Безпека блокчейну: як зрозуміти аудит блокчейну, щоб залишатися в безпеці в DeFi

Минулий рік був досить темним часом для криптовалюти. Ми не лише спостерігали катастрофічний крах Luna, занепад 3 Arrows Capital, неплатоспроможність і банкрутство з BlockFi, Celsius, Voyager, VAULD тощо, макроекономічні умови, які занурили нас у глибину криптозими, але й це був надзвичайно катастрофічний рік для хаків і експлойтів блокчейну та DeFi, у результаті чого люди втікали від DeFi швидше, ніж плавці, які рятувалися від води, заповненої акулами.

Тепер ви, мабуть, думаєте про себе, «Вау, дякую за депресивний вступ. Крипто звучить як мінне поле!»

І тут ви не помилилися, криптовалюта, безумовно, має справедливу частку ризиків. Але перш ніж дозволити всій цій приреченості й мороку змусити вас назавжди відмовитися від криптовалюти та сховатися під ліжком, не бійтеся, адже ця стаття допоможе навчити вас як найбезпечніше орієнтуватися у водах DeFi і покаже вам, що ви потрібно знати про аудит безпеки блокчейну.

Хоча це не допоможе захистити від усіх ризиків у криптовалюті, неможливо захистити тих, хто вирішить «YOLO» свої заощадження в наступний мемкойн, інформація в цій статті принаймні допоможе вам отримати ще одну стрілу в сагайдаку. які ви можете розгорнути, щоб значно покращити загальну безпечну навігацію простором DeFi.

Просто щоб розвіяти деякі страхи на ранній стадії, не переживайте, що ця стаття буде надто технічною. Цей корисний посібник буде настільки простим для розуміння, що його зможе зрозуміти навіть мій тато, який називає всю криптоіндустрію «цим біткойном».

І оскільки я приблизно так само добре розбираюся в навичках розробки блокчейну, як камінь у стрижці волосся, я вирішив отримати професійну допомогу та інсайдерську пораду для цієї статті. Я звернувся до наших друзів за адресою Ackee Blockchain щоб допомогти навчити себе та пересічного Джо, чому ці блокчейн-аудити.

Я хочу подякувати команді Ackee за те, що вони знайшли час, щоб допомогти нам і нашій спільноті, навчивши нас основам аудиту блокчейну, а також за співпрацю з нами над цією статтею. Звіти про аудит блокчейну та DeFi є надзвичайно важливим аспектом криптовалюти, і мало хто з нас справді розуміє це.

Виконуючи належну перевірку безпеки та захисту протоколу DApp або DeFi, багато хто з нас шукатиме щось, що говорить про перевірку платформи, і може подумати: «Добре, достатньо». Я знаю, що був винен у цьому в минулому, але що насправді означає бути перевіреним? Як ми можемо це перевірити? І як ви дізнаєтеся з цієї статті, лише тому, що щось було перевірено, це не означає, що воно має автоматично отримати зелене світло.

Для початку давайте розглянемо, чим насправді займаються аудиторські компанії блокчейну.

Чим займаються аудиторські компанії блокчейну?

Коли ми чуємо термін «аудит», багато хто з нас автоматично уявляють задушливого старого чувака в костюмі, який працює на уряд, який збирається постукати й переглянути всі наші фінансові та банківські виписки гребінцем із дрібними зубами. У традиційній фінансовій індустрії ви маєте рацію, але аудитори блокчейну не можуть бути далі від цього.

Аудитори блокчейну не є бухгалтерами за будь-якої міри уяви, вони є експертами з програмування та навичок розробника, які шукають помилки, помилки та шкідливий код у вихідному коді проекту блокчейну, смарт-контракту чи криптотокена.

Різні аудиторські компанії також можуть спеціалізуватися в різних сферах, тому завжди приємно бачити платформу, яка пройшла аудит більш ніж однієї компанії. Кожен проведений аудит зменшує ризик, і одна компанія може виявити щось, що упустила інша компанія.

1inch є чудовим прикладом цього. 1inch — це агрегатор DEX, перевірений кількома різними компаніями, що підвищує довіру користувачів до платформи та підкреслює, що команда 1inch рішуче прагне забезпечити безпеку своєї спільноти.

