Varnost verige blokov: Kako razumeti revizije verige blokov, da ostanete varni v DeFi

Preteklo leto je bilo v kriptovaluti precej temno obdobje. Ne samo, da smo bili priča katastrofalnemu propadu Lune, degeneraciji 3 Arrows Capital, plačilni nesposobnosti in stečaju z BlockFi, Celsius, Voyager, VAULD in drugimi, makroekonomskim razmeram, ki so nas pahnile v globino kripto zime, ampak bilo je tudi izjemno katastrofalno leto za vdore in izkoriščanja blokovnih verig in DeFi, zaradi česar ljudje bežijo pred DeFi hitreje kot plavalci, ki bežijo pred vodami, polnimi morskih psov.

Zdaj si verjetno mislite, »Vau, hvala za depresiven uvod. Kripto zveni kot minsko polje!«

In tu se ne motite, kriptovalute imajo zagotovo pošten delež tveganj. Toda preden dovolite, da zaradi vse te pogube in mračnjaštva želite za vedno opustiti kripto in se skriti pod svojo posteljo, se ne bojte, saj vas bo ta članek naučil, kako najvarneje krmariti po vodah DeFi, in vam pokazal, kaj morajo vedeti o varnostnih revizijah verige blokov.

Čeprav to ne bo pomagalo zaščititi pred vsemi tveganji v kriptovaluti, ni zaščite nekoga, ki se odloči "YOLO" svoje življenjske prihranke v naslednji memecoin, vam bodo informacije v tem članku vsaj pomagale opremiti še eno puščico v vašem tulu. ki jih lahko uporabite za močno izboljšanje splošne varne navigacije v prostoru DeFi.

Naj vas ne skrbi, da bo ta članek preveč tehničen, da bi že na začetku odpravili nekatere strahove. Ta koristen vodnik bo tako enostaven za razumevanje, da ga bo lahko razumel celo moj oče, ki celotno kripto industrijo imenuje "ta bitcoin zadeva".

In ker sem v veščinah razvijanja blockchaina približno tako dobro seznanjen kot kamen v striženju las, sem se odločil, da za ta članek poiščem strokovno pomoč in notranji nasvet. Obrnil sem se na naše prijatelje na Ackee Blockchain da pomagam naučiti sebe in povprečnega Joeja, kaj za vraga sploh so te revizije blockchaina.

Rad bi močno pohvalil ekipo Ackee, ker si je vzela čas in pomagala nam in naši skupnosti tako, da nas je naučila osnov revizij verige blokov, in ker je sodelovala z nami pri tem članku. Revizijska poročila o veriženju blokov in DeFi so tako kritično pomemben vidik kriptovalut in so nekaj, kar le malo nas resnično razume.

Pri skrbnem pregledu pri ugotavljanju varnosti in varnosti protokola DApp ali DeFi bomo mnogi od nas iskali nekaj, kar pravi, da je bila platforma revidirana, in si bomo morda mislili »v redu, dovolj dobro«. Vem, da sem bil v preteklosti tega kriv, toda kaj dejansko pomeni biti revidiran? Kako lahko to preverimo? In kot boste izvedeli v tem članku, samo zato, ker je bilo nekaj revidirano, to ne pomeni, da mora samodejno dobiti zeleno luč.

Za začetek si poglejmo, kaj podjetja za revizijo blockchain dejansko počnejo.

Kaj počnejo revizijske družbe za verigo blokov?

Ko slišimo izraz »revizija«, si mnogi od nas samodejno predstavljajo zabitega starega tipa v obleki, ki dela za vlado, ki bo prišel potrkati in z glavnikom na drobne zobe pregledati vse naše finančne in bančne izpiske. V tradicionalni finančni industriji bi imeli prav, vendar revizorji blockchain ne morejo biti dlje od tega.

Revizorji blokovnih verig na noben način niso računovodje, so strokovnjaki za kodiranje in veščine razvijalcev, ki iščejo hrošče, napake in zlonamerno kodo v izvorni kodi projekta blokovne verige, pametne pogodbe ali kriptožetona.

