Nekatere specifikacije, zajete v revizijskem postopku Solane, vključujejo:
- Preverjanja funkcionalnosti
- Zamrznitev pogodbe
- Manipulacija ponudbe žetonov
- Manipulacija uporabniškega stanja
- Mehanizem izklopnega stikala
- Preskusi delovanja in ustvarjanje dogodkov itd
Koraki, ki jim sledi QuillAudits za revizijo pametne pogodbe Solana
Revizija pametnih pogodb Solana je opravljena z največjo skrbnostjo, dobro izdelano revizijsko poročilo pa je opremljeno z vsemi analizami iz revizije. Spodaj je podan potek dela po korakih.
1. korak - Zbiranje podrobnosti
Ideja in predvideni namen projekta sta zbrana in proučena od naročnika, da bi razumeli in pridobili popolno znanje o kodi in njenem delovanju. Ko so razprave končane, revizorji zamrznejo kodo, da se premaknejo na naslednji korak postopka revizije.
2. korak - Ročno testiranje
Naši izkušeni interni revizorji preverjajo zapletenost in pomisleke glede ranljivosti v kodi. Vključuje iskanje matematičnih napak, logičnih težav itd.
Korak 3- Testiranje funkcionalnosti
Ta postopek vključuje testiranje pogodb pod različnimi pogoji in preverjanje podatkov, ki jih pridobijo pametne pogodbe Solana. Pametna pogodba je testirana, da se zagotovi pravilno izvajanje predvidenih dejanj.
Korak 4- Testiranje na najnovejših vektorjih napadov
Proučujejo se nedavni napadi in izvajajo se testi pametnih pogodb, da se zagotovi popolna odpornost na napade. Vključuje preverjanje napadov, kot so tržna manipulacija, cene LP, vodilni vektorji itd.
Korak 5- Avtomatizirano testiranje orodja
Orodja, kot so Soteria, cargo-Clippy, cargo-audit in specializirana orodja za revizijo pametnih pogodb Solana, so implementirana za iskanje morebitnih napak. Izvajamo tudi tehnike, kot so fužiranje da zagotovimo, da lahko čim bolj izrazimo vektorje napadov iz resničnega sveta.
6. korak – Začetno revizijsko poročilo
Začetno revizijsko poročilo predstavi napake v pogodbi, nato pa ga pošljemo skupini razvijalcev, da jih odpravi.
Korak 7- Končno revizijsko poročilo
Poročilo se testira glede popravkov, ki jih naredi razvojna skupina, nato pa se odda končno revizijsko poročilo.
Končne misli,
Poudarek na potrebi po Storitve revizije pametnih pogodb Solana iz tega je jasno razvidno, da odpravimo morebitne pomanjkljivosti in tehnične napake, da jih zaščitimo pred hekerji.
In da ne omenjam, QuillAudits imajo strokovno znanje, oboroženo z vsemi naprednimi orodji in tehnikami za opravljanje revizijskih storitev in zagotavljanje zagotovljenih rezultatov. Ni vam treba iskati drugje, saj smo oddaljeni le en klik.
Pogosta vprašanja
Kaj je jezik kodiranja pametnih pogodb Solana?
Pametna pogodba Solana je napisana z uporabo programskega jezika Rust, pri čemer program vsebuje mehanizme, specifične za Solano.
Je Solana hitrejša od Ethereuma?
Vsekakor da, Solana lahko obdela do 70,000 transakcij na sekundo, Ethereum pa samo 30 transakcij. Prav tako je blokovni čas Solane ena sekunda, medtem ko je Ethereum 15 sekund.
Kateri so glavni izzivi, s katerimi se srečujejo pametne pogodbe Solana?
Splošne težave, s katerimi se srečuje pametna pogodba Solana, vključujejo zastarele odvisnosti, odvečno/ponavljajočo se kodo, neinicializiran pomnilnik v kodi rust itd.
Kako revidirate pametne pogodbe Solana?
QuillAudits izvaja poglobljen pregled komponent pametnih pogodb in knjižnic, uvoženih poleg rust kodiranja. Izvajamo ročni pregled kode in izčrpen pregled, da preverimo vnose programa prek Fuzzinga.
Kakšen je pomen revizije pametnih pogodb?
Blockchain pritegne pozornost milijard, vključno s hekerji. Skratka, revizija je ključnega pomena za preprečevanje morebitnih ranljivosti in zagotavljanje verodostojnosti projekta.
156 Ogledov
- Bitcoin
- blockchain
- Blockchain in varnost pametnih pogodb
- skladnost z verigo blokov
- konferenca blockchain
- coinbase
- coingenius
- Soglasje
- kripto konferenca
- kripto rudarstvo
- cryptocurrency
- Decentralizirano
- Defi
- Digitalna sredstva
- ethereum
- strojno učenje
- nezamenljiv žeton
- platon
- platon ai
- Platonova podatkovna inteligenca
- Platoblockchain
- PlatoData
- platogaming
- poligon
- dokazilo o vložku
- Quillhash
- Pametna revizija pogodbe
- Varnost pametne pogodbe
- W3
- zefirnet