Аудиторські компанії блокчейну матимуть команду інженерів, які можуть виконувати такі завдання, як:

• аудит безпеки
• Аналіз інструментів
• Огляд коду вручну
• Виконуйте та пишіть автоматизовані тести
• Проводьте конкурси баунті

У той час як інші аудиторські компанії, такі як Ackee Blockchain, також можуть задовольнити вимоги щодо «повного обслуговування» та допомогти в додаткових сферах, таких як:

• Створення безпечних смарт-контрактів на Solidity або Rust
• Допомога в створенні повної екосистеми, обробці UX, дизайну, інтерфейсів, серверних інтерфейсів і DevOps

Ackee Blockchain також робить внесок у блокчейн-індустрію в цілому, що приємно бачити. Вони розробили інструменти безпеки з відкритим кодом, якими може користуватися будь-хто, і вони захоплені навчанням і наданням можливостей для початківців розробників блокчейну. У минулому вони проводили онлайн-курси для розробників, які хочуть працювати в блокчейні, і навіть отримали грант від Solana Foundation на проведення літня школа для Солани.

Команда пропонує літні онлайн-школи, де вони викладають Solidity, і восени 2022 року генеральний директор і співзасновник Ackee Blockchain Йозеф Гаттермаєр, доктор філософії. викладатиме теми щодо розробки блокчейну на Чеський технічний університет у Празі. Безумовно, варто звернутися до команди Ackee, реєстрація на курси на їхньому сайті та слідкуйте за ними, якщо вас цікавить майбутнє розробки та безпеки блокчейну.

Як ви бачите, аудит блокчейну може бути більшим, ніж просто ботаніком у темній кімнаті та переглядом коду, у цій ніші інкапсульована ціла екосистема.

Чому аудит блокчейну важливий?

Якби люди були досконалими, не було б потреби в аудиторських компаніях блокчейну, оскільки кожен рядок коду був би написаний бездоганно та абсолютно непроникним до експлойтів, збоїв і атак.

Що ще гірше, ніж люди роблять помилки, це те, що люди можуть бути корумпованими та злими. Досить часто трапляється, що зловмисники навмисно вводять шкідливий код у свій протокол, який дозволить їм використовувати створену ними платформу для викрадення коштів користувачів.

Незалежно від людської помилки та зловмисного наміру, смарт-контракти та додатки блокчейну/DApps чутливі до таких ризиків:

• Атаки на відмову в обслуговуванні, які роблять протокол непридатним для використання.
• Витягування/крадіжка заднього ходу, коли засновники вводять шкідливий код, який дозволяє їм виводити кошти, розміщені в смарт-контракті.
• Використання коду в спосіб, який приносить користь хакерам і завдає шкоди користувачам, як-от карбування нових токенів не запланованими методами або виведення коштів клієнтів із смарт-контрактів.
• Деякі хакери просто хочуть «спостерігати, як горить світ» і використовуватимуть будь-яку помилку, яку знайдуть, щоб пошкодити платформу.

Багато користувачів DeFi вважають, що однією з найважливіших речей, на яку слід звернути увагу на платформі DeFi, є те, чи є код відкритим кодом. Це чудовий перший крок, оскільки багато проектів публікуватимуть код на загальнодоступному сайті, як-от Github, де будь-хто зможе зайти та перевірити/перевірити код самостійно.

Переглядаючи сторінку проекту на GitHub, це часто одна з речей, які шукають користувачі, які розглядають можливість використання DApp, знову використовуючи 1inch як приклад:

Це хороший початковий підхід під час перевірки автентичності протоколу, оскільки це місце, де члени спільноти або будь-хто може зайти та переконатися, що там не приховано шкідливий код.

Також корисно знати, що кожен може публікувати будь-що на GitHub. Код, опублікований на GitHub, не підтверджує автоматично, що це той самий код, який виконує смарт-контракт. На щастя, користувачі можуть перевірити це, зайшовши в провідник блоків, як-от Etherscan, і перевіривши, чи дійсно код у GitHub розгорнуто та використовується. Ось 1-дюймовий токен в Etherscan, наприклад. Я схильний погоджуватися з думкою, що публікація з відкритим вихідним кодом на GitHub є хорошим знаком, але для мене, коли я натискаю на GitHub, щоб подивитися, все, що я бачу:

Тож замість того, щоб мій мозок смажився, як яйце на розпеченому тротуарі, намагаючись зрозуміти це, мені подобається бачити, що команда професіоналів з аудиторської компанії блокчейну проаналізувала все це й позитивно оцінила це.

