Audit Kontrak Cerdas

[TL;DR]

---

Dengan kontrak pintar DeFi memuncaki obrolan peretasan blockchain pada tahun 2021, lebih dari $ 1,3 miliar cryptocurrency telah hilang untuk dieksploitasi, penipuan, dan peretasan. Kerugian besar ini dapat ditelusuri ke kontrak yang tidak diaudit, garpu tergesa-gesa, penipuan langsung, dan banyak lagi. Namun menurut laporan keamanan Certi DeFi, sebagian besar proyek yang dieksploitasi tidak diaudit.

Pada artikel ini, kita akan memeriksa apa itu kontrak pintar, bagaimana melindunginya dari pemain jahat di pasar.
Kami juga akan melihat beberapa perusahaan audit kontrak pintar dan fokus mereka.


Isi formulir untuk menerima 5 poin hadiah→

Serangan kontrak pintar

---

kontrak pintar adalah baris Kode yang menjalankan sendiri yang mematuhi instruksi yang ditetapkan pada jaringan blockchain. Kontrak ini memungkinkan pengguna untuk melakukan transaksi tanpa kepercayaan dan transparan di blockchain tanpa memerlukan otoritas pusat atau sistem hukum apa pun.

Karena kegunaannya, mereka telah menjadi blok bangunan untuk aplikasi terdesentralisasi yang kompleks, seperti di DeFi dan DExs, ICO, protokol pemungutan suara, dan manajemen rantai pasokan.
Secerdas kelihatannya, mereka dapat menarik kerugian besar jika ada kerentanan keamanan atau bug yang terdeteksi dalam kode.

Biasanya, kontrak pintar mungkin menjalankan fungsi desainnya, tetapi adanya celah akan memberi ruang bagi peretas untuk membangun kode yang mampu berinteraksi dengan kontrak pintar untuk mengalihkan dana.

- Contoh yang baik adalah serangan baru-baru ini terhadap Qubit Finance, di mana peretas mengeksploitasi jembatan lintas rantai dan mencuri 206.809 token BNB- Sekitar $80 juta.
- Contoh bersejarah lainnya adalah Peretasan DAO tahun 2016, yang menyebabkan kerugian $50 juta

Kontrak Cerdas Dikenal atau kerentanan standar

---

Kondisi Balapan: di mana peristiwa tidak terjadi dalam urutan yang diinginkan. Dalam Kontrak Cerdas, Kondisi Balapan dapat terjadi ketika kontrak eksternal mengambil alih aliran kendali.

Masuk kembali: dalam hal ini, beberapa fungsi dipanggil berulang kali sebelum pemanggilan fungsi pertama selesai. Salah satu solusi penting adalah memblokir panggilan bersamaan dalam fungsi tertentu, terutama saat memeriksa panggilan eksternal.

C ross -function Race Conditions: menggambarkan serangan serupa dari dua fungsi yang berbagi status yang sama, dengan solusi yang sama.

Transaction-Ordering Dependence (TOD) / Front Running: adalah kondisi balapan lain yang memengaruhi pesanan transaksi dalam satu blok. Dengan memanipulasi pesanan transaksi, satu pengguna diuntungkan dengan mengorbankan yang lain.

Manipulasi Oracle: serangan semacam ini dikaitkan dengan kontrak pintar yang mengandalkan data eksternal sebagai input. Jika data input salah, itu masih dimasukkan dan dijalankan secara otomatis. Protokol yang mengandalkan oracle yang telah diretas, tidak digunakan lagi, atau memiliki niat jahat mungkin memiliki efek buruk pada semua proses yang mengandalkannya.

Serangan alamat pendek/parameter: jenis serangan ini dikaitkan dengan EVM. itu terjadi ketika kontrak pintar menerima argumen yang diisi secara tidak benar. Dengan cara ini, penyerang dapat mengeksploitasi klien dengan kode yang buruk dengan menggunakan alamat yang dibuat khusus untuk membuat mereka salah mengkodekan argumen sebelum memasukkannya ke dalam transaksi.

Audit Kontrak Cerdas

---

Serupa dengan audit kode biasa, Keamanan smart contract Smart berbanding lurus dengan ketahanan dan kualitas kode yang diterapkan. Ini melibatkan pengawasan ekstensif dan analisis kode kontrak pintar. Untuk melakukan ini, auditor kontrak pintar memeriksa kesalahan umum, kesalahan yang diketahui platform host, dan mensimulasikan serangan pada kode. Pengembang (biasanya auditor kontrak pintar eksternal) kemudian dapat mengidentifikasi kesalahan, potensi bug, atau kerentanan keamanan dalam kontrak pintar proyek.

Layanan ini sangat penting dalam industri blockchain karena kontrak yang digunakan tidak dapat diubah atau tidak dapat dibatalkan. Cacat apa pun kemungkinan besar akan membuat kontrak tidak berfungsi atau rentan terhadap pelanggaran keamanan yang dapat menyebabkan kerugian yang tidak dapat dipulihkan. Hari-hari ini mendapatkan validasi audit adalah dorongan untuk memenangkan kepercayaan pengguna.

