Blockchain Güvenliği: DeFi'de Güvende Kalmak için Blockchain Denetimlerini Nasıl Anlayabilirsiniz?

Geçen yıl kriptoda oldukça karanlık bir dönem oldu. Sadece Luna'nın feci çöküşünü, 3 Arrows Capital'in yozlaşmasını, BlockFi, Celsius, Voyager, VAULD ve daha fazlasıyla iflas ve iflas sıkıntılarını, bizi bir kripto kışının derinliklerine sürükleyen makro ekonomik koşulları görmedik, aynı zamanda aynı zamanda, insanların DeFi'den köpekbalığı istilasına uğramış sulardan kaçan yüzücülerden daha hızlı kaçmasına neden olan blockchain ve DeFi saldırıları ve istismarları için muazzam derecede felaketli bir yıl oldu.

Şimdi muhtemelen kendi kendine düşünüyorsun, "Vay canına, iç karartıcı giriş için teşekkürler. Kripto bir mayın tarlası gibi geliyor!”

Ve bu konuda yanılmıyorsunuz, kriptonun kesinlikle adil bir risk payı var. Ancak tüm bu kıyamet ve karamsarlığın, kriptoyu sonsuza dek terk edip yatağınızın altına saklanmak istemenize neden olmasına izin vermeden önce korkmayın, çünkü bu makale size DeFi sularında mümkün olan en güvenli şekilde nasıl gezineceğinizi öğretmeye yardımcı olacak ve size ne yaptığınızı gösterecek. blockchain güvenlik denetimleri hakkında bilgi sahibi olmanız gerekir.

Bu, kriptodaki her riske karşı korunmaya yardımcı olmayacak olsa da, hayat birikimlerini bir sonraki memecoine "YOLO" yapmaya karar veren birini korumanın bir yolu yoktur, bu makaledeki bilgiler en azından sadağınıza bir ok daha yerleştirmenize yardımcı olacaktır. DeFi alanında genel güvenli gezinmenizi büyük ölçüde geliştirmek için dağıtabileceğiniz.

Bazı korkuları erken yatıştırmak için, bu makalenin çok teknik olması konusunda endişelenmeyin. Bu yardımcı kılavuzun anlaşılması o kadar kolay olacak ki, tüm kripto endüstrisine "Bitcoin Şeyleri" diyen babam bile anlayabilecek.

Ve blockchain geliştirme becerilerinde bir kayanın saç kesmesi kadar bilgili olduğum için, bu makale için bazı profesyonel yardım ve içeriden tavsiye almaya karar verdim. Şuradaki arkadaşlarımıza ulaştım: ackee blok zinciri kendime ve ortalama Joe'ya bu blockchain denetimlerinin ne halt olduğunu öğretmeye yardımcı olmak için.

Ackee ekibine, zaman ayırıp bize ve topluluğumuza blok zinciri denetimlerinin temellerini öğreterek yardım ettikleri ve bu makalede bizimle işbirliği yaptıkları için çok teşekkür etmek istiyorum. Blockchain ve DeFi denetim raporları, kripto paranın çok kritik bir yönüdür ve çok azımızın gerçekten anladığı bir şeydir.

Bir DApp veya DeFi protokolünün emniyetini ve güvenliğini belirlemek için gereken özeni gösterirken, çoğumuz platformun denetlendiğini söyleyen bir şey ararız ve "tamam, yeterince iyi" diye düşünürüz. Geçmişte bundan suçlu olduğumu biliyorum ama gerçekte denetlenmiş olmak ne anlama geliyor? Bunu nasıl doğrulayabiliriz? Ve bu makalede öğreneceğiniz gibi, bir şeyin denetlenmiş olması, o şeyin otomatik olarak yeşil ışık yakması gerektiği anlamına gelmez.

Başlamak için, blockchain denetim şirketlerinin gerçekte ne yaptıklarına bakalım.

Blockchain Denetim Şirketleri Ne Yapar?

"Denetim" terimini duyduğumuzda, çoğumuz otomatik olarak, hükümet için çalışan bir takım elbise giymiş, kapıyı çalacak ve ince dişli bir tarakla tüm mali durumlarımızı ve banka hesap özetlerimizi gözden geçirecek olan havasız, yaşlı bir herif hayal ederiz. Geleneksel finans endüstrisinde haklısınız, ancak blockchain denetçileri bundan daha fazla olamaz.

Blok zinciri denetçileri, hayal gücünün herhangi bir uzantısıyla muhasebeci değildirler; bir blok zinciri projesinin, akıllı sözleşmenin veya kripto jetonunun kaynak kodunda hatalar, hatalar ve kötü niyetli kodlar arayan kodlama ve geliştirici becerilerinde uzmanlardır.