Важливо прояснити одну річ, а саме те, що той факт, що протокол перевірено, не означає, що він на 100% безпечний. Жоден код не можна вважати абсолютно непроникним для спроб злому, оскільки інструменти та навички хакерів постійно вдосконалюються. Подібно до того, як «білі капелюхи» (хороші) хакери та розробники блокчейнів стають кращими та постійно розвиваються, так само й погані хлопці.

Ви можете думати про це як про гру в кішки-мишки, написання коду, по суті, схоже на створення творчої головоломки та вирішення проблем, і хакери шукають способи вирішити або атакувати головоломку все більш розумними та витонченими способами, тому завжди залишаються елементом ризику.

Чому 2022 рік був особливо поганим для криптоексплойтів

Коли ми бачимо такі заголовки:

Це може бути дуже неприємно. Криптоіндустрія зазнала серйозного підбитого ока, оскільки щотижня з’являється черговий масовий злом або експлойт, що призводить до втрати мільйонів мільйонів.

Це не тільки сумно, оскільки це звичайні люди, які втрачають свої гроші, але й викликає занепокоєння, оскільки ці атаки піддають всю криптоіндустрію дедалі жорсткішій критиці, уповільнюють впровадження, утримують інвесторів подалі та дають урядам виправдання, необхідні для посилення свого авторитету. контроль, щоб «захистити» інвесторів, часто вводячи драконівські заходи, від яких багато хто з нас звернулися до криптовалюти, щоб уникнути.

Основна причина цього зводиться до неакуратної розробки розробників.

Коли я зустрівся з Йозефом з Ackee, я запитав його думку про те, чому була рекордна кількість експлойтів, його пояснення мало сенс.

Жорстко перефразовуючи, Йозеф продовжив пояснювати мені, що криптоіндустрія швидко розвивається, і існує запекла гонка команд за випуск своїх продуктів. Не вистачає кваліфікованих і досвідчених розробників блокчейнів, здатних задовольнити попит, в результаті чого багато проектів наймають розробників-початківців і мають «досить хороше» ставлення, запускаючи DApps без належних перевірок і аудитів.

Йозеф також пояснив, що потреба в послугах аудиту блокчейну стрімко зростає, а аудиторських компаній блокчейну недостатньо, щоб задовольнити попит проектів. Це призвело до того, що команди проекту не бажають чекати, поки з’явиться команда аудиту, тому вони запускають або випускають оновлення або без аудиту, або покладаючись на застарілий аудит, який не охоплює нова версія або ітерація платформи.

Ця тема була особливо присутня під час зростання 2021 року, але тепер, коли ми перебуваємо на ведмежому ринку, все набагато спокійніше. Проекти не дуже поспішають із запуском, і є менше проектів у вузьких місцях аудиту. Це правда, що ведмежі ринки - це час для будівництва, і команди, як правило, застосовують більш старанний підхід у повільніші ринкові періоди.

Ми розглянули дві конкретні успішні атаки, які відбулися, щоб дослідити, що саме сталося, і допомогти розглянути все це в перспективі.

Злом Ethereum DAO 2016 року

По суті, те, що тут сталося, було чимось відомим як помилка повторного входу. Простіше кажучи, код виконує дві інструкції:

1. Вивести
2. Оновити баланс

Якщо виконувати в хронологічному порядку, це працює як слід. Але оскільки Ethereum є розподіленою системою (на відміну від програм web2), контракт можна викликати з іншого контракту, який дає можливість реалізувати спеціальну функцію зворотного виклику, яка викликається з інструкції зняття.

І ця функція зворотного виклику, реалізована хакером, викликає контракт знову, а потім знову кілька разів, перш ніж нарешті буде виконано інструкцію оновлення балансу. Це дозволяє зловмиснику відійти кілька разів.

