Denetçiler DeFi Halı Çekme Dolandırıcılığını Nasıl Tespit Ediyor: Bunu Kendiniz Yapabilir misiniz?

Bilgisayar korsanları, 2022'de merkezi olmayan finans (DeFi) platformlarından her zamankinden daha fazla kripto para birimi çaldı. DeFi'nin amiral gemisi DEX Uniswap'te başlatılan tüm tokenlerin yaklaşık %98'i, rug pull olarak tanımlandı.

Sonuncusu, Defrost Finans, geldi kripto yatırımcıları için bir Noel kabusu olarak, paralarının 12 milyon dolarını sildi. 

DeFi platformlarındaki çoğu saldırı, güvenlik ihlalleri ve kod istismarları yoluyla gerçekleşir. Halı çekme dolandırıcılığıyla sonuçlanan projelerin, kaymasına izin verilen veya belki de bilerek fark edilmeyen ciddi güvenlik sorunları vardır. Benzer riskleri önlemek için DeFi güvenlik denetimleri kritik öneme sahiptir.

Burada bu denetimler, bunların nasıl yürütüldüğü ve DeFi denetimini kendi başınıza yürütmenin mümkün olup olmadığı hakkında daha fazla bilgi edineceğiz. 

DeFi projeleri karmaşık, kendi kendini yürüten, genellikle şeffaf ve açık kaynaklı akıllı sözleşmeler olarak uygulanmaktadır. İki taraf arasında yasal anlaşma görevi görürler. Arkalarında merkezi bir varlık olmadığından akıllı sözleşmelerdeki küçük bir hata bile geri dönüşü olmayan sonuçlara yol açabilir.

Bu, akıllı sözleşmelerde hataya yer olmaması gerektiği anlamına gelir. DeFi akıllı sözleşme güvenlik denetimleri bunu sağlamak içindir.

Güvenlik denetimleri, akıllı sözleşmelerin kurallarını ve sözleşmelerin hüküm ve koşullarını nasıl temellendirdiğini inceler. Ayrıntılı analiz, koddaki olası güvenlik kusurlarını, ihlalleri ve sistem hatalarını arar, böylece koddan yararlanılamaz. 

Genellikle üçüncü taraflarca gerçekleştirilen güvenlik denetimleri, projelerin güvenliğinin ve güvenilirliğinin sağlanması ve sağlıklı bir DeFi ekosisteminin sürdürülmesi açısından hayati öneme sahiptir.

Kilim çekme, basit bir modelde çalışan bir tür çıkış dolandırıcılığıdır: Geliştiriciler yasal görünen bir DeFi protokolü oluşturur, proje yeterli likidite çekene kadar onu çalıştırır ve teşvik eder, ardından fonları çeker ve ortadan kaybolur. 

Her zaman değil. Bazen halı çekme dolandırıcıları, bilgisayar korsanlarını likidite çalmakla suçluyor ve bir dahaki sefere kadar işlerine devam ediyorlar.

Dolandırıcılar, bir saldırı gerçekleştirmek için akıllı sözleşmelere kötü amaçlı kod yerleştirir. Yatırımcıların satış yapmasını önlemek için bunları değiştirirler: maksimum (%100) satış ücretini belirleyin, jeton sahiplerini kara listeye alın ve kullanıcıların parasını bir sözleşmeye kilitleyin.

Bazı akıllı sözleşmeler, geliştiricilerin likiditeyi geri çekmesine olanak tanıyan kötü amaçlı bir "arka kapı" kodlamayı içerir.  

Çoğu zaman değiştirilmiş akıllı sözleşmeler, güvenlik denetçileri tarafından doğrulanmaz ve kamuoyundan gizlenir. Çoğu zincir üstü sözleşme halka açık olduğundan, şeffaflık eksikliği GitHub kırmızı bayrak olabilir. 

Blockchain ve akıllı sözleşme endüstrisi hala nispeten genç ve akıllı sözleşmeler denetim sektörü de öyle. Çok sayıda firma akıllı sözleşme güvenlik denetimlerinde uzmanlaşıyor, araçlarını geliştiriyor ve teknik bilgilerini şekillendiriyor. 

Akıllı sözleşme güvenliği endüstri standartları ve en iyi uygulamalar gelişmektedir. Buna rağmen, DeFi denetim endüstrisi oyuncuları tarafından bazı oldukça standart denetim yöntemleri kullanılıyor.

Tipik olarak araştırmaları akıllı sözleşme değerlendirmesiyle başlar. Denetçi, potansiyel riskleri ve güvenlik özelliklerini tahmin etmek için teknik incelemeyi, iş mantığını ve DeFi protokolünün teknik özelliklerini analiz eder.

Ardından dikkatlerini akıllı sözleşmenin koduna kaydırırlar. Bu, kod incelemesi ve analizinin başladığı zamandır. 