Farklı denetim şirketleri de farklı alanlarda uzmanlaşabilir, bu nedenle birden fazla şirket tarafından denetlenmiş bir platform görmek her zaman iyidir. Yapılan her denetim riski azaltır ve bir şirket diğer şirketin gözden kaçırdığı bir şeyi fark edebilir.

1inch bunun harika bir örneğidir. 1inch, birden fazla farklı şirket tarafından denetlenmiş bir DEX toplayıcıdır, bu da kullanıcının platforma olan güvenini artırır ve 1inch ekibinin topluluğunun güvenliğini sağlama konusunda güçlü bir taahhüde sahip olduğunu vurgular.

Blockchain denetim şirketleri, aşağıdaki gibi görevleri yerine getirebilecek bir mühendis ekibine sahip olacak:

• Güvenlik Denetimi
• Araç Analizi
• Manuel Kod İncelemesi
• Otomatik Testleri Çalıştırın ve Yazın
• Bug Bounty Yarışmaları Düzenleyin

Ackee Blockchain gibi diğer denetim şirketleri de daha "tam hizmet" gereksinimlerini karşılayabilir ve aşağıdakiler gibi ek alanlarda yardımcı olabilir:

• Solidity veya Rust Üzerinde Güvenli Akıllı Sözleşmeler Oluşturma
• Tam bir ekosistem oluşturmaya, kullanıcı deneyimi, tasarım, ön uçlar, arka uçlar ve DevOps'u yönetmeye yardımcı olun

Ackee Blockchain ayrıca blockchain endüstrisine bir bütün olarak katkıda bulunuyor ki bunu görmek harika. Herkesin kullanabileceği açık kaynaklı güvenlik araçları geliştirdiler ve gelecek vadeden blockchain geliştiricileri için öğretme ve fırsatlar sağlama konusunda tutkulular. Geçmişte, blok zincirinde çalışmak isteyen geliştiriciler için çevrimiçi kurslar düzenlediler ve hatta Solana Vakfı'ndan bir proje yürütmek için hibe aldılar. Solana için yaz okulu.

Ekip, Solidity öğrettikleri çevrimiçi yaz okulları sunuyor ve 2022 sonbaharında, Ackee Blockchain CEO'su ve Kurucu Ortağı Josef Gattermayer, Ph.D. konferansta blockchain geliştirmeyle ilgili konuları öğretecek. Prag Çek Teknik Üniversitesi. Ackee ekibine ulaşmaya kesinlikle değer, kurslara kayıt olmak Blockchain geliştirme ve güvenliğinde bir gelecekle ilgileniyorsanız, sitelerinde ve onları takip edin.

Gördüğünüz gibi, blok zinciri denetimi, karanlık bir odada ineklemek ve kodu araştırmaktan daha fazlası olabilir, niş içinde kapsüllenmiş bütün bir ekosistem vardır.

Blockchain Denetimi Neden Önemlidir?

İnsanlar mükemmel olsaydı, her kod satırı kusursuz bir şekilde yazılacağı ve istismarlara, hatalara ve saldırılara karşı tamamen dayanıklı olacağından, blockchain denetim şirketlerine ihtiyaç olmazdı.

İnsanların hata yapmasından daha da kötüsü, insanların yozlaşmış ve kötü niyetli olabilmeleridir. Oldukça sık rastlanan bir durum, kötü aktörlerin kasıtlı olarak protokollerine, kullanıcıların fonlarını çalmak için oluşturdukları bir platformdan yararlanmalarına izin verecek kötü amaçlı kod girmesidir.

İnsan hatası ve kötü niyet arasında, akıllı sözleşmeler ve blok zinciri uygulamaları/DApp'ler aşağıdaki risklere karşı hassastır:

• Protokolü kullanılamaz hale getiren hizmet reddi saldırıları.
• Kurucuların akıllı bir sözleşmeye yatırılan fonları çekmelerine izin veren kötü amaçlı kod girdikleri halı çekme/arka kapı hırsızlığı.
• Kodu, amaçlanan yöntemlerin dışında yeni belirteçler basmak veya akıllı sözleşmelerden müşteri fonlarını boşaltmak gibi bilgisayar korsanına fayda sağlayacak ve kullanıcılara zarar verecek şekilde kullanmak.
• Bazı bilgisayar korsanları yalnızca "dünyanın yanmasını izlemek" isterler ve bulabildikleri herhangi bir hatayı bir platforma zarar vermek için kullanırlar.

