У 2022 році хакери вкрали більше криптовалюти з платформ децентралізованого фінансування (DeFi), ніж будь-коли раніше. Майже 98% усіх токенів, запущених на флагманській платформі DeFi DEX Uniswap, були ідентифіковані як махрові.
Останній, Defrost Finance, прийшов як різдвяний кошмар для криптоінвесторів, знищивши 12 мільйонів доларів їхніх грошей.
Більшість зломів на платформах DeFi відбуваються через порушення безпеки та використання коду. Проекти, які закінчуються шахрайством, мають серйозні проблеми з безпекою, які були пропущені або, можливо, навмисно непомічені. Щоб запобігти подібним ризикам, перевірки безпеки DeFi мають вирішальне значення.
Тут ми дізнаємося більше про ці аудити, як вони проводяться та чи можна провести аудит DeFi самостійно.
Що таке аудит безпеки DeFi?
Проекти DeFi реалізуються як складні, самовиконувані смарт-контракти, часто прозорі та з відкритим кодом. Вони діють як юридичні угоди між двома сторонами. А оскільки за ними не стоїть жодна централізована організація, навіть невелика помилка в смарт-контрактах може призвести до незворотних наслідків.
Це означає, що в смарт-контрактах не повинно бути місця для помилок. Аудити безпеки смарт-контрактів DeFi покликані переконатися в цьому.
Аудити безпеки перевіряють код смарт-контрактів і те, як він обґрунтовує положення та умови контрактів. Детальний аналіз шукає потенційні недоліки безпеки, порушення та системні помилки в коді, тому його не можна використати.
Аудити безпеки, які зазвичай проводять треті сторони, життєво важливі для забезпечення безпеки та довіри до проектів і підтримки здорової екосистеми DeFi.
Як шахраї використовують смарт-контракти для скидання килимка?
Підтягнення килимка — це тип шахрайства, який працює за простою моделлю: розробники створюють законний протокол DeFi, запускають і просувають його, доки проект не залучить достатньо ліквідних коштів, потім забирають кошти та зникають.
Ну, не завжди. Іноді шахраї звинувачують хакерів у крадіжці ліквідності та залишаються в бізнесі до наступного разу.
Для здійснення атаки шахраї вбудовують у смарт-контракти шкідливий код. Вони змінюють їх, щоб запобігти продажу інвесторам: встановлюють максимальну (100%) комісію за продаж, додають власників токенів у чорний список і закріплюють гроші користувачів у контракті.
Деякі смарт-контракти передбачають кодування шкідливого «чорного ходу», що дозволяє розробникам вилучати ліквідність.
Здебільшого модифіковані смарт-контракти не перевіряються аудиторами безпеки та приховані від очей громадськості. Оскільки більшість онлайн-контрактів є загальнодоступними, недостатня прозорість GitHub може бути червоним прапором.
Як перевірити, чи безпечний смарт-контракт DeFi
Індустрія блокчейну та смарт-контрактів все ще відносно молода, як і сектор аудиту смарт-контрактів. Численні фірми спеціалізуються на аудиті безпеки смарт-контрактів, розробляють свої інструменти та формують ноу-хау.
Галузеві стандарти безпеки смарт-контрактів і найкращі практики розвиваються. Незважаючи на це, гравці індустрії аудиту DeFi використовують досить стандартні методи аудиту.
Зазвичай їх дослідження починаються з оцінки смарт-контракту. Аудитор аналізує технічну документацію, бізнес-логіку та технічну специфікацію протоколу DeFi, щоб оцінити потенційні ризики та функції безпеки.
Потім вони переключають увагу на код смарт-контракту. Саме тоді починається перевірка та аналіз коду.
Аудитори перевіряють код рядок за рядком, шукаючи вразливості різного рівня: критичні, які можуть призвести до витоку ліквідності; середнього рівня, що може частково пошкодити смарт-контракт; і проблеми низького рівня, які найменше впливають на безпеку контракту.
Вони використовують ряд методів аудиту, включаючи автоматизований і ручний аналіз. Обидва мають свої плюси і мінуси.
Автоматичний аудит безпеки означає сканування коду за допомогою програмного забезпечення для автоматичного аналізу, яке шукає помилки в базі даних із відомими вразливими місцями та визначає їх точне розташування в коді.