Denetçiler kodu satır satır inceleyerek farklı seviyelerdeki güvenlik açıklarını ararlar: likidite sızıntısıyla sonuçlanabilecek kritik olanlar; akıllı sözleşmeye kısmen zarar verebilecek orta düzeyde; ve sözleşmenin güvenliğini en az etkileyen düşük seviyeli sorunlar.

Otomatik ve manuel analiz dahil olmak üzere bir dizi denetim tekniği kullanırlar. Her ikisinin de artıları ve eksileri var.

Otomatik güvenlik denetimi, kodun, bilinen güvenlik açıklarını içeren veri tabanındaki hataları arayan ve bunların koddaki kesin konumlarını belirleyen otomatik analiz yazılımıyla taranması anlamına gelir.

Yazılım tabanlı denetim genellikle insanların gözden kaçırabileceği hataları tespit etmek için manuel analizden önce gerçekleştirilir. Daha hızlıdır ve daha az zaman alır, ancak aynı zamanda her zaman bağlamın farkında olmayabilir ve dolayısıyla bazı güvenlik açıklarını gözden kaçırabilir. 

Manuel kod analizi, akıllı sözleşme denetiminde kraldır ve kapsamlı ve doğru bir akıllı kod güvenliği denetiminin en kritik parçasıdır. Kodu satır satır inceleyen en az iki ayrı uzman tarafından yürütülür.

Amaç, proje spesifikasyonundaki her detayın akıllı sözleşmeye uygulandığını ve hiçbir şeyin başlangıçta amaçlanan davranışını ihlal etmediğini doğrulamaktır. 

Denetçiler, kodu istenmeyen, beklenmedik davranışlar, önemli güvenlik sorunları ve yeniden giriş, veri manipülasyonları, flaş krediler ve akıllı sözleşme başkalarıyla etkileşime girerken uygulanabilecek diğer manipülasyonlar gibi güvenlik açıkları açısından inceliyor.

Buna ek olarak, manuel denetimler, DeFi projesinin akıllı sözleşmesinin tanımlanamayan tehditlere ne kadar iyi yanıt verdiğini ve kendisini bunlara karşı ne kadar savunabildiğini değerlendirmek için simülasyonlar çalıştırıyor. 

Manuel kod analizinin son bölümünde denetçi, akıllı sözleşmenin mantığını projenin teknik incelemesindeki açıklamasıyla karşılaştırır. 

Tüm güvenlik açıkları belirlenip düzeltildikten sonra denetçiler, akıllı kodun beklendiği gibi çalıştığından emin olmak için bir çift kontrol süreci yürütür.

Son olarak güvenlik denetimi tamamlandıktan sonra denetçiler kapsamlı bir rapor hazırlar. Burası, keşfettikleri şey hakkında ayrıntılı geri bildirim sağladıkları yerdir. Genellikle raporları, tespit edilen kod zayıflıklarının projenin güvenliğini azaltmak için nasıl düzeltilebileceğine dair önerilerle birlikte gelir. 

Akıllı sözleşmeler nispeten yeni bir yeniliktir. Güvenlik standartları da buna göre gelişiyor. Bu, hiçbir altın kuralın tam akıllı sözleşme güvenliğini garanti etmediği anlamına gelir.

Ayrıca, tüm akıllı sözleşme denetim firmaları aynı değildir ve tüm denetimler güvenliği garanti etmez. Denetçilerin farklı beceri seviyeleri, farklı hedefleri ve farklı maliyetleri olabilir.

Piyasanın, sahte denetimler yapan ve yine de saygın bir şirketin adından yararlanan yarım yamalak geliştiricilerle dolu olduğu gerçeğinden bahsetmiyorum bile. Bir yıldan fazla bir süre önce blockchain güvenliği ve veri analitiği şirketi Peckshield'ın başına gelen de buydu.

Bunun gibi durumlar, kripto para birimi alanında oldukça yaygındır. Meşru ve saygın bir denetçinin adını alıyorlar ve protokollerinin denetlendiğini söyleyerek teknik incelemelerine koyuyorlar.

Bu gibi durumlardan kaçınmanın tek yolu, denetçinin orijinal kanallarından onay kontrolü yapmaktır. Eğer yoksa denetçinin isminin çalınmış olması ihtimali vardır. 

Denetçinin sağlam ve saygın olup olmadığını değerlendirmek için daima müşteri portföyünü kontrol edin. Deneyim kayıtlarını doğrulamak için vakaları Google'da arayın ve denetlenen projelerden herhangi birinin bir halı çekme veya başka saldırılara maruz kalıp kalmadığını kontrol edin.

Kripto dünyasındaki bu kadar çok hack ve hile varken, DeFi projelerini daha detaylı incelemeden güvenli olduğunu düşünmek saflık olur. Akıllı sözleşme denetimleri kritik bir güvenlik katmanı sağlar. 

Ancak en profesyonel olanlar bile bir DeFi projesinin tamamen hatasız olduğunu garanti etmez. Akıllı sözleşmeler karmaşıktır. Ayrıntılı ve kapsamlı analiz, uzmanlık, araçlar ve en önemlisi birden fazla çift göz gerektirirler.