Birçok DeFi kullanıcısı, bir DeFi platformunda aranacak en önemli şeylerden birinin, kodun açık kaynak olup olmadığı olduğunu düşünür. Bu harika bir ilk adım çünkü birçok proje kodu Github gibi herkese açık bir sitede yayınlayacak ve burada herkes gidip kodu kendileri için kontrol edebilir/doğrulayabilir.

Bir projenin GitHub sayfasına bakarken, DApp kullanmayı düşünen kullanıcıların aradıkları şeylerden biri genellikle bu, örnek olarak tekrar 1 inç kullanarak:

Bu, bir protokolün gerçekliğini doğrularken izlenecek iyi bir başlangıç ​​yaklaşımıdır, çünkü burası topluluk üyelerinin veya herhangi birinin girip orada gizli kötü amaçlı kod olmadığını doğrulayabileceği yerdir.

Herkesin GitHub'da herhangi bir şey yayınlayabileceğini bilmek de yararlıdır. GitHub'da yayınlanan kod, bunun akıllı sözleşmeyi çalıştıran kodla aynı olduğunu otomatik olarak doğrulamaz. Neyse ki kullanıcılar, Etherscan gibi bir blok gezginine giderek ve GitHub'daki kodun gerçekten konuşlandırılıp kullanıldığını kontrol ederek bunu doğrulayabilir. İşte Etherscan'de 1 inç Token, Örneğin. GitHub'da açık kaynak yayınlamanın iyi bir işaret olduğu düşüncesine katılma eğilimindeyim, ancak benim için GitHub'a bir göz atmak için tıkladığımda tek gördüğüm şey:

Bu yüzden beynimin bunu anlamaya çalışırken sıcak bir kaldırımda yumurta gibi kızarması yerine, bir blockchain denetim şirketinden profesyonellerden oluşan bir ekibin tüm bunları araştırdığını ve onayladığını görmek hoşuma gidiyor.

Bir şeyi açıklığa kavuşturmak önemlidir ve bu, bir protokolün denetlenmiş olması, onun %100 güvenli olduğu anlamına gelmez. Bilgisayar korsanlarının araçları ve becerileri her zaman daha karmaşık hale geldiğinden, hiçbir kodun saldırı girişimlerine karşı tamamen dayanıklı olduğu düşünülemez. Beyaz şapkalı (iyi) bilgisayar korsanları ve blockchain devleri nasıl sürekli gelişiyor ve gelişiyorsa, kötü adamlar da öyle.

Bunu bir tür kedi fare oyunu gibi düşünebilirsiniz, kod yazmak temelde yaratıcı bir yapboz yapmak ve problem çözmek gibidir ve bilgisayar korsanları bulmacayı giderek daha zekice ve sofistike yollarla çözmenin veya saldırmanın yollarını arıyor. her zaman bir risk unsuru olarak kalır.

2022 Kripto İstismarları İçin Neden Özellikle Kötü Geçti?

Bunun gibi başlıkları gördüğümüzde:

Oldukça kalp kırıcı olabilir. Kripto endüstrisi, her hafta milyonlarca fonun kaybedilmesine neden olan başka bir büyük hack veya istismar gibi göründüğü için ciddi bir kara göz verildi.

Bu sadece ortalama insanlar paralarını kaybettiği için üzücü değil, aynı zamanda bu saldırılar tüm kripto endüstrisini giderek daha sert eleştirilere maruz bıraktığı, benimsemeyi yavaşlattığı, yatırımcıları uzak tuttuğu ve hükümetlere otoritelerini artırmak için ihtiyaç duydukları bahaneleri sağladığı için endişe verici. yatırımcıları “korumak” için kontrol, çoğumuzun kaçmak için kriptoya yöneldiği acımasız önlemler dayatıyor.

Bunun başlıca nedeni, özensiz geliştirici mühendisliğidir.

Ackee'den Josef'le oturduğumda, neden rekor sayıda istismar olduğu konusundaki görüşünü sordum, açıklaması mantıklıydı.

Josef, ağır bir şekilde başka kelimelerle ifade ederek, kripto endüstrisinin hızla büyüdüğünü ve ekiplerin ürünlerini piyasaya sürmek için kıyasıya bir yarış içinde olduğunu açıklamaya devam etti. Talebi karşılayabilen yetenekli ve deneyimli blok zinciri geliştiricilerinin eksikliği var, bu da birçok projenin acemi geliştiricileri işe almasına ve "yeterince iyi" bir tutuma sahip olmasına, uygun kontroller ve denetimler yapılmadan DApp'leri başlatmasına neden oluyor.

