อ่านเวลา: 6 นาที
Solana อ้างว่าเป็นเครือข่ายบล็อกเชนที่เติบโตเร็วที่สุดเนื่องจากมีความสามารถในการปรับขนาดที่สูงกว่า การดำเนินการตามฉันทามติในการพิสูจน์ประวัติศาสตร์เป็นเหตุผลทั้งหมดสำหรับความสามารถในการปรับขนาดที่มากขึ้นในการประมวลผลธุรกรรมสูงสุด 710,000 รายการต่อวินาที
แม้ว่า Solana จะได้รับความนิยมอย่างล้นหลาม แต่ความปลอดภัยของสัญญาอัจฉริยะก็ยังไม่ผ่านการทดสอบอย่างละเอียด และการทดสอบมีความสำคัญมากในการส่งมอบคุณค่าของแบรนด์ตามที่สัญญาไว้กับพันธมิตรและส่งเสริมความน่าเชื่อถือของนักลงทุนในโครงการของคุณ
ในบทความนี้ เราจะคลี่คลายข้อบกพร่องในการเข้ารหัส Solana ที่เป็นไปได้ และวิธีที่การตรวจสอบช่วยระบุและแก้ไข
อธิบายสถานการณ์ต่างๆ ของการแฮ็กบน Solana Blockchain
รูหนอนแฮ็ค
Wormhole สะพานบล็อกเชนที่อำนวยความสะดวกในการแลกเปลี่ยนโทเค็นระหว่างบล็อกเชนต่างๆ เข้าร่วมกับโครงการเข้ารหัสลับที่ถูกแฮ็ก การสูญเสียเงินทุนทั้งหมดอยู่ที่ประมาณ 320 ล้านดอลลาร์ ซึ่งเป็นหนึ่งในเหตุการณ์การฟอกเงินที่สำคัญในวงการคริปโต
ประวัติการแฮ็ก
อย่างที่เราทราบ Wormhole อนุญาตให้โอนสินทรัพย์ระหว่างบล็อกเชนต่างๆ แต่คำถามคือ ทำอย่างไร?
โทเค็นที่สร้างขึ้นในแต่ละเชน เช่น Ethereum หรือ Solana ได้รับการจัดการโดยสัญญาอัจฉริยะ และในการโอนโทเค็น ธุรกรรมจะได้รับการอนุมัติโดย Guardians ซึ่งจะตรวจสอบว่าโทเค็นที่สร้างเสร็จแล้วนั้นถูกสร้างขึ้นอย่างถูกต้องโดยการตรวจสอบลายเซ็นของพวกเขาหรือไม่
ในเหตุการณ์รูหนอน ตรวจสอบ _signature ฟังก์ชันถูกเอารัดเอาเปรียบโดยที่แฮ็กเกอร์สร้างคำสั่งที่มีข้อมูลปลอมเพื่อตรวจสอบธุรกรรมของพวกเขา
ด้วยเหตุนี้แฮ็กเกอร์จึงสร้าง a Signature_set มีจำนวนลายเซ็นเพียงพอที่จำเป็นสำหรับการอนุมัติการดำเนินการตรวจสอบ (VAA) ด้วยเหตุนี้ แฮ็กเกอร์จึงสามารถเข้าถึงเพื่อเริ่มต้นโรงกษาปณ์ที่ไม่ได้รับอนุญาต
ด้วยเหตุนี้ แฮ็กเกอร์จึงสามารถจับ Ethereum จำนวน 120,000 ห่อ มูลค่า 320 ล้านดอลลาร์ และขโมยมันไปได้
Crema การเงินแฮ็ค
Crema Finance ซึ่งเป็นโปรโตคอลสภาพคล่องในรายการโครงการบล็อคเชนของ Solana ถูกแฮ็กขาดทุน 8.78 ล้านดอลลาร์
ประวัติของ Hack
แฮ็กเกอร์ใช้สัญญาอัจฉริยะเพื่อยืมแฟลชกับ Solana และเพิ่มสภาพคล่องให้กับ Crema จากนั้น ข้อมูลการกำหนดราคาก็ถูกจัดการ ทำให้แฮกเกอร์ทำให้ดูเหมือนว่าพวกเขาต้องจ่ายค่าธรรมเนียมมหาศาล- ทั้งหมดมีข้อมูลปลอม
ทีม Crema ติดตามกระแสเงินทุนที่แฮ็กเกอร์สามารถแลกเปลี่ยนจาก Solana เป็น Ethereum ทีมเตือนแฮ็กเกอร์ทันทีเพื่อคืนเงินที่ถูกขโมยโดยยอมรับเงินรางวัล
และหลังจากนั้นไม่นาน แฮ็กเกอร์ก็คืนเงินจำนวน 1.6 ล้านดอลลาร์เป็นเงินรางวัลหมวกขาว
แคชชิโอสับ
Cashio (CASH) เหรียญ stablecoin ที่ได้รับการสนับสนุนจากอัลกอริธึมของ Solana สูญเสียเงินจำนวนมหาศาลถึง 52.8 ล้านดอลลาร์เนื่องจากข้อผิดพลาดของเหรียญกษาปณ์ที่ไม่สิ้นสุด ต่อจากนี้ มูลค่าของเหรียญเพิ่มจาก 1 ดอลลาร์เป็น 0.00005 ดอลลาร์ ซึ่งทำให้ระบบนิเวศของ DeFi ล่ม
ประวัติความเป็นมาของการแฮ็ก
การใช้ประโยชน์จากฐานรหัสของ Cashio แฮ็กเกอร์ได้สร้างโทเค็นเงินสดสองพันล้านเหรียญขึ้นเป็นครั้งแรก มีอะไรผิดปกติกับรหัส?