Različne revizijske družbe so lahko specializirane tudi za različna področja, zato je vedno dobro videti platformo, ki jo je revidiralo več kot eno podjetje. Vsaka izvedena revizija zmanjša tveganje in eno podjetje lahko ugotovi nekaj, kar je drugo podjetje zamudilo.

1inch je odličen primer tega. 1inch je agregator DEX, ki ga je revidiralo več različnih podjetij, kar povečuje zaupanje uporabnikov v platformo in poudarja, da je ekipa 1inch močno zavezana zagotavljanju varnosti svoje skupnosti.

Revizijska podjetja za blokovne verige bodo imela ekipo inženirjev, ki lahko izvajajo naloge, kot so:

• Security Audit
• Analiza orodja
• Ročni pregled kode
• Izvajanje in pisanje avtomatiziranih testov
• Izvedite tekmovanja Bug Bounty

Medtem ko lahko druga revizijska podjetja, kot je Ackee Blockchain, izpolnijo tudi zahteve po več "polnih storitvah" in pomagajo na dodatnih področjih, kot so:

• Ustvarjanje varnih pametnih pogodb na Solidity ali Rust
• Pomagajte pri gradnji celotnega ekosistema, upravljanju uporabniške izkušnje, oblikovanja, sprednjih delov, zaledij in DevOps

Ackee Blockchain prispeva tudi k industriji blockchain kot celoti, kar je lepo videti. Razvili so odprtokodna varnostna orodja, ki jih lahko uporablja vsak, in so navdušeni nad poučevanjem in zagotavljanjem priložnosti za ambiciozne razvijalce blockchain. V preteklosti so gostili spletne tečaje za razvijalce, ki želijo delati v blockchainu, in celo prejeli nepovratna sredstva od fundacije Solana za vodenje poletna šola za Solano.

Ekipa ponuja poletne šole na spletu, kjer poučujejo Solidity, in jeseni 2022 je izvršni direktor in soustanovitelj Ackee Blockchain Josef Gattermayer, dr. bo poučeval teme o razvoju blockchaina na Češka tehnična univerza v Pragi. Vsekakor se je vredno obrniti na ekipo Ackee, prijave na tečaje na njihovem spletnem mestu in jim sledite, če vas zanima prihodnost razvoja in varnosti blockchaina.

Kot lahko vidite, je revizija verige blokov lahko več kot le piflarjenje v temni sobi in brskanje po kodi, znotraj niše je enkapsuliran celoten ekosistem.

Zakaj je revizija veriženja blokov pomembna?

Če bi bili ljudje popolni, ne bi bilo potrebe po revizijskih podjetjih za verige blokov, saj bi bila vsaka vrstica kode napisana brezhibno in popolnoma neprepustna za izkoriščanja, napake in napade.

Kar je še hujše kot ljudje, ki delajo napake, je, da so ljudje lahko pokvarjeni in zlonamerni. Dokaj pogost pojav je, da zlobni akterji namerno vnesejo zlonamerno kodo v svoj protokol, ki jim bo omogočila izkoriščanje platforme, ki so jo ustvarili, da bi ukradli sredstva uporabnikov.

Med človeško napako in zlonamernim namenom so pametne pogodbe in aplikacije/dapps blockchain dovzetne za naslednja tveganja:

• Napadi z zavrnitvijo storitve, zaradi katerih je protokol neuporaben.
• Rug pulls/tatvina zadnjih vrat, kjer ustanovitelji vnesejo zlonamerno kodo, ki jim omogoča dvig sredstev, vloženih v pametno pogodbo.
• Izkoriščanje kode na načine, ki koristijo hekerju in škodujejo uporabnikom, kot je kovanje novih žetonov zunaj predvidenih metod ali črpanje sredstev strank iz pametnih pogodb.
• Nekateri hekerji preprosto želijo »gledati, kako svet gori« in bodo izkoristili vsako napako, ki jo bodo našli, da poškodujejo platformo.

Številni uporabniki DeFi menijo, da je ena najpomembnejših stvari, ki jih je treba iskati pri platformi DeFi, ali je koda odprtokodna ali ne. To je odličen prvi korak, saj bo veliko projektov objavilo kodo na javnem mestu, kot je Github, kjer lahko vsakdo vstopi in sam preveri/preveri kodo.