Josef ayrıca, blockchain denetim hizmetlerine olan ihtiyacın hızla arttığını ve projelerden gelen talebi karşılamak için yeterli blockchain denetim şirketi olmadığını açıklamaya devam etti. Bu, proje ekiplerinin bir denetim ekibinin hazır olmasını beklemek istememesine neden oluyor, bu nedenle ya denetim olmadan ya da kapsamayan güncel olmayan bir denetime güvenerek devam edip bir yükseltme başlatıyor ya da yayınlıyorlar. bir platformun yeni sürümü veya yinelemesi.

Bu tema özellikle 2021 boğa koşusu sırasında mevcuttu, ancak artık bir ayı piyasasında olduğumuz için işler çok daha rahat. Projeler başlamak için büyük bir acele içinde değil ve denetim darboğazında daha az proje var. Ayı piyasalarının inşa etme zamanı olduğu doğrudur ve takımlar daha yavaş piyasa zamanlarında daha gayretli bir yaklaşım benimseme eğilimindedir.

Tüm bunları bir perspektife oturtmaya yardımcı olmak için tam olarak ne olduğunu araştırmak için gerçekleşen iki özel başarılı saldırıyı inceledik.

2016'nın Ethereum DAO Hack'i

Esasen, burada olan şey, yeniden giriş hatası olarak bilinen bir şeydi. Basitçe söylemek gerekirse, kod iki talimatı yürütür:

1. Geri çekmek
2. Bakiyeyi Güncelle

Kronolojik olarak yapılırsa olması gerektiği gibi çalışır. Ancak Ethereum dağıtılmış bir sistem olduğundan (web2 programlarının aksine), sözleşme, geri çekme talimatından çağrılan özel bir geri arama işlevi uygulama seçeneği getiren başka bir sözleşmeden çağrılabilir.

Ve bilgisayar korsanı tarafından uygulanan bu geri çağırma işlevi, güncelleme bakiyesi talimatı nihayet yürütülmeden önce sözleşmeyi tekrar ve tekrar birçok kez çağırır. Bu, saldırganın birden çok kez geri çekilmesine olanak tanır.

Bu acemi web3 geliştiricileri tarafından sıklıkla yapılan bir hatadır. Bu saldırıdan 5 yıl sonra bile sorun, geliştiricilerin bu vakadan ders çıkarmak için zaman ayırmamasından kaynaklanmaktadır. Bu durumda çözüm oldukça basittir ve bu iki kod satırını ters sıraya koymaktır. Önce güncelleme, sonra geri çekilme.

Denetçiler, bir protokolü denetlerken bunun gibi bilinen sorunları arar.

Solana Solucan Deliği Saldırısı 2022

2022, Şubat ayı başlarında Solana'da gerçekleşen ilk büyük saldırı ile iyi bir başlangıç ​​yapmadı. Saldırgan, bir Rust programında bir imza doğrulamasını atladı, bu yüzden gardiyanlar, yapmamış olmalarına rağmen, Solana'daki Wormhole'a 120 bin ETH depozitosu için imza atmış gibi görünüyordu. Saldırgan daha sonra bastı Solana'da 120 bin değerinde sarılmış ETH.

Bu solucan deliği saldırısından önce, kripto topluluğundaki birçok kişi Solana ve Rust geliştirmenin amatör geliştiricileri çekmek için öğrenmenin çok zor olduğunu varsaydı. Bu, Solana üzerinde yalnızca en iyi geliştiricilerin çalıştığı inancına yol açtı, bu da denetimlere o kadar güçlü bir ihtiyaç olmadığı anlamına geliyordu. Bu saldırıdan sonra Josef, kendisinin ve ekibinin Solana DApp'leri ve protokolleri için denetim taleplerinde önemli bir artış gördüğünü belirtti.

Tüm bunlardan sonra, hatanın kaynağı insan ve kötü niyet ise, hata yapma olasılığı düşük ve kötü niyetten aciz bilgisayarların ve Yapay Zeka makinelerinin tüm bu kodları yazması mantıklı olmaz mıydı diye düşünebilirsiniz. bizim için?

Bu harika bir soru ve yukarıdaki gibi makaleler nedeniyle bu benim de aklımdan geçen bir şey. Bunu bir sonraki bölümde ele alacağız.

Blockchain Güvenliğinin Geleceği

İşlerimizin birçoğunun, insanların işlerini bizden çok daha iyi yapabilen bilgisayarlara ve yapay zeka programlarına devredileceği bir geleceğe doğru ilerlediğimiz aşikar.

