Yükselen Hack'lerin aksine Solana Akıllı Sözleşme Denetimi Nasıl Yapılır?

Okuma zamanı: 6 dakika

Solana, yüksek ölçeklenebilirliği nedeniyle en hızlı büyüyen blok zinciri ağı olduğunu iddia ediyor. Kanıt-geçmiş konsensüsüne göre çalıştırılması, saniyede 710,000 işleme kadar daha yüksek ölçeklenebilirliğinin tüm nedenidir. 

Solana'nın muazzam popülaritesine rağmen, akıllı sözleşmelerinin güvenliği tam olarak test edilmemiştir. Test etmek, ortaklara söz verildiği gibi marka değerini sağlamak ve projenizde yatırımcının güvenilirliğini artırmak için çok önemlidir. 

Bu makalede, olası Solana kodlama kusurlarını ve denetimin bunları belirlemeye ve düzeltmeye nasıl yardımcı olduğunu çözeceğiz.

Solana Blockchain Üzerindeki Farklı Hack Senaryoları Açıklandı

solucan deliği kesmek 

Farklı blok zincirleri arasında tokenize edilmiş alışverişleri kolaylaştıran bir blok zinciri köprüsü olan Wormhole, saldırıya uğrayan kripto projeleri dizisine katılıyor. Toplam fon kaybı, kripto alanındaki en büyük kara para aklama olaylarından biri olan 320 milyon dolar civarındadır.

Hack tarihi

Bildiğimiz gibi, Wormhole, varlıkların farklı blok zincirleri arasında transferine izin verir. Ama soru şu, nasıl yapılıyor?

Her zincirde oluşturulan token, yani Ethereum veya Solana, akıllı sözleşmeler tarafından yönetilir. Ve jetonları transfer etmek için işlemler, imzalarını doğrulayarak basılan jetonların doğru şekilde oluşturulup oluşturulmadığını kontrol eden Muhafızlar tarafından onaylanır.

Solucan deliği olayında, _imzasını doğrula bilgisayar korsanının işlemlerini doğrulamak için sahte verilerle bir talimat oluşturduğu işlevden yararlanılır. 

Bu sayede hacker bir imza_set Doğrulayıcı Eylem Onayı (VAA) için gerekli olan yeterli sayıda imzayı içerir. Böylece, bilgisayar korsanı yetkisiz nane işlemini başlatmak için erişim kazandı. 

Bununla, bilgisayar korsanı, 120,000 milyon dolar değerinde 320 sarılı Ethereum'a el koyup onları yağmalamayı başardı.   

Krema Finans Hile 

Solana blok zinciri projeleri listesindeki likidite protokolü Crema Finance, 8.78 milyon dolar kaybetti.

Hack Tarihi

Bilgisayar korsanı, Solana'ya hızlı kredi almak ve Crema'ya likidite eklemek için akıllı bir sözleşme yaptı. Fiyatlandırma verileri daha sonra manipüle edildi ve bilgisayar korsanlarının büyük bir ücret tutarına sahip gibi görünmesini sağladı.- hepsi sahte verilerle. 

Crema ekibi, bilgisayar korsanının Solana'dan Ethereum'a takas etmeyi başardığı fon akışını izledi. Ekip, hacker'ı ödülü kabul ederek çalınan fonları iade etmesi için derhal uyardı.

Ve kısa bir süre sonra, bilgisayar korsanı 1.6 milyon doları alıkoyan fonları beyaz şapka ödülü olarak iade etti. 

Cashio Hack'i 

Solana'nın algoritmik olarak desteklenen yerel bir stabilcoini olan Cashio (CASH), sonsuz nane hatası nedeniyle 52.8 milyon dolar kaybetti. Bunu takiben, madalyonun değeri 1 dolardan 0.00005 dolara çıkarak DeFi ekosistemini çökertti. 

Hack Tarihi

Cashio'nun kod tabanından yararlanan bilgisayar korsanı, önce iki milyar CASH jetonunu bastı. Kodda yanlış olan neydi? 