Ko gledate stran projekta GitHub, je to pogosto ena od stvari, ki jo iščejo uporabniki, ki razmišljajo o uporabi aplikacije DApp, pri čemer kot primer ponovno uporabijo 1inch:

To je dober začetni pristop pri preverjanju pristnosti protokola, saj lahko tukaj vstopijo člani skupnosti ali kdorkoli in preveri, ali tam ni skrite zlonamerne kode.

Prav tako je koristno vedeti, da lahko vsak objavi karkoli na GitHubu. Koda, objavljena v GitHubu, ne potrjuje samodejno, da je to ista koda, ki izvaja pametno pogodbo. Na srečo lahko uporabniki to preverijo tako, da odprejo raziskovalec blokov, kot je Etherscan, in preverijo, ali je koda v GitHubu dejansko nameščena in uporabljena. Tukaj je 1-palčni žeton v Etherscan, na primer. Ponavadi se strinjam z mnenjem, da je odprtokodno objavljanje na GitHubu dober znak, toda zame, ko kliknem na GitHub in si ogledam, vidim vse, kar vidim:

Torej, namesto da bi se moji možgani pražili kot jajce na vročem pločniku in poskušali ugotoviti to, rad vidim, da je ekipa strokovnjakov iz revizijske družbe za verige blokov prebrskala vse to in dala palec gor.

Pomembno je razjasniti eno stvar in to je, da samo zato, ker je bil protokol revidiran, to ne pomeni, da je 100 % varen. Nobene kode nikoli ne moremo šteti za popolnoma neprepustno za poskuse vdora, saj orodja in spretnosti hekerjev postajajo vedno bolj izpopolnjeni. Tako kot beli klobuki (dobri) hekerji in razvijalci blockchain postajajo boljši in se ves čas razvijajo, tako tudi slabi fantje.

Lahko si predstavljate to kot igro mačke in miši, pisanje kode je v bistvu podobno sestavljanju ustvarjalne uganke in reševanju problemov, hekerji pa iščejo načine za rešitev ali napad na uganko na vedno bolj pametne in prefinjene načine, zato bo vedno ostane element tveganja.

Zakaj je bilo leto 2022 še posebej slabo za kriptovalute

Ko vidimo naslove, kot je ta:

Lahko je kar srce parajoče. Kriptoindustrija je bila deležna resne črne oči, saj se zdi, da vsak teden pride do novega množičnega vdora ali izkoriščanja, ki povzroči milijone izgubljenih sredstev.

To ni samo žalostno, saj gre za povprečne ljudi, ki izgubljajo svoj denar, ampak tudi zaskrbljujoče, saj ti napadi celotno kriptoindustrijo izpostavljajo vse ostrejšim kritikam, upočasnjujejo sprejemanje, odganjajo vlagatelje in vladam ponujajo izgovore, ki jih potrebujejo za povečanje svoje avtoritete. nadzor za »zaščito« vlagateljev, pogosto uvedbo drakonskih ukrepov, ki so se jim mnogi od nas obrnili na kriptovalute, da bi jim pobegnili.

Glavni razlog za to je površen razvojni inženiring.

Ko sem sedel z Josefom iz Ackeeja in ga vprašal za mnenje o tem, zakaj je prišlo do rekordnega števila podvigov, je bila njegova razlaga smiselna.

Josef mi je močno parafraziral in mi razložil, da kriptoindustrija hitro raste in obstaja huda tekma za ekipe, ki bodo lansirale svoje izdelke. Primanjkuje usposobljenih in izkušenih razvijalcev blokovnih verig, ki bi lahko zadostili povpraševanju, kar ima za posledico veliko projektov, ki najemajo razvijalce začetnike in imajo "dovolj dober" odnos, zagon aplikacij DApps brez opravljenih ustreznih preverjanj in revizij.