The Infinite Mint Glitch— ข้อผิดพลาดนี้ในโปรโตคอลทำให้ผู้ใช้สามารถเข้าถึงโทเค็นจำนวนเท่าใดก็ได้โดยไม่ต้องวางหลักประกันใดๆ ผู้ใช้สามารถขายโทเค็นที่ทำเสร็จแล้วเหล่านี้ในการแลกเปลี่ยน ซึ่งทำให้ราคาของเหรียญพัง
ในการใช้ประโยชน์จาก Cashio แฮ็กเกอร์ได้เผาโทเค็นเงินสดสองล้านเหรียญสำหรับโทเค็น Sabre USDT-USDC LP จากนั้น โทเค็นคู่สภาพคล่องจะถูกเปลี่ยนเป็นโทเค็น USDC และ USDT ส่งผลให้มีการระบายออกไป 52.8 ล้านดอลลาร์
วิธีการป้องกันโครงการจากการแฮ็กและการโจรกรรม?
ในขณะที่การรักษาความปลอดภัยอยู่ในระหว่างดำเนินการอยู่เสมอ เทคนิคที่ได้รับการทดลองและทดสอบซึ่งนำมาใช้โดยนักพัฒนาและผู้ตรวจสอบบัญชีสามารถบรรเทาแฮ็กเกอร์จากการโจมตีได้อย่างง่ายดาย
มาตรการรักษาความปลอดภัยได้รับการพิสูจน์แล้วว่ามีประสิทธิภาพในการกำจัดการโจมตีตามหลักธรรมาภิบาล การบิดเบือนราคา ข้อผิดพลาดในการกลับเข้ามาใหม่ เป็นต้น ดังนั้น ตอนนี้เรามาดูมาตรการรักษาความปลอดภัยที่ขัดขวางผู้โจมตีจากการใช้ประโยชน์จากสัญญาและการฟอกเงิน
การเข้ารหัสสัญญาอย่างชาญฉลาด: เขียนสัญญาโดยใช้แนวทางการเข้ารหัสที่ปลอดภัย ซึ่งรวมถึงการใช้ไลบรารีที่ทดสอบแล้ว ภาษาโปรแกรมที่แนะนำ การรักษาความปลอดภัยพิเศษในกระเป๋าเงิน การกำหนดฟังก์ชันอย่างชัดเจน และอื่นๆ
ดำเนินการตามรายการตรวจสอบความปลอดภัย blockchain: มีแหล่งข้อมูลที่ได้รับการวิจัยอย่างดีมากมายซึ่งสามารถตรวจสอบได้เพื่อให้แน่ใจว่าได้รับการปกป้องจากการแฮ็ก
การใช้เครื่องมือตรวจสอบความปลอดภัย: เครื่องสแกนความปลอดภัยโอเพนซอร์สพร้อมให้ตรวจสอบช่องโหว่อัตโนมัติในสัญญาและระบุข้อบกพร่องที่อาจเกิดขึ้นในสัญญา
อย่างไรก็ตาม อาจไม่ได้ผลในการระบุข้อผิดพลาด แต่ช่วยในการตรวจสอบขั้นพื้นฐาน เครื่องมือตรวจสอบประเภทต่างๆ ช่วยระบุจุดบกพร่องในบล็อคเชนและสัญญาอัจฉริยะ เช่น MythX, Echidna, Manticore, Oyente, SmartCheck เป็นต้น
ดำเนินการให้บริการทดสอบและตรวจสอบ: สุดท้ายแต่ไม่ท้ายสุด การตรวจสอบสัญญาอัจฉริยะจะประเมินค่าไม่ได้ ช่องโหว่เล็กๆ น้อยๆ ช่วยให้แฮกเกอร์หาวิธีที่จะบุกรุกและทำให้สัญญาเสียหาย
การตรวจสอบความปลอดภัยและการทดสอบเป็นระยะ ๆ จะวิเคราะห์โครงการอย่างละเอียดและขจัดความเป็นไปได้แม้แต่น้อยสำหรับแฮกเกอร์ เมื่อทราบแล้วว่าบริการตรวจสอบและทดสอบระบบมีความสำคัญมากขึ้นในการเสนอความปลอดภัย เรามาทำความเข้าใจขั้นตอนการดำเนินการกันเลยดีกว่า
