Tin tặc đã đánh cắp nhiều tiền điện tử hơn từ các nền tảng tài chính phi tập trung (DeFi) hơn bao giờ hết vào năm 2022. Gần 98% tất cả các mã thông báo được tung ra trên DEX Uniswap của DeFi được xác định là hành vi kéo thảm.
Cái mới nhất, Defrost Finance, đến như một cơn ác mộng Giáng sinh đối với các nhà đầu tư tiền điện tử, xóa sạch 12 triệu đô la tiền của họ.
Hầu hết các vụ hack trên nền tảng DeFi đều xảy ra do vi phạm bảo mật và khai thác mã. Các dự án cuối cùng trở thành trò lừa đảo kéo thảm có các vấn đề bảo mật nghiêm trọng đã được phép trượt hoặc có thể không cố ý bị phát hiện. Để ngăn chặn những rủi ro tương tự, việc kiểm tra bảo mật DeFi là rất quan trọng.
Tại đây, chúng ta sẽ tìm hiểu thêm về các cuộc kiểm tra này, cách chúng được tiến hành và liệu có thể tự mình thực hiện kiểm tra DeFi hay không.
Kiểm tra bảo mật DeFi là gì?
Các dự án DeFi được triển khai dưới dạng hợp đồng thông minh phức tạp, tự thực hiện, thường minh bạch và có nguồn mở. Họ đóng vai trò là thỏa thuận pháp lý giữa hai bên. Và vì không có thực thể tập trung nào đứng đằng sau chúng nên ngay cả một lỗi nhỏ trong hợp đồng thông minh cũng có thể dẫn đến những hậu quả không thể khắc phục được.
Điều này có nghĩa là không có chỗ cho sai sót trong hợp đồng thông minh. Kiểm toán bảo mật hợp đồng thông minh DeFi nhằm đảm bảo điều đó.
Kiểm toán bảo mật kiểm tra mã của hợp đồng thông minh và cách nó căn cứ vào các điều khoản và điều kiện của hợp đồng. Phân tích chi tiết tìm kiếm các lỗi bảo mật tiềm ẩn, vi phạm và lỗi hệ thống trong mã nên không thể khai thác được.
Kiểm tra bảo mật, thường do bên thứ ba thực hiện, rất quan trọng để đảm bảo tính bảo mật và độ tin cậy của các dự án cũng như duy trì hệ sinh thái DeFi lành mạnh.
Những kẻ lừa đảo khai thác hợp đồng thông minh để kéo thảm như thế nào?
Thảm kéo là một loại lừa đảo thoát hoạt động theo mô hình đơn giản: các nhà phát triển tạo ra một giao thức DeFi có vẻ ngoài hợp pháp, chạy và quảng bá nó cho đến khi dự án thu hút đủ thanh khoản, sau đó rút tiền và biến mất.
Vâng, không phải lúc nào cũng vậy. Đôi khi, những kẻ lừa đảo kéo thảm đổ lỗi cho tin tặc đã đánh cắp tính thanh khoản và duy trì hoạt động kinh doanh cho đến lần tiếp theo.
Để thực hiện một cuộc tấn công, những kẻ lừa đảo nhúng mã độc vào hợp đồng thông minh. Họ sửa đổi chúng để ngăn các nhà đầu tư bán: đặt phí bán tối đa (100%), đưa chủ sở hữu mã thông báo vào danh sách đen và khóa tiền của người dùng vào hợp đồng.
Một số hợp đồng thông minh liên quan đến việc mã hóa một “cửa sau” độc hại vào chúng, cho phép các nhà phát triển rút thanh khoản.
Hầu hết thời gian, các hợp đồng thông minh được sửa đổi không được xác minh bởi các kiểm toán viên bảo mật và bị ẩn khỏi mắt công chúng. Vì hầu hết các hợp đồng trên chuỗi đều có sẵn công khai, nên sự thiếu minh bạch về GitHub có thể là một lá cờ đỏ.
Cách kiểm tra xem hợp đồng thông minh DeFi có an toàn hay không
Ngành công nghiệp hợp đồng thông minh và chuỗi khối vẫn còn tương đối non trẻ, và lĩnh vực kiểm toán hợp đồng thông minh cũng vậy. Nhiều công ty chuyên kiểm tra bảo mật hợp đồng thông minh, phát triển các công cụ và định hình bí quyết của họ.