Josef je še pojasnil, da potreba po revizijskih storitvah blockchain skokovito narašča in da ni dovolj revizijskih podjetij blockchain, da bi zadovoljila povpraševanje po projektih. Posledica tega je, da projektne skupine ne želijo čakati, da bo na voljo revizijska skupina, zato začnejo ali izdajo nadgradnjo, bodisi brez revizije bodisi se zanašajo na zastarelo revizijo, ki ne zajema nova različica ali ponovitev platforme.

Ta tema je bila še posebej prisotna med bikovskim trgom leta 2021, vendar so stvari zdaj, ko smo na medvedjem trgu, veliko bolj sproščene. S projekti se ne mudi veliko z zagonom in manj je projektov v ozkem grlu revizije. Res je, da so medvedji trgi čas za izgradnjo in ekipe se nagibajo k bolj prizadevnemu pristopu v času počasnejših trgov.

Pregledali smo dva specifična uspešna napada, ki sta se zgodila, da bi natančno raziskali, kaj se je zgodilo, da bi vse to postavili v perspektivo.

Vdor v Ethereum DAO leta 2016

V bistvu je bilo to, kar se je zgodilo tukaj, nekaj znanega kot napaka pri ponovnem vstopu. Preprosto povedano, koda izvede dve navodili:

1. Umaknite se
2. Posodobi stanje

Če se izvaja kronološko, deluje kot mora. Ker pa je Ethereum porazdeljen sistem (za razliko od programov web2), je pogodbo mogoče poklicati iz druge pogodbe, ki prinaša možnost izvajanja funkcije povratnega klica po meri, ki se kliče iz navodil za umik.

In ta funkcija povratnega klica, ki jo izvede heker, znova in nato večkrat pokliče pogodbo, preden se končno izvede navodilo za posodobitev stanja. To napadalcu omogoča večkratni umik.

To je pogosta napaka razvijalcev začetnikov web3. Tudi 5 let po tem napadu se težava še vedno pojavlja, ker si razvijalci niso vzeli časa, da bi se kaj naučili iz tega primera. Rešitev je v tem primeru precej preprosta in to je, da ti dve vrstici kode preprosto postavite v nasprotnem vrstnem redu. Najprej posodobitev, nato umik.

Revizorji pri revidiranju protokola iščejo znane težave, kot je ta.

Solana Wormhole Attack 2022

Leto 2022 se ni dobro začelo s prvim večjim napadom na Solano v začetku februarja. Napadalec je zaobšel preverjanje podpisa v programu Rust, tako da je bilo videti, kot da so skrbniki podpisali 120k ETH depozit v Wormhole na Solani, čeprav tega niso storili. Napadalec je nato koval Zavit ETH v vrednosti 120k na Solani.

Pred tem napadom črvine luknje so mnogi v kripto skupnosti domnevali, da je razvoj Solane in Rusta pretežko, da bi se ga naučili privabiti amaterske razvijalce. To je pripeljalo do prepričanja, da na Solani delajo samo najboljši razvijalci, kar pomeni, da ni bilo tako velike potrebe po revizijah. Po tem napadu je Josef omenil, da sta on in njegova ekipa opazila znatno povečanje revizijskih zahtev za Solana DApps in protokole.

Po vsem tem morda mislite, da če so ljudje vir napak in škodljivih namenov, ali ne bi bilo smiselno imeti samo računalnike in stroje umetne inteligence, za katere je malo verjetno, da bodo naredili napake in so nezmožni zlonamernih namenov, preprosto napišite vso to kodo za nas?

To je odlično vprašanje in zaradi člankov, kot je zgornji, je to tudi meni padlo na pamet. To bomo obravnavali v naslednjem razdelku.

Prihodnost varnosti veriženja blokov

Očitno je, da se pomikamo v prihodnost, v kateri bodo mnoga naša dela predana zunanjim izvajalcem računalnikov in programov umetne inteligence, ki lahko veliko bolje opravljajo delo ljudi kot mi.

To že vidimo pri avtomatiziranih blagajnah in tovarnah za proizvodnjo avtomobilov, ki imajo več robotov kot ljudi. Računalniki prevzemajo celo visoko specializirana delovna mesta, kot so zdravniki in farmacevti, saj je robot lahko natančnejši s skalpelom, računalniški program pa lahko pregleda celotno zbirko zdravil in v nekaj sekundah izpolni poročila o tem, katera zdravila se smejo in katera ne smejo mešati z drugimi kemikalijami in zdravila, za človeka nemogoča naloga.