Langkah-langkah Audit Kontrak Cerdas.
1. Periksa konsistensi antara fungsionalitas kode dan whitepaper proyek
2. Periksa kerentanan standar;
3. Analisis simbolik
4. Analisis otomatis dengan alat otomatis (Pendekatan 1): alat seperti Truffle dan Populus digunakan untuk pengujian kode otomatis. Pendekatan ini membutuhkan waktu yang sangat singkat dan memiliki penetrasi yang lebih canggih dibandingkan dengan pemeriksaan kode manual. Meskipun juga memiliki keterbatasan identifikasi palsu dan kerentanan yang terlewatkan.
5. Kode manual dan tinjauan kualitas kode (pendekatan 2): dalam hal ini, kode diperiksa secara manual oleh pengembang berpengalaman. Meskipun pemeriksaan otomatis lebih cepat, pemeriksaan manual memperhitungkan kerentanan yang salah & tidak terjawab.
6. Analisis penggunaan gas;
7. Optimalisasi kinerja
8. Penyusunan laporan.

Perusahaan Kontrak Cerdas

---

1. CertiK: CertiK didirikan pada tahun 2018 dan merupakan salah satu yang disukai di ceruk blockchain karena transparansi dan alat verifikasi mesin bukti yang memastikan skalabilitas dan keamanan terbaik. Artinya, pendekatan mereka terutama matematis. Perusahaan mengklaim telah mendeteksi lebih dari 31.000 kerentanan dalam kode kontrak pintar, mengaudit 1737 proyek, dan telah mengamankan aset digital senilai lebih dari $211 miliar.

2. Hacken: Hacken adalah perusahaan lain yang menyediakan layanan audit untuk platform blockchain seperti Ethereum, Tron, EOS . Meskipun layanan mereka tidak terbatas pada solusi blockchain saja, Hacken juga menyediakan produk keamanan untuk perusahaan IT. Platform keamanan HackenAI adalah solusi yang dirancang oleh Hacken untuk melindungi pengguna akhir dari kompromi keamanan dengan fitur yang diaktifkan seperti peringatan pemantauan Darknet.

3. Quantstamp: Quantstamp adalah perusahaan keamanan blockchain dengan pengembang dari perusahaan IT terkemuka seperti Facebook, Google, dan Apple. Quanstamp memiliki beragam alat dan layanan keamanan blockchain, termasuk; jaringan keamanan terdesentralisasi untuk audit kontrak pintar. Menurut klaim mereka, Quantstamp telah melindungi lebih dari $200 miliar aset digital, dan mereka memiliki lebih dari 200 yayasan dan perusahaan rintisan yang telah menggunakan produk mereka.

4. ConsenSys: didirikan pada tahun 2014, ConsenSys adalah tim tangguh yang terdiri dari pengembang perangkat lunak, pakar bisnis, pengacara, penyedia keamanan. Platformnya didasarkan pada ekosistem Ethereum dan bertujuan untuk menyediakan solusi blockchain seperti keamanan dan perlindungan produk, infrastruktur keuangan. Perusahaan memiliki produk analisis keamanan kontrak pintar. Ketekunan KonsenSys; yang menyediakan analisis ekonomi kripto dan pemindaian kontrak pintar otomatis untuk rantai Ethereum.

5. Keamanan rantai: menyediakan produk dan layanan yang mengamankan protokol blockchain dan kontrak pintar. Chainsecurity dipercaya oleh lebih dari 85 blockchain dan telah mengamankan aset digital senilai lebih dari $17 miliar. Mereka juga bermitra dengan PWC Swiss untuk melakukan tinjauan keamanan, membuat solusi yang menilai kontrak pintar, menguji dan menjalankan metrik kinerja untuk kontrak pintar.

6. Verifikasi runtime: Verifikasi runtime menggunakan metode berbasis verifikasi runtime, yang telah meningkatkan kepatuhan standar, cakupan luas selama eksekusi, untuk menjalankan audit keamanan pada mesin virtual. Produk dan layanan runtime mencakup verifikasi kontrak pintar, verifikasi protokol, layanan konsultasi, Firefly, pemverifikasi token ERC20, dan IELE.



Penulis: Gate.io Pengamat: M. Olatunji
Penafian:
* Artikel ini hanya mewakili pandangan para pengamat dan bukan merupakan saran investasi.
*Gate.io memiliki semua hak atas artikel ini. Pengeposan ulang artikel akan diizinkan asalkan Gate.io dirujuk. Dalam semua kasus lain, tindakan hukum akan diambil karena pelanggaran hak cipta.

Artikel Unggulan Gate.io

Mengapa Industri Crypto Membutuhkan Modal Ventura
Dana Lindung Nilai Terpusat vs Terdesentralisasi
Cara mencari proyek NFT yang tepat