Це часта помилка початківців web3-розробників. Навіть через 5 років після цієї атаки проблема все ще виникає через те, що розробники не знайшли часу, щоб вивчити цей випадок. Рішення в цьому випадку досить просте, і це просто розмістити ці два рядки коду в протилежному порядку. Спочатку оновлення, потім відкликання.

Аудитори шукають такі відомі проблеми під час аудиту протоколу.

Solana Wormhole Attack 2022

2022 рік почався невдало: на початку лютого на Солану сталася перша велика атака. Зловмисник обійшов перевірку підпису в програмі Rust, тому здавалося, що опікуни підписали депозит у 120 тис. ETH у Wormhole на Solana, хоча вони цього не зробили. Потім зловмисник карбував Загорнутий ETH на суму 120 тисяч на Solana.

До цієї атаки через червоточину багато хто в криптоспільноті вважав, що розробці Solana та Rust було надто важко навчитися, щоб залучити розробників-аматорів. Це призвело до переконання, що лише найкращі розробники працювали над Solana, а це означає, що не було такої потреби в перевірках. Після цієї атаки Йозеф зазначив, що він і його команда помітили значне збільшення запитів на аудит для DApps і протоколів Solana.

Після всього цього ви можете подумати, що якщо люди є джерелом помилок і зловмисних намірів, чи не було б сенсу просто мати комп’ютери та машини зі штучним інтелектом, які навряд чи будуть робити помилки та нездатні до зловмисних намірів, просто напишіть увесь цей код для нас?

Це чудове запитання, і через статті, подібні до наведеної вище, це теж спало мені на думку. Ми розглянемо це в наступному розділі.

Майбутнє безпеки блокчейну

Очевидно, що ми рухаємося до майбутнього, де багато наших робочих місць буде передано комп’ютерам і програмам ШІ, які можуть виконувати роботу людей набагато краще, ніж ми.

Ми вже бачимо це з автоматизованими касирами та заводами з виробництва автомобілів, на яких більше роботів, ніж людей. Комп’ютери навіть займають такі вузькоспеціалізовані роботи, як лікарі та фармацевти, оскільки робот може точніше працювати зі скальпелем, а комп’ютерна програма може прошукати всю базу даних ліків і за секунди заповнювати звіти про те, які ліки можна, а які не можна змішувати з іншими хімічними речовинами та ліки, завдання, непосильне для людини.

Я точно думав, що програмування та розробка будуть однією з перших професій, яку замінять комп’ютери. Якщо всі літери та цифри на екрані побудовані таким чином, щоб виконувати певні завдання, то, безперечно, комп’ютер міг би зробити це краще, ніж людина, з меншою кількістю помилок, чи не так?

Я думав, що аудиторські компанії блокчейну підуть шляхом птаха Додо (вимерлого), оскільки, як тільки комп’ютери почнуть розвиватися автономно, помилок не буде знаходити. Це підкреслило, як мало я знав про розробку, оскільки команда Ackee пояснювала деякі концепції, які я не оцінив.

Значна частина розробки блокчейну полягає у вирішенні проблем і огляді проблеми на 360 градусів. Це вимагає великої кількості креативності та «нестандартного» мислення, на що комп’ютери не здатні. Це не так просто, як «коли трапляється «X», виконайте «Y».

Нам також потрібно враховувати, що багато з цих DApps і програм намагаються вирішити «людські» проблеми та те, як ми взаємодіємо з системами, протоколами та процедурами. Вибачте, маленький Butter Bot, але ви не пристосовані для розуміння людських проблем і надання людських рішень.

Мало того, що кількість вакансій у розробці блокчейнів і безпеці стрімко зростає, але, схоже, потреба в цих посадах буде ще багато років.

Це не означає, що в просторі розробки web3 немає автоматизації. Існує багато безкоштовних інструментів для розробників, які надають їм певний зворотний зв’язок щодо безпеки та допомагають розвантажити частину роботи, щоб розробники могли зосередитися на інших завданнях.

Наприклад, на Ethereum є хороший статичний аналізатор коду під назвою Slither який дуже популярний, і Ackee Blockchain працює над власним відкритим статичним аналізатором під назвою Прокинувся, який виявляє речі інакше, ніж Slither, зменшуючи тягар необхідності аналізувати код вручну.