Zagotovo sem mislil, da bosta programiranje in razvijanje ena prvih služb, ki jih bodo nadomestili računalniki. Če so vse črke in številke na zaslonu zgrajene tako, da opravljajo določene naloge, bi lahko računalnik to zagotovo naredil bolje kot človek, z manj napakami, kajne?

Mislil sem, da bodo revizijska podjetja blockchain šla po poti ptice Dodo (izumrla), saj ko se bodo računalniki začeli samostojno razvijati, ne bo več mogoče najti napak. To je poudarilo, kako malo sem vedel o razvoju, saj mi je ekipa Ackee razložila nekatere koncepte, ki jih nisem cenil.

Velik del razvoja blockchaina je reševanje problemov in pogled na težavo s 360-stopinjskim pogledom. Potrebna je velika količina ustvarjalnosti in razmišljanje »zunaj okvirjev«, česar računalniki ne zmorejo. Ni tako preprosto kot "ko se zgodi 'X', izvedi 'Y'."

Upoštevati moramo tudi, da mnoge od teh DApps in aplikacij poskušajo rešiti "človeške" težave in naše interakcije s sistemi, protokoli in postopki. Oprosti mali Butter Bot, ampak nisi ustvarjen za razumevanje človeških problemov in zagotavljanje človeških rešitev.

Ne samo, da delovna mesta na področju razvoja blockchaina in varnosti strmo naraščajo, ampak zdi se, da bodo te vloge potrebovali še leta.

To pa ne pomeni, da v razvojnem prostoru web3 ni avtomatizacije. Obstaja veliko brezplačnih orodij za razvijalce, ki jim nudijo nekaj varnostnih povratnih informacij in pomagajo razbremeniti del dela, tako da se razvijalci lahko osredotočijo na druge naloge.

Na primer, na Ethereumu obstaja dober statični analizator kode z imenom Slither ki je zelo priljubljen in Ackee Blockchain dela na lastnem odprtokodnem statičnem analizatorju, imenovanem Zbudi se, ki stvari zaznava drugače kot Slither, kar zmanjša breme ročne analize kode.

Ekipa Ackee je na Solani odkrila tudi trend v zvezi s težavo s testi. Razvijalci jih niso pisali dovolj, saj je precej delovno intenzivno, s potrebo po pisanju veliko standardne kode. Torej, Ackee Blockchain je vodil projekt, kjer so napisali odprtokodni testni okvir za Solano, imenovan Trdelnik ki bodo razvijalcem omogočili lažje pisanje testov. Ekipa je prejela častno omembo in osvojila nagrado Marinade med a maraton hekanja v Pragi za Trdelnika.

Vse to nam kaže, da bodo avtomatizacija in računalniki verjetno igrali čedalje pomembnejšo vlogo pri pomoči razvijalcem verige blokov in varnostnim revizorjem, vendar jih verjetno ne bodo kmalu nadomestili.

Splošno mnenje med razvijalci blockchaina je, da je veliko teh vdorov in podvigov posledica tega, da je to še vedno mlada in neizkušena industrija. Ker se industrija veriženja blokov še naprej razvija in dozoreva, bi moralo biti vse manj izkoriščanj, zaradi česar bo celoten kriptoprostor postal varnejši in uporabniku prijaznejši.

V redu, zdaj pa pojdimo k dobrim stvarem, glavnim ugotovitvam tega članka.

Kako preveriti, ali je bila platforma revidirana

Prvi korak je dejansko zagotoviti, da obstaja revizija. Te je mogoče najti v repozitoriju projekta GitHub, vse izvedene revizije pa morajo biti jasno navedene v dokumentih projekta ali na sami spletni strani platforme. Če ne najdete nobene omembe revizije, bi se izognil.