The Infinite Mint Glitch— Protokoldeki bu hata, kullanıcıya herhangi bir teminat koymadan herhangi bir sayıda jeton basmasına erişim sağlar. Kullanıcı daha sonra bu basılmış jetonları borsalarda satabilir ve bu da madeni paranın fiyatını düşürür.

Cashio istismarında hacker, Sabre USDT-USDC LP jetonları için iki milyon CASH jetonunu yaktı. Likidite Çifti jetonları daha sonra USDC ve USDT jetonları ile değiştirilir ve bu da 52.8 milyon $'lık bir boşaltma ile sonuçlanır. 

Projeleri Hack ve Hırsızlıklardan Nasıl Korursunuz?

Güvenlik her zaman devam eden bir çalışma olsa da, geliştiriciler ve denetçiler tarafından benimsenen denenmiş ve test edilmiş teknikler, bilgisayar korsanlarının kolayca saldırı gerçekleştirmesini azaltabilir. 

Güvenlik önlemlerinin yönetim saldırılarını, fiyat kehaneti manipülasyonunu, Yeniden Giriş hatalarını vb. ortadan kaldırmada etkili olduğu kanıtlanmıştır. Şimdi, saldırganları sözleşmeleri kötüye kullanmaktan ve kara para aklamaktan caydıran güvenlik önlemlerini bulalım.

Sözleşmelerin akıllı kodlaması: Test edilmiş kitaplıkların kullanımını, önerilen programlama dilini, cüzdanlarda özel güvenlik uygulamasını, işlevleri net bir şekilde tanımlamayı vb. içeren güvenli kodlama uygulamalarını kullanarak sözleşmeler yazın.

Blockchain güvenlik kontrol listesini harekete geçirin: Hack'lere karşı koruma sağlamak için kontrol edilebilecek birçok iyi araştırılmış kaynak mevcuttur. 

Güvenlik denetim araçlarının kullanımı: Sözleşmelerde otomatik güvenlik açığı kontrolleri yapmak ve sözleşmelerdeki olası kusurları belirlemek için açık kaynaklı güvenlik tarayıcıları mevcuttur. 

Bununla birlikte, hataları tespit etmede etkili olmayabilir, ancak temel bir kontrol için yardımcı olur. Farklı türde denetim araçları, MythX, Echidna, Manticore, Oyente, SmartCheck, vb. gibi blockchain ve akıllı sözleşmelerdeki hataları belirlemeye yardımcı olur. 

Pentesting ve denetim hizmetlerini üstlenmek: Son olarak, akıllı sözleşmeleri denetlemek asla küçümsenemez. Dakika boşlukları, bilgisayar korsanlarının sözleşmelere izinsiz girme ve sözleşmeleri bozmanın bir yolunu bulmalarına yardımcı olur.

Güvenlik denetimleri ve periyodik sızma testleri, projeyi kapsamlı bir şekilde analiz eder ve bilgisayar korsanları için en ufak olasılıkları bile ortadan kaldırır. Güvenlik sağlamada denetim ve pentest hizmetlerinin daha büyük önem taşıdığını bildiğimize göre, nasıl yapıldığını adım adım anlayalım. 

Akıllı Sözleşmelerin Sağlanmasında Denetimin Rolü

Denetim, otomatik testten manuel incelemeye kadar bir dizi adımı içerir ve kodlamanın tüm yönlerini geniş bir şekilde kapsar ve kodda bulunan zayıf noktaları kontrol eder. Solana denetim sürecinde kapsanan özelliklerden bazıları;

• İşlevsellik kontrolleri
• Sözleşmenin dondurulması
• Jeton arzı manipülasyonu
• Kullanıcı bakiyesi manipülasyonu
• Kill-switch mekanizması
• Operasyon denemeleri ve olay oluşturma vb.

Solana Akıllı Sözleşmeyi Denetlemek için QuillAudits Tarafından İzlenen Adımlar

Solana akıllı sözleşmelerinin denetimi azami özenle yapılır ve denetimden elde edilen tüm analizlerle birlikte ayrıntılı bir denetim raporu sunulur. Adım adım iş akışı aşağıda verilmiştir. 