Команда Ackee також виявила тенденцію на Solana щодо проблеми з тестами. Розробники писали недостатньо їх, оскільки це досить трудомістке, і потрібно писати багато шаблонного коду. Отже, Ackee Blockchain очолила проект, у якому вони написали платформу тестування з відкритим кодом для Solana під назвою Трдельник що дозволить розробникам легше писати тести. Команда отримала почесну відзнаку та виграла приз «Маринад» під час Hackathon у Празі для Трдельника.

Все це показує нам, що ймовірно автоматизація та комп’ютери відіграватимуть дедалі важливішу роль у допомозі розробникам блокчейнів та аудиторам безпеки, але навряд чи замінять їх найближчим часом.

Загальні настрої серед розробників блокчейнів такі, що багато з цих хаків і експлойтів є результатом того, що ця галузь все ще є молодою та недосвідченою. У міру того як індустрія блокчейнів продовжує розвиватися та розвиватися, експлойтів повинно бути все менше, в результаті чого загальний криптопростір стане більш безпечним і зручним для користувачів.

Гаразд, а тепер перейдемо до хороших речей, головного висновку цієї статті.

Як перевірити, чи платформа пройшла аудит

Найперший крок — переконатися, що перевірку можна знайти. Їх можна знайти в репозиторії GitHub проекту, і будь-які проведені аудити мають бути чітко зазначені в документах проекту або на веб-сайті самої платформи. Якщо ви не знайдете жодної згадки про аудит, я б тримався подалі.

Відсутність загальнодоступного аудиту, ймовірно, означає, що:

• Аудит не проводився
• Відбувся невдалий аудит, про який проект не хоче, щоб його розголошували
• Аудит виявив проблеми, які команда не вирішила
• Код містить шкідливі бекдори, які можуть призвести до крадіжки

Як згадувалося раніше, також приємно бачити, що код є відкритим, оскільки його позначено як «загальнодоступний» на GitHub. Це не обов’язкова вимога, але все одно бонус. Однак є причини відмовитися від відкритого вихідного коду, тому це не завжди порушує угоду. Причинами відмови від відкритого коду можуть бути такі речі, як:

• Компанії, які бажають зберегти конкурентну перевагу. Як тільки компанія відкриває вихідний код свого коду, будь-хто може створити той самий протокол і конкурувати. Ось чому Coca-Cola тримає свій рецепт у таємниці, а KFC має свої «Надсекретні 11 трав і спецій».
• Коли код стає загальнодоступним, хакери можуть використовувати інформацію для пошуку експлойтів. Хоча хороша практика робить навпаки, якщо проект впевнений у своєму коді, вони опублікують його.
• Ранні проекти можуть не захотіти відкривати свій код одразу, доки вони не створять велику спільноту та достатню кількість користувачів, створюючи перешкоду для потенційних конкурентів.

Нещодавно я зустрівся з командою проекту, яка пожалкувала про те, що відразу ж відкрила вихідний код своєї платформи, оскільки конкуруюча компанія просто скопіювала їхній код і бізнес-модель і мала більше коштів, щоб платити впливовим особам і підписникам. Це створило враження, що конкуруюча фірма була кращою платформою з моменту запуску, оскільки вона справляла враження про більше користувачів і більшу кількість прихильників. Зараз компанія-конкурент значно випереджає першу команду засновників, яка вирішила розвиватися більш органічно та етично.

Ось чудовий візуал від Міст Глобал який узагальнює деякі загальні відмінності між програмним забезпеченням із відкритим і закритим кодами:

Порівнюючи популярні апаратні гаманці, можна знайти два цікаві підходи до відкритого та закритого вихідного коду сейф та Гросбух. Trezor вирішив опублікувати 100% свого вихідного коду для громадськості, щоб будь-хто міг його перевірити, тоді як Ledger вирішив розіграти свої карти ближче до своїх грудей і відкрити певний код, але залишити свою мікропрограму закритою.

Це призвело до того, що багато блокчейн-елітаристів вибрали Trezor замість Ledger, оскільки вони вважали, що Ledger повинен відкрити вихідний код для їх коду, дивуючись, що вони намагаються приховати. Особисто я не бачу в цьому приводу для занепокоєння, оскільки Ledger довів свою історію та відданість простору, і став одним із найбільших постачальників апаратних гаманців у світі, створивши одні з найвищого класу захищених сховищ крипто. пристроїв.