Програмний аудит зазвичай проводиться перед ручним аналізом, щоб виявити помилки, які люди можуть не помітити. Він швидший і займає менше часу, але в той же час він не завжди може знати про контекст і, таким чином, пропустити певні вразливості.
Аналіз коду вручну є головним у аудиті смарт-контрактів і є найважливішою частиною комплексного та точного аудиту безпеки смарт-коду. Він проводиться принаймні двома окремими експертами, які перевіряють код рядок за рядком.
Мета полягає в тому, щоб переконатися, що кожна деталь у специфікації проекту впроваджена в смарт-контракт і що ніщо не порушує його початково заплановану поведінку.
Аудитори ретельно перевіряють код на ненавмисну, неочікувану поведінку, важливі проблеми безпеки та вразливості, такі як повторний вхід, маніпуляції з даними, флеш-позики та інші маніпуляції, які можуть бути реалізовані під час взаємодії смарт-контракту з іншими.
На додаток до цього, ручні аудити запускають симуляції, щоб оцінити, наскільки добре смарт-контракт проекту DeFi реагує на невідомі загрози та наскільки він здатний захищатися від них.
У фінальній частині ручного аналізу коду аудитор порівнює логіку смарт-контракту з його описом у технічному документі проекту.
Після виявлення та усунення всіх вразливостей аудитори запускають процес повторної перевірки, щоб переконатися, що смарт-код працює належним чином.
Нарешті, після завершення аудиту безпеки аудитори готують вичерпний звіт. Тут вони надають детальний відгук про те, що вони виявили. Зазвичай їхній звіт містить рекомендації щодо того, як можна виправити виявлені недоліки коду, щоб пом’якшити безпеку проекту.
Що гарантує, що аудит розумних контрактів є професійним?
Смарт-контракти – відносно нова інновація. Відповідно до цього розвиваються їхні стандарти безпеки. Це означає, що жодне золоте правило не гарантує повної безпеки смарт-контракту.
Крім того, не всі аудиторські фірми, які займаються смарт-контрактами, однакові, і не всі аудити гарантують безпеку. Аудитори можуть мати різний рівень кваліфікації, різні цілі та різні витрати.
Не кажучи вже про те, що ринок сповнений неоднозначних розробників, які підробляють аудит і все ще отримують користь від імені поважної компанії. Це те, що сталося з Peckshield, компанією з блокчейн безпеки та аналізу даних, більше року тому.
Подібні ситуації досить поширені в криптовалютному просторі. Вони беруть ім’я законного та поважного аудитора і вносять його у свій офіційний документ, кажучи, що їхній протокол перевірено.
Єдиний спосіб уникнути подібних випадків — перевірити наявність підтвердження в оригінальних каналах аудитора. Якщо їх немає, є ймовірність, що ім’я аудитора було вкрадено.
Завжди перевіряйте його клієнтське портфоліо, щоб оцінити, чи є аудитор надійним і авторитетним. Пошукайте випадки в Google, щоб перевірити їхні записи про досвід і перевірити, чи хтось із перевірених проектів не зазнав атак або інших атак.
Чи можете ви самостійно провести аудит коду?
Оскільки в криптопросторі так багато хаків і клопотів, наївно уявляти, що проекти DeFi безпечні, не розглядаючи їх детальніше. Аудит розумних контрактів забезпечує критичний рівень безпеки.