Các tiêu chuẩn ngành bảo mật hợp đồng thông minh và các phương pháp hay nhất đang phát triển. Mặc dù vậy, một số phương pháp kiểm toán khá tiêu chuẩn được những người trong ngành kiểm toán DeFi sử dụng.
Thông thường, các cuộc điều tra của họ bắt đầu bằng việc đánh giá hợp đồng thông minh. Kiểm toán viên phân tích sách trắng, logic nghiệp vụ và thông số kỹ thuật của giao thức DeFi để ước tính các rủi ro tiềm ẩn và các tính năng bảo mật.
Sau đó, họ chuyển sự chú ý sang mã của hợp đồng thông minh. Đây là lúc bắt đầu xem xét và phân tích mã.
Kiểm toán viên kiểm tra từng dòng mã, tìm kiếm các lỗ hổng ở các cấp độ khác nhau: lỗ hổng nghiêm trọng có thể dẫn đến rò rỉ thanh khoản; cấp độ trung bình, có thể làm hỏng một phần hợp đồng thông minh; và các vấn đề ở mức độ thấp ít ảnh hưởng đến tính bảo mật của hợp đồng.
Họ triển khai một số kỹ thuật kiểm toán, bao gồm phân tích tự động và thủ công. Cả hai đều có ưu và nhược điểm của họ.
Kiểm tra bảo mật tự động có nghĩa là quét mã bằng phần mềm phân tích tự động, tìm kiếm lỗi dựa trên cơ sở dữ liệu về các lỗ hổng đã biết và xác định vị trí chính xác của chúng trong mã.
Việc kiểm tra dựa trên phần mềm thường được tiến hành trước khi phân tích thủ công để phát hiện các lỗi mà con người có thể bỏ qua. Nó nhanh hơn và ít tốn thời gian hơn, nhưng đồng thời, nó có thể không phải lúc nào cũng nhận thức được ngữ cảnh và do đó bỏ sót một số lỗ hổng nhất định.
Phân tích mã thủ công là yếu tố quan trọng nhất trong kiểm tra hợp đồng thông minh và là phần quan trọng nhất trong quá trình kiểm tra bảo mật mã thông minh toàn diện và chính xác. Nó được thực hiện bởi ít nhất hai chuyên gia riêng biệt để kiểm tra từng dòng mã.
Mục tiêu là để xác minh rằng mọi chi tiết trong đặc tả của dự án đều được triển khai trong hợp đồng thông minh và không có gì vi phạm hành vi dự định ban đầu của dự án.
Kiểm toán viên xem xét kỹ lưỡng mã để phát hiện hành vi ngoài ý muốn, không mong muốn, các vấn đề bảo mật quan trọng và các lỗ hổng như truy cập lại, thao túng dữ liệu, cho vay nhanh và các thao tác khác có thể được thực hiện trong khi hợp đồng thông minh tương tác với những người khác.
Ngoài ra, quá trình kiểm tra thủ công còn chạy mô phỏng để đánh giá mức độ hợp đồng thông minh của dự án DeFi phản ứng với các mối đe dọa không xác định và khả năng tự bảo vệ trước chúng.
Trong phần cuối cùng của phân tích mã thủ công, kiểm toán viên so sánh logic của hợp đồng thông minh với mô tả của nó trong báo cáo chính thức của dự án.
Khi tất cả các lỗ hổng đã được xác định và khắc phục, kiểm toán viên sẽ chạy quy trình kiểm tra kỹ lưỡng để đảm bảo mã thông minh chạy như mong đợi.
Cuối cùng, sau khi hoàn thành kiểm toán bảo mật, kiểm toán viên chuẩn bị một báo cáo toàn diện. Đây là nơi họ cung cấp phản hồi chi tiết về những gì họ khám phá được. Thông thường, báo cáo của họ đi kèm với các khuyến nghị về cách khắc phục các điểm yếu mã được phát hiện để giảm thiểu bảo mật của dự án.
Điều gì đảm bảo rằng kiểm toán hợp đồng thông minh là chuyên nghiệp?
Hợp đồng thông minh là một sự đổi mới tương đối mới. Tiêu chuẩn bảo mật của họ đang phát triển tương ứng. Điều này có nghĩa là không có quy tắc vàng nào đảm bảo an toàn tuyệt đối cho hợp đồng thông minh.