Bunu otomatik kasiyerlerde ve insanlardan daha fazla robota sahip araba üretim fabrikalarında zaten görüyoruz. Bilgisayarlar doktorlar ve eczacılar gibi son derece uzmanlaşmış işleri bile devralıyor, çünkü bir robot bir neşterle daha kesin olabilir ve bir bilgisayar programı tüm ilaç veri tabanını tarayabilir ve saniyeler içinde ilaçların nelerin diğer kimyasallarla karışıp karışamayacağına dair raporları doldurabilir. ilaçlar, bir insan için imkansız bir görev.

Programlama ve geliştirmenin bilgisayarların yerini aldığı ilk işlerden biri olacağını kesin olarak düşündüm. Bir ekrandaki tüm harfler ve rakamlar, belirli görevleri yerine getirecek şekilde oluşturulmuşsa, o zaman bir bilgisayar bunu bir insandan daha iyi ve daha az hatayla yapabilir, değil mi?

Blockchain denetim şirketlerinin Dodo kuşunun (sönmüş) yoluna gideceğini düşündüm, çünkü bilgisayarlar otonom olarak gelişmeye başladığında, bulunacak hiçbir hata olmayacak. Bu, Ackee ekibi hoşuma gitmeyen bazı kavramları açıklarken geliştirme hakkında ne kadar az şey bildiğimi vurguladı.

Blockchain geliştirmenin büyük bir kısmı problem çözmek ve bir sorunun 360 derecelik bir görünümüne bakmaktır. Bilgisayarların yapamayacağını düşünmek büyük miktarda yaratıcılık ve "alışılmışın dışında" olmayı gerektirir. "'X' olduğunda, 'Y'yi uygula" kadar basit değil.

Ayrıca, bu DApp'lerin ve uygulamaların birçoğunun "insan" sorunlarını ve sistemler, protokoller ve prosedürlerle nasıl etkileşimde bulunduğumuzu çözmeye çalıştığını da dikkate almamız gerekir. Üzgünüm küçük Tereyağı Robotu ama sen insan sorunlarını anlayacak ve insani çözümler sunacak kadar uygun değilsin.

Blockchain geliştirme ve güvenlik alanındaki işler hızla artmakla kalmıyor, aynı zamanda bu rollere önümüzdeki yıllarda ihtiyaç duyulacak gibi görünüyor.

Bu, web3 geliştirme alanında otomasyon olmadığı anlamına gelmez. Geliştiriciler için, onlara bazı güvenlik geri bildirimleri sağlayan ve geliştiricilerin diğer görevlere odaklanabilmesi için işin bir kısmını boşaltmaya yardımcı olan birçok ücretsiz araç vardır.

Örneğin, Ethereum'da adında iyi bir statik kod analizcisi var. Slither bu çok popüler ve Ackee Blockchain kendi açık kaynaklı statik analizörü üzerinde çalışıyor. uyandım, Slither'den farklı şeyleri algılayarak kodu manuel olarak analiz etme yükünü azaltır.

Ackee ekibi ayrıca Solana'da testlerle ilgili bir sorunla ilgili bir trend ortaya çıkardı. Geliştiriciler, çok fazla standart kod yazma ihtiyacıyla oldukça emek yoğun olduğundan, yeterince yazmıyorlardı. Ackee Blockchain, Solana için açık kaynaklı bir test çerçevesi yazdıkları bir projeye öncülük etti. trdelnik bu, geliştiricilerin testleri daha kolay yazmasına olanak tanır. Ekip mansiyon ödülü aldı ve bir Marinade ödülü kazandı. hackathon Trdelnik için Prag'da.

Bütün bunlar bize, otomasyon ve bilgisayarların blockchain geliştiricilerine ve güvenlik denetçilerine yardım etmede giderek daha önemli bir rol oynayacağını, ancak yakın zamanda bunların yerini alma ihtimalinin düşük olduğunu gösteriyor.

Blok zinciri geliştiricileri arasındaki genel kanı, bu saldırıların ve suistimallerin birçoğunun bunun hala genç ve deneyimsiz bir sektör olmasının bir sonucu olduğu yönünde. Blok zinciri endüstrisi gelişmeye ve olgunlaşmaya devam ettikçe, daha az ve daha az istismar olmalı, bu da genel kripto alanının daha güvenli ve kullanıcı dostu hale gelmesiyle sonuçlanmalıdır.

Pekala, şimdi bu makalenin en önemli çıkarımı olan iyi şeylere geçelim.

Bir Platformun Denetlendiğinin Doğrulanması

İlk adım, bulunacak bir denetim olduğundan emin olmaktır. Bunlar, projenin GitHub deposunda bulunabilir ve yürütülen tüm denetimler, projenin belgelerinde veya platform web sitesinde açıkça belirtilmelidir. Bir denetimden söz bulamazsanız, uzak dururum.