บทบาทของการตรวจสอบในการรักษาความปลอดภัยสัญญาอัจฉริยะ
การตรวจสอบประกอบด้วยขั้นตอนต่างๆ ตั้งแต่การทดสอบอัตโนมัติไปจนถึงการตรวจสอบโดยเจ้าหน้าที่ ซึ่งครอบคลุมทุกแง่มุมของการเข้ารหัสและตรวจหาจุดอ่อนในโค้ด ข้อกำหนดบางประการที่กล่าวถึงในกระบวนการตรวจสอบของ Solana ได้แก่
- การตรวจสอบการทำงาน
- การแช่แข็งของสัญญา
- การจัดการอุปทานโทเค็น
- การจัดการยอดคงเหลือของผู้ใช้
- กลไกสวิตช์ฆ่า
- การทดลองใช้งานและการสร้างเหตุการณ์ เป็นต้น
ขั้นตอนที่ตามด้วย QuillAudits เพื่อตรวจสอบสัญญา Solana Smart
การตรวจสอบสัญญาอัจฉริยะของ Solana ดำเนินการด้วยความขยันขันแข็งสูงสุด และรายงานการตรวจสอบที่ละเอียดถี่ถ้วนมาพร้อมกับการวิเคราะห์ทั้งหมดจากการตรวจสอบ เวิร์กโฟลว์ทีละขั้นตอนได้รับด้านล่าง
ขั้นตอนที่ 1- การรวบรวมรายละเอียด
แนวคิดและวัตถุประสงค์ของโครงการถูกรวบรวมและศึกษาจากลูกค้าเพื่อทำความเข้าใจและรับความรู้ที่สมบูรณ์เกี่ยวกับรหัสและการทำงานของรหัส เมื่อการอภิปรายสิ้นสุดลง ผู้ตรวจสอบจะหยุดรหัสเพื่อย้ายไปยังขั้นตอนถัดไปของกระบวนการตรวจสอบ
ขั้นตอนที่ 2- การทดสอบด้วยตนเอง
ผู้ตรวจสอบภายในที่มีประสบการณ์ของเราจะตรวจสอบความซับซ้อนและข้อกังวลด้านช่องโหว่ในหลักจรรยาบรรณ ซึ่งรวมถึงการมองหาข้อผิดพลาดทางคณิตศาสตร์ ปัญหาเชิงตรรกะ ฯลฯ
ขั้นตอนที่ 3- การทดสอบการทำงาน
กระบวนการนี้ประกอบด้วยการทดสอบสัญญาภายใต้เงื่อนไขต่างๆ และการตรวจสอบข้อมูลที่ดึงมาจากสัญญาอัจฉริยะของ Solana สัญญาอัจฉริยะได้รับการทดสอบเพื่อให้แน่ใจว่าการดำเนินการที่ตั้งใจไว้นั้นดำเนินการอย่างถูกต้อง
ขั้นตอนที่ 4- การทดสอบเวกเตอร์การโจมตีล่าสุด
มีการศึกษาการโจมตีล่าสุดและดำเนินการทดสอบกับสัญญาอัจฉริยะเพื่อให้แน่ใจว่าสามารถต้านทานการโจมตีได้อย่างเต็มที่ ซึ่งรวมถึงการตรวจสอบการโจมตี เช่น การบิดเบือนตลาด การกำหนดราคา LP เวกเตอร์การวิ่งแนวหน้า ฯลฯ
ขั้นตอนที่ 5- การทดสอบเครื่องมืออัตโนมัติ
เครื่องมือต่างๆ เช่น Soteria, cargo-Clippy, cargo-audit และเครื่องมือเฉพาะสำหรับการตรวจสอบสัญญาอัจฉริยะของ Solana ถูกนำไปใช้เพื่อค้นหาข้อผิดพลาด นอกจากนี้เรายังใช้เทคนิคเช่น คลุมเครือ เพื่อให้แน่ใจว่าเราสามารถระบุเวกเตอร์การโจมตีในโลกแห่งความเป็นจริงได้มากที่สุด
ขั้นตอนที่ 6- รายงานการตรวจสอบเบื้องต้น
รายงานการตรวจสอบเบื้องต้นจะแสดงจุดบกพร่องในสัญญา จากนั้นเราจะส่งไปยังทีมนักพัฒนาเพื่อแก้ไข
ขั้นตอนที่ 7- รายงานการตรวจสอบขั้นสุดท้าย