Ni javno dostopne revizije verjetno pomeni, da:

• Revizija ni bila izvedena
• Prišlo je do neuspele revizije, za katero projekt ne želi, da bi bila znana
• Revizija je odkrila težave, ki jih ekipa ni obravnavala
• Koda vsebuje zlonamerne zakulisne poti, ki bi lahko vodile do kraje

Kot smo že omenili, je tudi lepo videti, da je koda odprtokodna, saj je na GitHubu označena kot »javna«. To ni pogoj, je pa vseeno bonus. Vendar pa obstajajo razlogi, da ne uporabljate odprtokodne kode, tako da to ni vedno prelomno. Razlogi za zavrnitev odprtokodne kode so lahko:

• Podjetja, ki želijo ohraniti konkurenčno prednost. Takoj ko podjetje odpre kodo, lahko vsakdo ustvari isti protokol in tekmuje. Zato Coca-Cola hrani svoj recept kot skrivnost, KFC pa ima znano, da ima svojih "Top secret 11 zelišč in začimb".
• Ko je koda javna, lahko hekerji informacije uporabijo za iskanje izkoriščanj. Čeprav dobra praksa deluje nasprotno, če je projekt prepričan v svojo kodo, jo bodo objavili.
• Zgodnji projekti morda ne bodo želeli takoj odpreti svoje kode, dokler ne bodo zgradili velike skupnosti in dovolj uporabnikov, kar bo predstavljalo oviro za potencialne konkurente.

Pred kratkim sem se srečal s projektno skupino, ki je takoj obžalovala odprto kodo svoje platforme, saj je konkurenčno podjetje preprosto kopiralo njihovo kodo in poslovni model ter imelo več sredstev za plačevanje vplivnežev in plačevanje sledilcev. Zaradi tega se je zdelo, da je konkurenčno podjetje boljša platforma že od lansiranja, saj je dajalo vtis več uporabnikov in večje število sledilcev. Konkurenčno podjetje je zdaj bistveno pred prvotno ustanovno ekipo, ki se je odločila za bolj organsko in etično rast.

Tukaj je odlična slika iz Bridge Global ki povzema nekatere splošne razlike med odprtokodno in zaprtokodno programsko opremo:

Dva zanimiva pristopa k odprti in zaprti izvorni kodi je mogoče najti s primerjavo priljubljenih strojnih denarnic Trezor in Ledger. Trezor se je odločil, da bo 100 % svoje izvorne kode objavil javnosti, da jo lahko kdorkoli preveri, medtem ko se je Ledger odločil, da bo igral svoje karte bližje sebi in odprl kodo, vendar bo ohranil svojo strojno programsko opremo zaprtokodno.

To je pripeljalo do tega, da so številni elitisti blockchaina izbrali Trezor namesto Ledgerja, saj so menili, da mora Ledger odpreti kodo, in se spraševali, kaj poskušajo prikriti. Osebno menim, da to ni razlog za zaskrbljenost, saj je Ledger dokazal svoje rezultate in predanost prostoru ter postal eden največjih ponudnikov strojne denarnice na svetu, ki ustvarja nekatere najvišje stopnje varne kripto shrambe naprave.

Ko je bila revizija izvedena in locirana, če je javno objavljena, lahko vsak odpre dokument in najde rezultate revizije. Namesto da bi se pomikali po celotnem revizijskem dokumentu, moramo za naš preprost namen poiskati le stran »Povzetek«, ki je pogosto videti nekako takole:

Ta stran bo na samem začetku ali koncu poročila. To je stran, ki prikazuje rezultate revizije v preprosti obliki, ki jo lahko razume povprečen človek. Poglobimo se v informacije, ki nam jih to prikazuje.

Je revizija pred kratkim? Revizije bi morale biti stalna storitev in vsekakor bi morala biti opravljena nova revizija za VSAKO uvedeno posodobitev, različico ali novo funkcijo/funkcijo. Če je bila uvedena nova funkcija ali različica, prejšnji rezultati revizije niso več veljavni, ker se je baza kode verjetno spremenila.