Hơn nữa, không phải tất cả các công ty kiểm toán hợp đồng thông minh đều giống nhau và không phải tất cả các cuộc kiểm toán đều đảm bảo an toàn. Kiểm toán viên có thể có trình độ kỹ năng khác nhau, mục tiêu khác nhau và chi phí khác nhau.
Chưa kể đến việc thị trường đầy rẫy những nhà phát triển sơ sài giả mạo kiểm toán mà vẫn được hưởng lợi từ tên tuổi của một công ty đáng kính. Đây là những gì đã xảy ra với Peckshield, một công ty phân tích dữ liệu và bảo mật blockchain, hơn một năm trước.
Những tình huống như thế này khá phổ biến trong không gian tiền điện tử. Họ lấy tên của một kiểm toán viên hợp pháp và đáng kính và đưa tên đó vào sách trắng của họ, nói rằng giao thức của họ đã được kiểm tra.
Cách duy nhất để tránh những trường hợp như thế này là kiểm tra xác nhận trên các kênh ban đầu của kiểm toán viên. Nếu không có thì rất có thể tên của kiểm toán viên đã bị đánh cắp.
Luôn kiểm tra danh mục khách hàng của mình để đánh giá xem kiểm toán viên có vững chắc và uy tín hay không. Google các trường hợp để xác minh hồ sơ kinh nghiệm của họ và kiểm tra xem có dự án nào được kiểm toán có bị kéo thảm hoặc các cuộc tấn công khác hay không.
Bạn có thể tự mình tiến hành kiểm tra mã không?
Với rất nhiều vụ hack và thảm họa xảy ra trong không gian tiền điện tử, thật ngây thơ khi tưởng tượng rằng các dự án DeFi là an toàn nếu không xem xét chúng chi tiết hơn. Kiểm toán hợp đồng thông minh cung cấp một lớp an toàn quan trọng.
Tuy nhiên, ngay cả những người chuyên nghiệp nhất cũng không đảm bảo rằng dự án DeFi hoàn toàn không có lỗi. Hợp đồng thông minh rất phức tạp. Họ yêu cầu phân tích chi tiết và toàn diện, chuyên môn, công cụ và quan trọng nhất là nhiều hơn một cặp mắt.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://dailycoin.com/how-auditors-detect-defi-rug-pull-scam/
- 11
- 2022
- a
- Giới thiệu
- hoàn toàn
- cho phù hợp
- chính xác
- Hành động
- Ngoài ra
- ảnh hưởng đến
- Sau
- chống lại
- thỏa thuận
- Tất cả
- cho phép
- luôn luôn
- phân tích
- phân tích
- phân tích
- và
- tấn công
- Các cuộc tấn công
- sự chú ý
- Thu hút
- kiểm toán
- kiểm toán
- kiểm toán
- công ty kiểm toán
- kiểm toán viên
- kiểm toán
- Tự động
- có sẵn
- trước
- sau
- được
- hưởng lợi
- BEST
- thực hành tốt nhất
- giữa
- blockchain
- Bảo mật chuỗi khối
- vi phạm
- Bug
- lỗi
- kinh doanh
- không thể
- có khả năng
- trường hợp
- tập trung
- nhất định
- tỷ lệ cược
- kênh
- kiểm tra
- Giáng Sinh
- khách hàng
- mã
- Đánh giá mã
- Lập trình
- Chung
- công ty
- Hoàn thành
- phức tạp
- toàn diện
- điều kiện
- Tiến hành
- Nhược điểm
- Hậu quả
- bối cảnh
- hợp đồng
- hợp đồng
- Chi phí
- có thể
- tạo
- tin tưởng
- quan trọng
- quan trọng
- Crypto
- Nhà đầu tư Crypto
- không gian mật mã
- cryptocurrency
- dữ liệu
- Phân tích dữ liệu
- Cơ sở dữ liệu
- Phân quyền
- Tài chính phi tập trung
- tài chính phi tập trung (DeFi)
- Bảo vệ
- Defi
- nền tảng defi
- dự án defi
- GIAO THỨC DEFI
- Bảo mật DeFi