Adım 1- Detayları Toplama

Projenin fikri ve amaçlanan amacı, kodu ve işleyişini anlamak ve tam bilgi edinmek için müşteriden toplanır ve incelenir. Tartışmalar bittiğinde denetçiler, denetim sürecinin bir sonraki adımına geçmek için kodu dondururlar.

Adım 2- Manuel test

Deneyimli kurum içi denetçilerimiz, koddaki karmaşıklıkları ve güvenlik açığı endişelerini kontrol eder. Matematiksel hatalara, mantıksal sorunlara vb. bakmayı içerir.

Adım 3- İşlevsellik testi 

Bu süreç, sözleşmelerin farklı koşullar altında test edilmesini ve Solana akıllı sözleşmeleri tarafından alınan verilerin doğrulanmasını içerir. Akıllı sözleşme, amaçlanan eylemlerin doğru bir şekilde gerçekleştirildiğinden emin olmak için test edilir.

Adım 4- En son saldırı vektörleri üzerinde test etme

Son saldırılar incelenir ve saldırılara karşı tam direnç sunduklarından emin olmak için akıllı sözleşmeler üzerinde testler yapılır. Piyasa manipülasyonu, LP fiyatlandırması, önden çalışan vektörler vb. gibi saldırıların kontrol edilmesini içerir. 

Adım 5- Otomatik takım testi

Soteria, kargo-Clippy, kargo-denetim ve Solana akıllı sözleşme denetimi için özel araçlar gibi araçlar, herhangi bir hatayı aramak için uygulanmaktadır. gibi teknikleri de uyguluyoruz. tüylenme mümkün olduğunca gerçek dünyadaki saldırı vektörlerini ifade edebildiğimizden emin olmak için.

Adım 6- İlk denetim raporu

İlk denetim raporu, sözleşmedeki hataları sunar ve ardından bunları çözmek için geliştirici ekibine göndeririz. 

Adım 7- Nihai denetim raporu

Rapor, geliştirme ekibi tarafından yapılan düzeltmeler için test edilir ve ardından nihai denetim raporu sunulur. 

Son düşünceler, 

ihtiyacının vurgulanması Solana akıllı sözleşme denetim hizmetleri akla gelebilecek kusurları ve teknik aksilikleri çözmek, onları bilgisayar korsanlarından korumak için bundan açıkça anlaşılmaktadır.

Ve bahsetmeden, QuillDenetimleri denetim hizmetlerini üstlenmek ve garantili sonuçlar sunmak için tüm gelişmiş araç ve tekniklerle donanmış uzmanlığa sahip olmak. Sadece bir tık uzakta olduğumuz için başka bir yerde aramanıza gerek yok.

FAQs

Solana akıllı sözleşme kodlama dili nedir?

Solana akıllı sözleşmesi, Solana'ya özgü mekanizmaları içeren program ile Rust programlama dili kullanılarak yazılmıştır. 

Solana, Ethereum'dan daha mı hızlı?

Kesinlikle Evet, Solana saniyede 70,000'e kadar işlem gerçekleştirebilir ve Ethereum sadece 30 işlem gerçekleştirebilir. Ayrıca Solana'nın blok süresi bir saniye, Ethereum ise 15 saniyedir.

Solana akıllı sözleşmelerinin karşılaştığı başlıca zorluklar nelerdir?

Solana akıllı sözleşmesinin karşılaştığı genel sorunlar arasında eski bağımlılıklar, fazlalık/tekrarlanan kod, pas kodunda başlatılmamış bellek vb. bulunur. 

Solana akıllı sözleşmelerini nasıl denetlersiniz?

QuillAudits, pas kodlama dışında içe aktarılan akıllı sözleşmelerin ve kitaplıkların bileşenlerinin derinlemesine bir incelemesini gerçekleştirir. Manuel kod incelemesi yapıyoruz ve programın girişlerini Fuzzing aracılığıyla doğrulamak için kapsamlı bir tarama yapıyoruz. 

Akıllı sözleşme denetiminin önemi nedir?

Blockchain, bilgisayar korsanları da dahil olmak üzere milyarlarca kişinin dikkatini çekiyor. Kısacası, olası güvenlik açıklarını önlemek ve projenin güvenilirliğini sağlamak için denetim çok önemlidir. 

156 Görünümler