审计员如何检测 DeFi Rug Pull 骗局:你能自己做吗?

审计员如何检测 DeFi Rug Pull 骗局:你能自己做吗?

时间戳记:7年2023月11日下午00:XNUMX
审计员如何检测 DeFi Rug Pull 骗局:你自己能做到吗? Plato区块链数据智能。垂直搜索。人工智能。

到 2022 年,黑客从去中心化金融 (DeFi) 平台窃取的加密货币比以往任何时候都多。在 DeFi 的标志性 DEX Uniswap 上发布的所有代币中,近 98% 被确定为 rug pulls。

最新的,解冻金融, 来了 作为加密货币投资者的圣诞噩梦,他们损失了 12 万美元的资金。 

DeFi 平台上的大多数黑客攻击都是通过安全漏洞和代码漏洞发生的。 最终成为骗局的项目存在严重的安全问题,这些问题被允许滑落,或者可能是故意未被发现。为了防范类似风险,DeFi 安全审计至关重要。

在这里,我们将详细了解这些审计、如何进行以及是否可以自行进行 DeFi 审计。 

什么是 DeFi 安全审计?

DeFi 项目以复杂的、自动执行的智能合约的形式实现,通常是透明且开源的。它们充当两方之间的法律协议。由于它们背后没有中心化实体,即使智能合约中的一个小错误也可能导致不可逆转的后果。

这意味着智能合约中不应该有错误的余地。 DeFi 智能合约安全审计旨在确保这一点。

安全审计检查智能合约的代码及其如何依据合约的条款和条件。详细的分析会搜索代码中潜在的安全缺陷、违规行为和系统错误,因此无法被利用。 

安全审计通常由第三方进行,对于确保项目的安全性和可信性以及维护健康的 DeFi 生态系统至关重要。

诈骗者如何利用智能合约进行诈骗?

地毯拉动是一种退出骗局,其运作模式很简单:开发人员创建一个看似合法的 DeFi 协议,运行并推广它,直到该项目吸引足够的流动性,然后撤出资金并消失。 

嗯,并非总是如此。有时,骗子会指责黑客窃取了流动性,并继续营业直到下一次。

为了实施攻击,诈骗者将恶意代码嵌入到智能合约中。 他们对其进行修改以防止投资者出售:设置最高(100%)销售费用,将代币所有者列入黑名单,并将用户的资金锁定在合约中。

一些智能合约涉及在其中编写恶意“后门”,允许开发人员提取流动性。  

大多数时候,修改后的智能合约没有经过安全审计员的验证,并且隐藏在公众视线之外。 由于大多数链上合约都是公开的,因此缺乏透明度 GitHub上 可能是一个危险信号。 

如何检查 DeFi 智能合约是否安全

区块链和智能合约行业还比较年轻,智能合约审计行业也是如此。 许多公司专门从事智能合约安全审计,开发他们的工具并塑造他们的专业知识。 

智能合约安全行业标准和最佳实践正在不断发展。 尽管如此,DeFi 审计行业参与者还是使用了一些非常标准的审计方法。

通常他们的调查从智能合约评估开始。 审计师分析 DeFi 协议的白皮书、业务逻辑和技术规范,以评估潜在风险和安全特性。

然后他们将注意力转移到智能合约的代码上。 这是代码审查和分析开始的时候。 

审计人员逐行检查代码,寻找不同级别的漏洞:可能导致流动性泄漏的关键漏洞;中等级别,可能会部分损坏智能合约;低级问题,对合约安全影响最小。

他们部署了多种审计技术,包括自动和手动分析。 两者各有利弊。

自动安全审核意味着使用自动分析软件扫描代码,该软件根据已知漏洞的数据库搜索错误并识别它们在代码中的精确位置。

基于软件的审核通常在手动分析之前进行,以检测人类可能忽略的错误。它更快、更省时,但同时,它可能并不总是了解上下文,从而错过某些漏洞。 

手动代码分析是智能合约审计的王道,是全面、准确的智能代码安全审计最关键的部分。它由至少两名独立的专家进行,逐行检查代码。

目标是验证项目规范中的每个细节都已实施到智能合约中,并且没有任何内容违反其最初预期的行为。 

审计员会仔细检查代码是否存在意外、意外的行为、关键的安全问题以及重新进入、数据操纵、闪贷以及智能合约与其他人交互时可能实施的其他操纵等漏洞。

除此之外,手动审计还进行模拟,以评估 DeFi 项目的智能合约对未知威胁的响应能力以及防御这些威胁的能力。 

在手动代码分析的最后一部分,审计员将智能合约的逻辑与其在项目白皮书中的描述进行比较。 

识别并修复所有漏洞后,审计员将运行双重检查流程以确保智能代码按预期运行。

最后,安全审计完成后,审计人员准备一份综合报告。 在这里,他们会就他们的发现提供详细的反馈。 通常,他们的报告会附有关于如何修复检测到的代码漏洞以降低项目安全性的建议。 

怎样确保智能合约审计的专业性?

智能合约是一项相对较新的创新。他们的安全标准也在相应发展。这意味着没有黄金法则可以保证智能合约的整体安全。

此外,并不是所有的智能合约审计公司都是一样的,也不是所有的审计都能保证安全。 审核员可能具有不同的技能水平、不同的目标和不同的成本。

更不用说市场上充斥着粗略的开发商,他们伪造审计,但仍然受益于受人尊敬的公司的名义。这就是一年多前区块链安全和数据分析公司 Peckshield 所发生的事情。

像这样的情况在加密货币领域很常见。 他们取了一位合法且受人尊敬的审计员的名字,并将其写入白皮书,说他们的协议已经过审计。

避免此类情况的唯一方法是通过审核员的原始渠道进行确认。如果没有,审计员的名字很可能已被盗用。 

经常检查其客户组合,以评估审计师是否可靠且信誉良好。谷歌搜索案例来验证他们的经历记录,并检查是否有任何被审计的项目遭受过拉扯或其他攻击。

您可以自己进行代码审计吗?

加密货币领域存在如此多的黑客攻击和阴谋,如果不更详细地研究 DeFi 项目就认为它们是安全的,那就太天真了。智能合约审计提供了关键的安全层。 

然而,即使是最专业的人也不能保证 DeFi 项目绝对没有错误。智能合约很复杂。它们需要详细而全面的分析、专业知识、工具,最重要的是,不仅仅是一双眼睛。

时间戳记:

更多来自 日币