Як аудитори виявляють шахрайство DeFi Rug Pull: чи можете ви зробити це самостійно?

У 2022 році хакери вкрали більше криптовалюти з платформ децентралізованого фінансування (DeFi), ніж будь-коли раніше. Майже 98% усіх токенів, запущених на флагманській платформі DeFi DEX Uniswap, були ідентифіковані як махрові.

Останній, Defrost Finance, прийшов як різдвяний кошмар для криптоінвесторів, знищивши 12 мільйонів доларів їхніх грошей. 

Більшість зломів на платформах DeFi відбуваються через порушення безпеки та використання коду. Проекти, які закінчуються шахрайством, мають серйозні проблеми з безпекою, які були пропущені або, можливо, навмисно непомічені. Щоб запобігти подібним ризикам, перевірки безпеки DeFi мають вирішальне значення.

Тут ми дізнаємося більше про ці аудити, як вони проводяться та чи можна провести аудит DeFi самостійно. 

Проекти DeFi реалізуються як складні, самовиконувані смарт-контракти, часто прозорі та з відкритим кодом. Вони діють як юридичні угоди між двома сторонами. А оскільки за ними не стоїть жодна централізована організація, навіть невелика помилка в смарт-контрактах може призвести до незворотних наслідків.

Це означає, що в смарт-контрактах не повинно бути місця для помилок. Аудити безпеки смарт-контрактів DeFi покликані переконатися в цьому.

Аудити безпеки перевіряють код смарт-контрактів і те, як він обґрунтовує положення та умови контрактів. Детальний аналіз шукає потенційні недоліки безпеки, порушення та системні помилки в коді, тому його не можна використати. 

Аудити безпеки, які зазвичай проводять треті сторони, життєво важливі для забезпечення безпеки та довіри до проектів і підтримки здорової екосистеми DeFi.

Підтягнення килимка — це тип шахрайства, який працює за простою моделлю: розробники створюють законний протокол DeFi, запускають і просувають його, доки проект не залучить достатньо ліквідних коштів, потім забирають кошти та зникають. 

Ну, не завжди. Іноді шахраї звинувачують хакерів у крадіжці ліквідності та залишаються в бізнесі до наступного разу.

Для здійснення атаки шахраї вбудовують у смарт-контракти шкідливий код. Вони змінюють їх, щоб запобігти продажу інвесторам: встановлюють максимальну (100%) комісію за продаж, додають власників токенів у чорний список і закріплюють гроші користувачів у контракті.

Деякі смарт-контракти передбачають кодування шкідливого «чорного ходу», що дозволяє розробникам вилучати ліквідність.  

Здебільшого модифіковані смарт-контракти не перевіряються аудиторами безпеки та приховані від очей громадськості. Оскільки більшість онлайн-контрактів є загальнодоступними, недостатня прозорість GitHub може бути червоним прапором. 

Індустрія блокчейну та смарт-контрактів все ще відносно молода, як і сектор аудиту смарт-контрактів. Численні фірми спеціалізуються на аудиті безпеки смарт-контрактів, розробляють свої інструменти та формують ноу-хау. 

Галузеві стандарти безпеки смарт-контрактів і найкращі практики розвиваються. Незважаючи на це, гравці індустрії аудиту DeFi використовують досить стандартні методи аудиту.

Зазвичай їх дослідження починаються з оцінки смарт-контракту. Аудитор аналізує технічну документацію, бізнес-логіку та технічну специфікацію протоколу DeFi, щоб оцінити потенційні ризики та функції безпеки.

Потім вони переключають увагу на код смарт-контракту. Саме тоді починається перевірка та аналіз коду. 

Аудитори перевіряють код рядок за рядком, шукаючи вразливості різного рівня: критичні, які можуть призвести до витоку ліквідності; середнього рівня, що може частково пошкодити смарт-контракт; і проблеми низького рівня, які найменше впливають на безпеку контракту.