- triển khai
- Mô tả
- Mặc dù
- chi tiết
- chi tiết
- phát hiện
- phát triển
- phát triển
- Dex
- khác nhau
- biến mất
- phát hiện
- hệ sinh thái
- đủ
- đảm bảo
- đảm bảo
- đảm bảo
- thực thể
- lỗi
- ước tính
- đánh giá
- đánh giá
- Ngay cả
- BAO GIỜ
- phát triển
- Ra
- thoát lừa đảo
- dự kiến
- kinh nghiệm
- chuyên môn
- các chuyên gia
- Khai thác
- khai thác
- khai thác
- ngoài
- mắt
- Mắt
- nhanh hơn
- Tính năng
- chi phí
- thông tin phản hồi
- cuối cùng
- tài chính
- Tìm kiếm
- hãng
- cố định
- Đèn flash
- cho vay nhanh
- sai sót
- từ
- Full
- quỹ
- mục tiêu
- Các mục tiêu
- Vàng
- Bảo hành
- bảo đảm
- tin tặc
- hacks
- xảy ra
- đã xảy ra
- khỏe mạnh
- Thành viên ẩn danh
- Độ đáng tin của
- HTTPS
- Con người
- xác định
- xác định
- thực hiện
- thực hiện
- in
- Bao gồm
- ngành công nghiệp
- tiêu chuẩn công nghiệp
- sự đổi mới
- tương tác
- Điều tra
- Các nhà đầu tư
- liên quan
- các vấn đề
- IT
- chính nó
- Vua
- nổi tiếng
- Thiếu sót
- mới nhất
- phát động
- lớp
- dẫn
- bị rò rỉ
- Hợp pháp
- Legit
- niveaux
- Dòng
- Thanh khoản
- Các khoản cho vay
- địa điểm thư viện nào
- tìm kiếm
- nhãn hiệu
- nhiều
- thị trường
- tối đa
- có nghĩa
- phương pháp
- Might
- triệu
- Giảm nhẹ
- kiểu mẫu
- sửa đổi
- tiền
- chi tiết
- hầu hết
- tên
- gần
- Mới
- tiếp theo
- con số
- nhiều
- trên chuỗi
- ONE
- mã nguồn mở
- hoạt động
- nguyên
- ban đầu
- Nền tảng khác
- Khác
- chủ sở hữu
- một phần
- các bên tham gia
- tấm chắn
- Nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- người chơi
- danh mục đầu tư
- có thể
- tiềm năng
- thực hành
- Chuẩn bị
- khá
- ngăn chặn
- quá trình
- chuyên nghiệp
- dự án
- dự án
- thúc đẩy
- Ưu điểm
- giao thức
- cho
- công khai
- công khai
- Kéo
- mục đích
- đặt
- khuyến nghị
- hồ sơ
- đỏ
- tương đối
- báo cáo
- có uy tín
- yêu cầu
- đáng kính trọng
- kết quả
- xem xét
- rủi ro
- Phòng
- kéo thảm
- thảm kéo lừa đảo
- tấm thảm kéo
- Quy tắc
- chạy
- an toàn
- Sự An Toàn
- tương tự
- Lừa đảo
- Lừa đảo
- lừa đảo
- quét
- ngành
- an ninh
- Kiểm toán an ninh
- Kiểm toán an ninh
- vi phạm an ninh
- Bán
- nghiêm trọng
- định
- Hình dạng
- thay đổi
- nên
- tương tự
- Đơn giản
- kể từ khi
- kỹ năng
- Trượt
- nhỏ
- thông minh
- hợp đồng thông minh
- Kiểm tra hợp đồng thông minh
- Bảo mật hợp đồng thông minh
- Hợp đồng thông minh
- So
- Phần mềm
- rắn
- một số
- Không gian
- Chuyên môn hoá
- đặc điểm kỹ thuật
- Tiêu chuẩn
- tiêu chuẩn
- Bắt đầu
- ở lại
- Vẫn còn
- lấy trộm
- ăn cắp
- hệ thống
- Hãy
- Kỹ thuật
- kỹ thuật
- về
- điều khoản và điều kiện
- Sản phẩm
- cung cấp their dịch
- Thứ ba
- các bên thứ ba
- các mối đe dọa
- Thông qua
- thời gian
- mất thời gian
- đến
- mã thông báo
- Tokens
- công cụ
- Tổng số:
- Minh bạch
- minh bạch
- thường
- Bất ngờ
- Unwwap
- thường
- xác minh
- xác minh
- Vi phạm
- quan trọng
- Lỗ hổng
- Điều gì
- liệu
- cái nào
- trong khi
- Bản cáo bạch
- lau
- Thu hồi
- không có
- năm
- Bạn
- trẻ
- mình
- zephyrnet