Halka açık bir denetimin olmaması muhtemelen şu anlama gelir:

• Denetim yapılmadı
• Projenin bilinmesini istemediği başarısız bir denetim oldu
• Denetim, ekibin ele almadığı sorunları keşfetti
• Kod, hırsızlığa yol açabilecek kötü amaçlı arka kapı yolları içeriyor

Daha önce de belirtildiği gibi, GitHub'da "public" olarak etiketlenerek kodun açık kaynaklı olduğunu görmek de güzel. Bu bir gereklilik değil, ama yine de bir bonus. Yine de açık kaynak kodunun olmamasının nedenleri vardır, bu nedenle bu her zaman bir anlaşmayı bozmaz. Kaynak kodunu açmama nedenleri şunlar olabilir:

• Rekabet avantajını korumak isteyen şirketler. Bir şirket kodunu açar açmaz, herkes aynı protokolü oluşturabilir ve rekabet edebilir. Coca-Cola'nın tariflerini bir sır olarak saklamasının ve KFC'nin "Çok gizli 11 bitki ve baharat" ünlü olmasının nedeni budur.
• Bir kod herkese açık olduğunda, bilgisayar korsanları bu bilgileri açıklardan yararlanma aramak için kullanabilir. İyi uygulama bunun tersini yapsa da, bir proje koduna güveniyorsa onu yayınlar.
• İlk projeler, büyük bir topluluk ve yeterli sayıda kullanıcı oluşturup potansiyel rakipler için bir engel oluşturana kadar kodlarını hemen açık kaynak yapmak istemeyebilir.

Geçenlerde, rakip bir şirket kodlarını ve iş modellerini basitçe kopyaladığı ve etkileyicilere ve takipçilere ödeme yapmak için daha fazla fonu olduğu için platformlarını açık kaynak yapmaktan hemen pişman olan bir proje ekibiyle tanıştım. Bu, daha fazla kullanıcı ve daha büyük bir takip izlenimi verdiği için rakip firmanın lansmandan itibaren daha iyi bir platform olduğunu gösterdi. Rakip şirket artık daha organik ve etik bir şekilde büyümeyi seçen orijinal kurucu ekibin önemli ölçüde önünde.

İşte harika bir görsel Küresel Köprü bu, açık kaynaklı ve kapalı kaynaklı yazılımlar arasındaki bazı genelleştirilmiş farklılıkları özetler:

Açık ve kapalı kaynak koduna karşı iki ilginç yaklaşım, popüler donanım cüzdanlarını karşılaştırarak bulunabilir. kiralık kasa ve Defteri kebir. Trezor, herkesin doğrulaması için kaynak kodunun %100'ünü halka yayınlamayı seçerken, Ledger kartlarını göğsüne daha yakın oynamayı ve bazı kodları açık kaynak yapmayı seçti, ancak aygıt yazılımını kapalı kaynak olarak tuttu.

Bu, birçok blockchain seçkincisinin, Ledger'ın kodlarını açık kaynak olarak kullanması gerektiğini düşündükleri ve neyi saklamaya çalıştıklarını merak ettikleri için Ledger yerine Trezor'u seçmelerine yol açtı. Ledger, geçmiş performansını ve alana olan bağlılığını kanıtladığı ve dünyanın en büyük donanım cüzdanı sağlayıcılarından biri haline geldiği ve en yüksek dereceli güvenli kripto depolamalarından bazılarını oluşturduğu için kişisel olarak bunu endişe kaynağı olarak görmüyorum. cihazlar.

Bir denetim yapıldıktan ve yeri belirlendikten sonra, kamuya açıklandığı sürece, herkes belgeyi açabilir ve denetimin sonuçlarını görebilir. Basit amacımız için tüm denetim belgesini kaydırmak yerine, aramamız gereken tek şey, genellikle şuna benzeyen "Yönetici Özeti" sayfasıdır:

Bu sayfa, raporun en başında veya sonunda yer alacaktır. Denetim sonuçlarını ortalama bir kişinin anlayabileceği basit bir formatta gösteren sayfadır. Bunun bize hangi bilgileri gösterdiğine bakalım.

Denetim yeni mi? Denetimler sürekli bir hizmet olmalı ve HER güncelleme, sürüm veya tanıtılan yeni özellik/işlev için kesinlikle yeni bir denetim yapılmalıdır. Yeni bir özellik veya sürüm piyasaya sürüldüyse, kod tabanı muhtemelen değiştiği için önceki denetim sonuçları artık geçerli değildir.