To lahko preverite tako, da pogledate različico projekta in/ali zgoščeno vrednost potrditve. Različica je nekaj podobnega, ko vidite Odklopite »V2« (različica 2), zgoščena vrednost objave pa identificira revizijo v repozitoriju izvorne kode. Ko gledajo različico ali zgoščeno vrednost za potrditev, prikazano v reviziji, ki jo je mogoče videti na zgornji sliki v tabeli z naslovom »repozitorij«, lahko uporabniki preverijo, ali sovpada z zgoščeno vrednostjo za različico ali potrditev, prikazano v GitHubu.

To bo videti nekako takole:

Tukaj je še en pogled iz ene od Ackee Blockchain Audits:

Čeprav se zgoščena vrednost potrditve ne ujema, to ne pomeni nujno, da obstaja rdeča zastavica. Zgoščena vrednost potrditve na GitHubu projekta se bo spremenila vsakič, ko bo izvedena nova prilagoditev ali ponovitev. Vsaka prilagoditev bo spremenila zgoščeno vrednost potrditve in ne bi smelo biti razlog za skrb, če je prišlo le do manjše prilagoditve.

Če na glavni strani GitHub ne vidite zgoščene vrednosti potrditve iz revizije, lahko odprete »Zgodovino odobritev« in poiščete zgoščeno vrednost potrditve ter sami preverite, koliko se je spremenilo od izvedbe revizije.

To lahko storite s klikom tukaj:

Nato poiščite tukaj:

Ker se za vsako spremembo poseli novo zgoščeno vrednost potrditve, vsaka z datumskim in časovnim žigom, lahko, če je bilo med časom, ko je bila izvedena revizija, in zgoščeno vrednostjo potrditve, na kateri je trenutno projekt, veliko novih odobritev. želite razmisliti o tem, da počakate, da se izvede nova revizija, preden se vključite.

Če imate analitično oko in se želite potopiti globlje, lahko kliknete vsako novo zgoščeno vrednost objave in primerjate staro kodo, prikazano v rdeči barvi, z novo kodo, prikazano v zeleni barvi, in sami preverite, kaj točno se je spremenilo:

Če opazite novo zgoščeno vrednost potrditve, ki se razlikuje od tistega, ko je bila izvedena revizija, in vidite nekaj takega:

To je ena tistih nepomembnih sprememb, ki sem jih omenil, in čeprav je zapolnila novo zgoščeno vrednost objave, ni razloga za skrb, saj je šlo za preprosto preimenovanje datoteke. Zgornja slika GitHub prikazuje 0 dodatkov in 0 izbrisov.

Zdaj pa na naslednjo stvar, ki jo je treba iskati v povzetku:

Težave – Povzetek prikazuje vse težave, ki so bile odkrite med revizijo, in kar je še pomembneje, ali je skupina težave rešila. Ta razdelek je prikazan blizu dna, kjer je prikazano »Skupno število težav«, nato pa jih razdeli na resnost in ali so bile odpravljene ali ne. Revizijsko podjetje najprej identificira težave, jih označi ekipi razvijalcev in nato znova preveri kodo, ko razvijalci obravnavajo težave, preden revizijska skupina označi težavo kot »rešeno«.

Jasno je, da je treba rešiti vse težave, ki so označene kot »Kritično« ali »Visoko tveganje«. Tudi če je v poročilu razvidno, da so bile vse kritične ali visoko tvegane težave rešene, je to še vedno treba upoštevati z nekaj skepse glede projekta. Če je revizijska skupina na začetku odkrila veliko število kritičnih težav, lahko to pokaže, da je razvijalska ekipa, ki stoji za projektom, morda precej začetnica, kar vodi do nadaljnjih in dodatnih težav v nadaljevanju.

Težave s srednjim ali nizkim tveganjem so pogoste in običajno niso razlog za skrb. Revizijska skupina lahko celo označi nekaj kot vprašanje z nizkim tveganjem, če preprosto predlaga alternativo ali ima različna mnenja o tem, kako pristopiti k nečemu.

Tukaj je povzetek, kaj vsaka kategorija pomeni:

Kritično – Vse, kar je označeno kot kritično, pomeni, da je trenutno nekaj mogoče izkoristiti.