Вони використовують ряд методів аудиту, включаючи автоматизований і ручний аналіз. Обидва мають свої плюси і мінуси.

Автоматичний аудит безпеки означає сканування коду за допомогою програмного забезпечення для автоматичного аналізу, яке шукає помилки в базі даних із відомими вразливими місцями та визначає їх точне розташування в коді.

Програмний аудит зазвичай проводиться перед ручним аналізом, щоб виявити помилки, які люди можуть не помітити. Він швидший і займає менше часу, але в той же час він не завжди може знати про контекст і, таким чином, пропустити певні вразливості. 

Аналіз коду вручну є головним у аудиті смарт-контрактів і є найважливішою частиною комплексного та точного аудиту безпеки смарт-коду. Він проводиться принаймні двома окремими експертами, які перевіряють код рядок за рядком.

Мета полягає в тому, щоб переконатися, що кожна деталь у специфікації проекту впроваджена в смарт-контракт і що ніщо не порушує його початково заплановану поведінку. 

Аудитори ретельно перевіряють код на ненавмисну, неочікувану поведінку, важливі проблеми безпеки та вразливості, такі як повторний вхід, маніпуляції з даними, флеш-позики та інші маніпуляції, які можуть бути реалізовані під час взаємодії смарт-контракту з іншими.

На додаток до цього, ручні аудити запускають симуляції, щоб оцінити, наскільки добре смарт-контракт проекту DeFi реагує на невідомі загрози та наскільки він здатний захищатися від них. 

У фінальній частині ручного аналізу коду аудитор порівнює логіку смарт-контракту з його описом у технічному документі проекту. 

Після виявлення та усунення всіх вразливостей аудитори запускають процес повторної перевірки, щоб переконатися, що смарт-код працює належним чином.

Нарешті, після завершення аудиту безпеки аудитори готують вичерпний звіт. Тут вони надають детальний відгук про те, що вони виявили. Зазвичай їхній звіт містить рекомендації щодо того, як можна виправити виявлені недоліки коду, щоб пом’якшити безпеку проекту. 

Смарт-контракти – відносно нова інновація. Відповідно до цього розвиваються їхні стандарти безпеки. Це означає, що жодне золоте правило не гарантує повної безпеки смарт-контракту.

Крім того, не всі аудиторські фірми, які займаються смарт-контрактами, однакові, і не всі аудити гарантують безпеку. Аудитори можуть мати різний рівень кваліфікації, різні цілі та різні витрати.

Не кажучи вже про те, що ринок сповнений неоднозначних розробників, які підробляють аудит і все ще отримують користь від імені поважної компанії. Це те, що сталося з Peckshield, компанією з блокчейн безпеки та аналізу даних, більше року тому.

Подібні ситуації досить поширені в криптовалютному просторі. Вони беруть ім’я законного та поважного аудитора і вносять його у свій офіційний документ, кажучи, що їхній протокол перевірено.

Єдиний спосіб уникнути подібних випадків — перевірити наявність підтвердження в оригінальних каналах аудитора. Якщо їх немає, є ймовірність, що ім’я аудитора було вкрадено. 

Завжди перевіряйте його клієнтське портфоліо, щоб оцінити, чи є аудитор надійним і авторитетним. Пошукайте випадки в Google, щоб перевірити їхні записи про досвід і перевірити, чи хтось із перевірених проектів не зазнав атак або інших атак.

Оскільки в криптопросторі так багато хаків і клопотів, наївно уявляти, що проекти DeFi безпечні, не розглядаючи їх детальніше. Аудит розумних контрактів забезпечує критичний рівень безпеки. 

Однак навіть найпрофесійніші з них не гарантують, що проект DeFi абсолютно вільний від помилок. Розумні контракти складні. Вони вимагають детального та всебічного аналізу, досвіду, інструментів і, що найважливіше, не однієї пари очей.