Після того, як перевірка була проведена та знайдена, за умови, що вона була оприлюднена, будь-хто може відкрити документ і знайти результати перевірки. Замість того, щоб прокручувати весь документ аудиту, все, що нам потрібно шукати, це сторінка «Резюме», яка часто виглядає приблизно так:

Ця сторінка буде розташована на самому початку або в кінці звіту. Це сторінка, яка показує результати аудиту в простому форматі, зрозумілому звичайній людині. Давайте розберемося, яку інформацію нам це показує.

Аудит нещодавно? Аудити мають бути безперервними послугами, і неодмінно слід проводити новий аудит для КОЖНОГО оновлення, версії чи нової функції/функції. Якщо була запущена нова функція або версія, попередні результати аудиту більше не дійсні, оскільки кодова база, ймовірно, змінилася.

Це можна перевірити, переглянувши версію проекту та/або хеш коміту. Версія щось на зразок коли див Відключення «V2» (версія 2), а хеш фіксації ідентифікує версію в сховищі вихідного коду. Переглядаючи хеш версії або коміту, показаний під час аудиту, який можна побачити на зображенні вище в таблиці із заголовком «репозиторій», користувачі можуть перевірити, чи він збігається з хешем версії або коміту, показаним у GitHub.

Це буде виглядати приблизно так:

Ось ще один погляд одного з аудитів Ackee Blockchain:

Хоча якщо хеш коміту не збігається, це не обов’язково означає, що є червоний прапорець. Хеш фіксації на GitHub проекту змінюватиметься щоразу, коли буде зроблено нове коригування чи повторення. Кожне коригування змінюватиме хеш фіксації, і це не повинно викликати занепокоєння, якщо було лише незначне коригування.

Якщо ви не бачите хеш фіксації з аудиту на головній сторінці GitHub, ви можете перейти в «Історію фіксації» та знайти хеш фіксації та на власні очі побачити, скільки змінилося з часу проведення аудиту.

Це можна зробити, натиснувши тут:

Потім виконайте пошук тут:

Оскільки новий хеш коміту заповнюється для кожної зміни, кожна з датою та міткою часу, якщо була значна кількість нових комітів між часом проведення аудиту та хешем коміту, на якому зараз знаходиться проект, ви можете бажаєте почекати, доки буде проведено інший аудит, перш ніж брати участь.

Якщо у вас є аналітичний погляд і ви хочете зануритися глибше, ви можете натиснути кожен новий хеш коміту та порівняти старий код, показаний червоним, із новим кодом, показаним зеленим, і переконатися, що саме змінилося:

Якщо ви помітили новий хеш фіксації, який відрізняється від часу проведення аудиту, і побачите щось на зразок цього:

Це одна з тих незначних змін, про які я згадав, і хоча вона заповнила новий хеш коміту, це не викликає занепокоєння, оскільки це було просте перейменування файлу. Зображення GitHub вище показує 0 додавання та 0 видалень.

Тепер перейдемо до наступного, на що слід звернути увагу в Резюме:

Проблеми – Резюме показує всі проблеми, які були виявлені під час аудиту, і, що більш важливо, чи команда вирішила проблеми. Цей розділ можна побачити внизу, де показано «Загальна кількість проблем», а потім переходить до розбиття їх на серйозність і те, чи були вони вирішені. Аудиторська компанія спочатку визначає проблеми, позначає їх команді розробників, а потім знову перевіряє код, коли розробники вирішать проблеми, перш ніж команда аудиторів позначить проблему як «вирішену».

Зрозуміло, що будь-які проблеми, позначені як «Критичні» або «Високий ризик», повинні бути вирішені. Навіть якщо звіт показує, що всі критичні або ризиковані проблеми вирішено, це все одно слід відзначити з певним скептицизмом щодо проекту. Якщо аудиторська група спочатку виявила велику кількість критичних проблем, це може підкреслити, що команда розробників, яка стоїть за проектом, може бути досить новачком, що призведе до подальших і додаткових проблем.

Проблеми середнього або низького ризику є поширеними і зазвичай не викликають занепокоєння. Аудиторська група може навіть позначити щось як проблему з низьким рівнем ризику, якщо вони просто пропонують альтернативу або мають різну точку зору щодо того, як підійти до чогось.