รายงานจะได้รับการทดสอบสำหรับการแก้ไขที่ทำโดยทีมพัฒนา จากนั้นจึงส่งรายงานการตรวจสอบขั้นสุดท้าย
ความคิดสุดท้าย,
เน้นความจำเป็นในการ บริการตรวจสอบสัญญาอัจฉริยะของ Solana เพื่อแก้ไขข้อบกพร่องที่เป็นไปได้และความผิดพลาดทางเทคนิคเพื่อป้องกันพวกเขาจากแฮกเกอร์นั้นชัดเจนจากสิ่งนี้
และไม่ต้องพูดถึง QuillAudits มีความเชี่ยวชาญพร้อมเครื่องมือและเทคนิคขั้นสูงเพื่อให้บริการตรวจสอบและส่งมอบผลลัพธ์ที่มั่นใจได้ คุณไม่จำเป็นต้องค้นหาจากที่อื่นเพราะเราอยู่ห่างออกไปเพียงไม่กี่คลิก
คำถามที่พบบ่อย
ภาษาการเข้ารหัสสัญญาอัจฉริยะของ Solana คืออะไร
Solana smart contract เขียนโดยใช้ภาษาโปรแกรม Rust ด้วยโปรแกรมที่มีกลไกเฉพาะของ Solana
Solana เร็วกว่า Ethereum หรือไม่?
ใช่แล้ว Solana สามารถประมวลผลธุรกรรมได้มากถึง 70,000 รายการต่อวินาที และ Ethereum เพียง 30 รายการเท่านั้น นอกจากนี้ เวลาบล็อกของ Solana คือหนึ่งวินาทีในขณะที่ Ethereum คือ 15 วินาที
อะไรคือความท้าทายที่สำคัญที่สัญญาอัจฉริยะของ Solana เผชิญอยู่?
ปัญหาทั่วไปที่ Solana smart contract เผชิญ ได้แก่ การพึ่งพาที่ล้าสมัย รหัสซ้ำซ้อน/ซ้ำซ้อน หน่วยความจำที่ไม่ได้เริ่มต้นในรหัสสนิม ฯลฯ
คุณตรวจสอบสัญญาอัจฉริยะของ Solana อย่างไร
QuillAudits ทำการตรวจสอบเชิงลึกเกี่ยวกับส่วนประกอบของสัญญาอัจฉริยะและไลบรารีที่นำเข้านอกเหนือจากการเข้ารหัสสนิม เราทำการตรวจสอบโค้ดด้วยตนเองและทำการสแกนอย่างละเอียดเพื่อตรวจสอบอินพุตของโปรแกรมผ่าน Fuzzing
การตรวจสอบสัญญาอัจฉริยะมีความสำคัญอย่างไร
Blockchain กำลังดึงดูดความสนใจของคนนับพันล้านรวมถึงแฮกเกอร์ กล่าวโดยสรุป การตรวจสอบเป็นสิ่งสำคัญในการป้องกันจุดอ่อนที่อาจเกิดขึ้นและรับรองความน่าเชื่อถือของโครงการ
156 เข้าชม
- Bitcoin
- blockchain
- ความปลอดภัยของบล็อคเชนและสัญญาอัจฉริยะ
- การปฏิบัติตามบล็อคเชน
- การประชุม blockchain
- coinbase
- เหรียญอัจฉริยะ
- เอกฉันท์
- การประชุม crypto
- การทำเหมือง crypto
- cryptocurrency
- ซึ่งกระจายอำนาจ
- Defi
- สินทรัพย์ดิจิทัล
- ethereum
- เรียนรู้เครื่อง
- โทเค็นที่ไม่สามารถทำซ้ำได้
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- Platoblockchain
- เพลโตดาต้า
- เพลโตเกม
- รูปหลายเหลี่ยม
- หลักฐานการเดิมพัน
- ควิลแฮช
- การตรวจสอบสัญญาอัจฉริยะ
- การรักษาความปลอดภัยสัญญาอัจฉริยะ
- W3
- ลมทะเล