Bu, proje sürümüne bakılarak ve/veya hash işlemi yapılarak doğrulanabilir. Sürüm, gördüğünüz gibi bir şey Uniswap "V2" (sürüm 2) ve sağlama karması, kaynak kod deposundaki bir revizyonu tanımlar. Kullanıcılar, "repository" başlıklı tablodaki yukarıdaki görselde görülebilen denetimde gösterilen sürüme veya commit hash'e bakarken, bunun GitHub'da gösterilen sürüm veya commit hash ile çakıştığından emin olmak için kontrol edebilir.

Bunun gibi bir şey görünecek:

İşte Ackee Blockchain Denetimlerinden birinden başka bir görünüm:

Taahhüt karması eşleşmese de, bu mutlaka bir kırmızı bayrak olduğu anlamına gelmez. Projenin GitHub'ındaki taahhüt karması, yeni bir düzenleme veya yineleme yapıldığında değişecektir. Her ayarlama, taahhüt karmasını değiştirecektir ve yalnızca küçük bir ayarlama yapıldıysa endişe nedeni olmamalıdır.

Ana GitHub sayfasındaki denetimden gelen taahhüt karmasını görmüyorsanız, "Kodlama Geçmişi"ne gidebilir ve taahhüt karmasını arayabilir ve denetimin gerçekleştirilmesinden bu yana ne kadar değiştiğini kendiniz görebilirsiniz.

Bu, buraya tıklayarak yapılabilir:

Sonra burada bir arama yapmak:

Her değişiklik için, her biri bir tarih ve zaman damgasıyla yeni bir taahhüt karması doldurulduğundan, denetimin yürütüldüğü zaman ile projenin şu anda üzerinde olduğu taahhüt karması arasında önemli sayıda yeni taahhüt varsa, şunları yapabilirsiniz: dahil olmadan önce başka bir denetim yapılana kadar beklemeyi düşünmek istiyorum.

Analitik bir gözünüz varsa ve daha derine inmek istiyorsanız, her yeni taahhüt karmasına tıklayabilir ve kırmızıyla gösterilen eski kodu yeşille gösterilen yeni kodla karşılaştırabilir ve tam olarak neyin değiştiğini kendiniz doğrulayabilirsiniz:

Denetimin gerçekleştirildiği zamandan farklı yeni bir taahhüt karması fark ederseniz ve şunun gibi bir şey görürseniz:

Bahsettiğim o önemsiz değişikliklerden biri bu ve yeni bir kesinleştirme karması oluştursa da, bu bir dosyanın basit bir şekilde yeniden adlandırılması olduğundan endişe edilecek bir şey değil. Yukarıdaki GitHub görüntüsü 0 ekleme ve 0 silme gösteriyor.

Şimdi Yönetici Özetinde aranacak bir sonraki şeye geçelim:

Sorunlar - Yönetici özeti, denetim sırasında ortaya çıkarılan tüm sorunları ve daha da önemlisi ekibin sorunları çözüp çözmediğini gösterir. Bu bölüm, "Toplam Sorunlar"ı gösterdiği alt kısma yakın bir yerde görülebilir, ardından bunları önem derecesine ve çözülüp çözülmediğine göre ayırmaya gider. Denetim şirketi önce sorunları belirler, geliştirme ekibine işaretler ve ardından geliştiriciler sorunları ele aldıktan sonra, denetim ekibi sorunu "çözüldü" olarak işaretlemeden önce kodu tekrar kontrol eder.

Açıkçası, "Kritik" veya "Yüksek Risk" olarak işaretlenen tüm sorunlar çözülmelidir. Rapor tüm kritik veya yüksek riskli sorunların çözüldüğünü gösterse bile, bu yine de proje hakkında biraz şüpheyle not edilmelidir. Denetim ekibi başlangıçta çok sayıda kritik sorun bulduysa, bu, projenin arkasındaki geliştirici ekibin oldukça acemi olabileceğini ve ileride daha fazla ve ek sorunlara yol açabileceğini gösterebilir.

Orta veya düşük riskli sorunlar yaygındır ve normalde endişe nedeni değildir. Denetim ekibi, yalnızca bir alternatif öneriyorsa veya bir şeye nasıl yaklaşılacağı konusunda fikir ayrılığına sahipse, bir konuyu düşük riskli bir konu olarak bile işaretleyebilir.

Her bir kategorinin ne anlama geldiğinin bir özeti aşağıda verilmiştir:

Kritik – Kritik olarak işaretlenen herhangi bir şey, bir şeyin şu anda istismar edilebilir olduğu anlamına gelir.