Ekipa pri Ackee Blockchain mi je povedala zgodbo o reviziji, ki so jo izvajali, pri kateri so odkrili kritično težavo na protokolu, ki je že bil uveden. Projektno skupino Dev so zbudili ob 5. uri zjutraj v nujni situaciji, da so vsi na krovu, da čimprej popravijo kodo. Na srečo so težavo odkrili pravočasno, preden so hekerji uspeli odkriti ranljivost.

Visoka resnost – Težave, ki jih zdaj ni mogoče izkoristiti, vendar bi jih lahko, če so izpolnjena nekatera posebna zaporedja.

Srednje do nizko – To so pogosto manjše popravke, ki so potrebni ali priporočila in ne nujno varnostne grožnje.

Različne revizijske družbe bodo napisale tudi povzetke v različnih oblikah. Zgoraj prikazani povzetek je pripravilo revizijsko podjetje Quantstamp. Ackee Blockchain zagotavlja PDF z revizijo in spletnim povzetkom, ki združuje začetne in nadaljnje rezultate v obliki eseja, ki je lažja za branje. Primer tega lahko najdete v njihovem Povzetek revizije.

Dodatne stvari, ki jih je treba iskati:

• Ali je revizijo opravilo več kot eno podjetje? Več oči kot išče težave, manjša je možnost, da v kodi obstaja napaka.
• Ali je revizijsko podjetje blockchain strokovno in spoštovano v skupnosti? Če še nikoli niste slišali za revizijsko družbo, si oglejte njihovo spletno stran in poiščite druge projekte, na katerih so sodelovali. Ali je katera od platform, ki so jih revidirali, ugledna? Preverite, ali je bila katera od platform izkoriščena, potem ko je podjetje opravilo revizijo, to bi lahko poudarilo slabe revizijske sposobnosti. Poiščite stvari, kot so osvojeni hekatoni in podpora/dotacije omrežnih temeljev ravni 1.

Dober primer tega je Ackee Blockchain, ki so mu štiri ključne fundacije dodelile uradne donacije za razvoj/skupnost: Coinbase Giving, Ethereum Foundation, Solana Foundation in Tezos Foundation.

Če ste nekdo, ki je v tej dobi napačnih informacij postal razumljivo nezaupljiv, če vidite trditev, kot je zgornja slika, vzeto s spletnega mesta Ackee Blockchain, namesto da bi jim verjeli na besedo, se lahko vedno pomaknete na spletne strani fundacij. omenjeno in trditve preverite sami.

Razlog, zakaj to pravim, je, ker je v mojih letih pisanja recenzij število spletnih mest, ki trdijo, da so »predstavljene v Forbesu ali Yahoo Finance«, čeprav nikoli niso bila, ogromno. Želim si, da bi obstajala neka oblika internetne policije, ki bi lahko podjetja odpeljala v internetni zapor zaradi takšnih laži in zavajajočih izjav. Zato v kriptovalutah obstaja rek "ne zaupaj, preveri." Brez skrbi, Ackee se preverja in zgoraj navedene ustanove mu dejansko zaupajo, preveril sem 😉

Sklepne misli

No, tukaj imaš. Nekaj ​​informacij o varnosti verige blokov, za katere upam, da so vam bile koristne. Upam, da vam bo ta članek pomagal, da se boste počutili bolj samozavestni, ko se boste podali v svet kripto z eno plastjo več oklepa in boste lahko varneje krmarili po kripto vodah kot prej. Vem, da bom marljivo preverjal te podatke, ko bom naslednjič izbiral, katerim DApps in protokolom bom zaupal svoja kripto sredstva.

Kot pravi pregovor, »v kriptovalutah ni pomembno, koliko zaslužiš, temveč koliko obdržiš,« saj smo na žalost mnogi izmed nas, starih krutih veteranov kriptovalute, izgubili več kot pošten delež Satoshijev v neštetih vdorih, prevare, vlečenje preprog, bankroti itd. Več znanja kot imamo, bolje se lahko zaščitimo pred številnimi hudimi tveganji, ki obstajajo v tem novem in nastajajočem čudaškem svetu kriptovalut.

Omejitev odgovornosti: To so mnenja pisatelja in jih ne bi smeli obravnavati kot investicijski nasvet. Bralci naj sami raziskujejo.