Ось короткий виклад значення кожної з категорій:

Критичний – Все, що позначено як критичне, означає, що щось зараз можна використовувати.

Команда Ackee Blockchain розповіла мені історію про аудит, який вони проводили, під час якого виявили критичну проблему в протоколі, який уже було запущено. Вони розбудили команду розробників проекту о 5 ранку в надзвичайній ситуації «всі готові», щоб якомога швидше відремонтувати код. На щастя, вони вчасно виявили проблему, перш ніж хакери змогли виявити вразливість.

Висока важкість – Проблеми, які зараз не можна використовувати, але можуть бути, якщо виконати певні послідовності.

Від середнього до низького – Це часто необхідні незначні налаштування або рекомендації, не обов’язково загрози безпеці.

Різні аудиторські компанії також складатимуть резюме в різних форматах. Наведене вище резюме було підготовлено аудиторською фірмою Quantstamp. Ackee Blockchain надає PDF-файл із результатами аудиту та веб-резюме, яке поєднує початкові та наступні результати у більш схожому на есе форматі, який легше читати. Ви можете знайти приклад цього в них Резюме аудиту.

Додаткові речі, на які варто звернути увагу:

• Чи було проведено аудит більш ніж однією компанією? Чим більше очей шукає проблеми, тим менше шансів на наявність недоліків у коді.
• Чи є аудиторська компанія блокчейну професійною та шанованою в суспільстві? Якщо ви ніколи раніше не чули про аудиторську компанію, загляньте на її веб-сайт і знайдіть інші проекти, над якими вони працювали. Чи є будь-яка з платформ, перевірених ними, авторитетною? Перевірте, чи була якась із платформ використана після того, як компанія провела аудит, це може підкреслити послужний список поганих навичок аудиту. Шукайте такі речі, як виграні хакатони та підтримку/гранти від мережевих фондів рівня 1.

Хорошим прикладом цього є Ackee Blockchain, який отримав офіційні гранти на розвиток/спільноту від чотирьох ключових фондів: Coinbase Giving, Ethereum Foundation, Solana Foundation і Tezos Foundation.

Якщо ви є людиною, яка, зрозуміло, стала недовірливою в цю епоху дезінформації, якщо ви бачите заяву, подібну до зображення вище, взяту з веб-сайту Ackee Blockchain, замість того, щоб вірити їм на слово, ви завжди можете перейти на веб-сайти фондів згадані та перевірте твердження самостійно.

Причина, по якій я це говорю, полягає в тому, що за роки мого написання оглядів кількість веб-сайтів, які стверджують, що вони «публікуються у Forbes або Yahoo Finance», хоча вони ніколи не були, є надзвичайною. Мені б хотілося, щоб була якась форма інтернет-поліції, яка могла б відправляти компанії до інтернет-в’язниці за такі брехливі та оманливі заяви. Тому в криптографії існує вислів «не довіряй, перевіряй». Не хвилюйтеся, Ackee перевіряє і насправді йому довіряють вищезгадані фонди, я перевірив 😉

Заключні думки

Ну ось і маєте. Деяка інформація про безпеку блокчейну, яка, сподіваюся, була вам корисною. Сподіваюся, ця стаття допоможе вам почуватись впевненіше, вирушаючи у світ криптовалюти з додатковим шаром броні та маючи можливість переміщатися у криптоводах безпечніше, ніж раніше. Я знаю, що буду старанно перевіряти цю інформацію наступного разу, коли вибираю, яким DApps і протоколам я вирішу довірити свої криптоактиви.

Як говориться, «у криптовалюті головне не те, скільки ви заробляєте, а те, скільки ви зберігаєте», оскільки, на жаль, багато хто з нас, старих ветеранів криптовалюти, втратили більше, ніж наша чесна частка сатоші через безліч хаків, шахрайства, махінації, банкрутства тощо. Чим більше ми маємо знань, тим краще ми можемо захистити себе від багатьох суворих ризиків, які існують у цьому новому та починаючому дивовижному світі криптовалют.

Застереження: це думки письменника, і їх не слід вважати інвестиційними порадами. Читачі повинні проводити власні дослідження.