Ackee Blockchain'deki ekip bana, yürüttükleri bir denetimde zaten başlatılmış olan bir protokolde kritik bir sorun buldukları hakkında bir hikaye anlattı. Projenin Geliştirme ekibini sabah 5'te kodu en kısa sürede onarmak için "herkes görev başında" acil bir durumda uyandırdılar. Neyse ki, bilgisayar korsanları güvenlik açığını tespit edemeden sorunu zamanında yakaladılar.

Yüksek Önem – Şu anda yararlanılamayan, ancak bazı belirli sıralar yerine getirildiğinde yararlanılabilen sorunlar.

Orta ila Düşük – Bunlar genellikle gerekli olan küçük ince ayarlar veya önerilerdir ve güvenlik tehditleri olması gerekmez.

Farklı denetim şirketleri de yönetici özetlerini farklı formatlarda yazacaktır. Yukarıda gösterilen yönetici özeti, denetim firması tarafından yapılmıştır. Sayı damgası. Ackee Blockchain, PDF'ye denetim ve ilk ve takip sonuçlarını daha kolay okunabilen bir deneme biçiminde birleştiren bir web özeti sağlar. Bunun bir örneğini onlarında bulabilirsiniz. Denetim Özeti.

Aranacak ek şeyler:

• Denetim birden fazla şirket tarafından mı tamamlandı? Sorunları arayan göz sayısı arttıkça, kodda kusur bulunma olasılığı o kadar azalır.
• Blockchain denetim şirketi profesyonel mi ve toplumda saygı görüyor mu? Denetim şirketini daha önce hiç duymadıysanız, web sitelerine bir göz atın ve üzerinde çalıştıkları diğer projeleri arayın. Denetledikleri platformlardan herhangi biri saygın mı? Şirket bir denetim gerçekleştirdikten sonra platformlardan herhangi birinin kötüye kullanılıp kullanılmadığını kontrol edin; bu, zayıf denetim becerilerinin bir geçmiş kaydını gösterebilir. Kazanılan hackathon'lar ve 1. katman ağ temellerinden alınan destek/hibeler gibi şeyleri arayın.

Buna iyi bir örnek, dört temel vakıf tarafından resmi geliştirme/topluluk hibeleri verilen Ackee Blockchain'dir: Coinbase Giving, Ethereum Vakfı, Solana Vakfı ve Tezos Vakfı.

Bu yanlış bilgi çağında anlaşılır bir şekilde güvenilmez hale gelen biriyseniz, Ackee Blockchain web sitesinde yukarıdaki görsel gibi bir iddia görürseniz, onların sözüne güvenmek yerine her zaman vakıfların web sitelerine gidebilirsiniz. belirtilen ve kendiniz için iddiaları doğrulayın.

Bunu söylememin nedeni, inceleme yazdığım yıllarda, "Forbes veya Yahoo Finance'te Öne Çıkanlar" iddiasında bulunan web sitelerinin sayısının, hiçbir zaman olmadığı halde çok fazla olmasıdır. Keşke böyle yalan ve yanıltıcı ifadeler yüzünden şirketleri internet hapishanesine götürebilecek bir tür internet polisi olsaydı. Bu nedenle kriptoda "güvenme, doğrula" diye bir söz vardır. Endişelenmeyin, Ackee kontrol ediyor ve aslında yukarıdaki kuruluşlar tarafından güvenilir, kontrol ettim 😉

Kapanış Düşünceler

Al işte. Blockchain güvenliği hakkında yararlı bulacağınızı umduğum bazı bilgiler. Umarım bu makale, bir kat daha zırhla kripto dünyasına girerken daha güvenli hissetmenize ve kripto sularında eskisinden daha güvenli bir şekilde gezinmenize yardımcı olur. Bir dahaki sefere kripto varlıklarımla hangi DApp'lere ve protokollere güvenmeyi seçtiğimi seçerken bu bilgileri doğrulamak için gayretli olacağımı biliyorum.

"Kriptoda önemli olan ne kadar kazandığınız değil, ne kadarını elinizde tuttuğunuz" deyişiyle, ne yazık ki çoğumuz eski huysuz kripto gazileri, sayısız hacklemede Satoshi'deki adil payımızdan fazlasını kaybettik. dolandırıcılık, ip çekme, iflaslar vb. Ne kadar çok bilgiye sahip olursak, kendimizi bu yeni ve gelişmekte olan çılgın kripto dünyasında var olan birçok sert riskten o kadar iyi koruyabiliriz.

Feragatname: Bunlar yazarın görüşleridir ve yatırım tavsiyesi olarak düşünülmemelidir. Okuyucular kendi araştırmalarını yapmalıdır.