Однак навіть найпрофесійніші з них не гарантують, що проект DeFi абсолютно вільний від помилок. Розумні контракти складні. Вони вимагають детального та всебічного аналізу, досвіду, інструментів і, що найважливіше, не однієї пари очей.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://dailycoin.com/how-auditors-detect-defi-rug-pull-scam/
- 11
- 2022
- a
- МЕНЮ
- абсолютно
- відповідно
- точний
- Діяти
- доповнення
- впливати
- після
- проти
- угоди
- ВСІ
- дозволяє
- завжди
- аналіз
- аналітика
- аналізи
- та
- атака
- нападки
- увагу
- Приваблює
- аудит
- аудит
- аудит
- аудиторські фірми
- Аудитори
- аудит
- Автоматизований
- доступний
- перед тим
- за
- буття
- користь
- КРАЩЕ
- передового досвіду
- між
- blockchain
- Захист блокчейну
- порушення
- Помилка
- помилки
- бізнес
- не може
- здатний
- випадків
- централізована
- певний
- шанси
- канали
- перевірка
- різдво
- клієнт
- код
- Перегляд коду
- Кодування
- загальний
- компанія
- Зроблено
- комплекс
- всеосяжний
- Умови
- Проводити
- мінуси
- Наслідки
- контекст
- контракт
- контрактів
- витрати
- може
- створювати
- правдоподібність
- критичний
- вирішальне значення
- крипто
- Крипто інвестори
- крипто простір
- криптовалюта
- дані
- Analytics даних
- Database
- Децентралізований
- Децентралізовані фінанси
- децентралізовані фінанси (DeFi)
- Захист
- Defi
- платформи defi
- проекти defi
- ПРОТОКОЛ DEFI
- Безпека DeFi
- розгортання
- description
- Незважаючи на
- деталь
- докладно
- виявлено
- розвивати
- розробників
- Dex
- різний
- зникають
- відкритий
- екосистема
- досить
- забезпечувати
- гарантує
- забезпечення
- суб'єкта
- помилки
- оцінити
- оцінювати
- оцінка
- Навіть
- НІКОЛИ
- еволюціонує
- вихід
- вихід афера
- очікуваний
- досвід
- експертиза
- experts
- Експлуатувати
- експлуатований
- подвигів
- зовнішній
- очей
- очі
- швидше
- риси
- плата
- зворотний зв'язок
- остаточний
- фінансування
- знайти
- фірми
- фіксованою
- спалах
- флеш-позики
- недоліки
- від
- Повний
- засоби
- мета
- Цілі
- Золотий
- гарантувати
- гарантії
- хакери
- хакі
- траплятися
- сталося
- здоровий
- прихований
- Як
- HTTPS
- Людей
- ідентифікований
- ідентифікує
- здійснювати
- реалізовані
- in
- У тому числі
- промисловість
- галузеві стандарти
- інновація
- взаємодіє
- Дослідження
- Інвестори
- залучати
- питання
- IT
- сам
- King
- відомий
- відсутність
- останній
- запущений
- шар
- вести
- витік
- легальний
- Законний
- рівні
- Лінія
- ліквідності
- Кредити
- розташування
- шукати
- керівництво
- багато
- ринок
- Макс
- засоби
- методика
- може бути
- мільйона
- Пом'якшити
- модель
- модифікований
- гроші
- більше
- найбільш
- ім'я
- майже
- Нові
- наступний
- номер
- численний
- На ланцюжку
- ONE
- з відкритим вихідним кодом
- працює
- оригінал
- спочатку
- Інше
- інші
- Власники
- частина
- Сторони
- Пекщит
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- гравці
- портфель
- це можливо
- потенціал
- практики
- Готувати
- досить
- запобігати
- процес
- професійний
- проект
- проектів
- сприяти
- PROS
- протокол
- забезпечувати
- громадськість
- публічно
- Тягне
- мета
- put
- рекомендації
- облік
- червоний
- щодо
- звітом
- шановний
- вимагати
- поважний
- результат
- огляд
- ризики
- Кімната
- килим тягнути
- шахрайство з витягуванням килима
- килим тягне
- Правило
- прогін
- сейф
- Безпека
- то ж
- Шахрайство
- Шахраї
- шахрайство
- сканування
- сектор
- безпеку
- аудит безпеки
- Аудити безпеки
- Порушення безпеки
- Продаж
- серйозний
- комплект
- Форма
- зсув
- Повинен
- аналогічний
- простий
- з
- майстерність
- Ковзати
- невеликий
- розумний
- розумний контракт
- Аудит смарт-контрактів
- Безпека смарт-контрактів
- Спритні контракти
- So
- Софтвер
- solid
- деякі
- Простір
- спеціалізуватися
- специфікація
- standard
- стандартів
- старт
- залишатися
- Як і раніше
- вкрав
- вкрали
- система
- Приймати
- технічний
- методи
- terms
- правила та умови
- Команда
- їх
- третій
- треті сторони
- загрози
- через
- час
- трудомісткий
- до
- знак
- Жетони
- інструменти
- Усього:
- прозорість
- прозорий
- типово
- Unexpected
- Відключення
- зазвичай
- перевірено
- перевірити
- Порушення
- життєво важливий
- Уразливості
- Що
- Чи
- який
- в той час як
- Whitepaper
- витирання
- вилучати
- без
- рік
- Ти
- молодий
- себе
- зефірнет