スマートコントラクト監査

2022-03-21, 04:37

[ティッカー]

DeFiスマートコントラクトが2021年にブロックチェーンハックのチャットを上回ったことで、13億ドル以上の暗号通貨が悪用、詐欺、ハッキングのために失われました。これらの莫大な損失は、監査されていない契約、急いでフォーク、あからさまな詐欺などにさかのぼることができます。しかし、Certik DeFiセキュリティレポートによると、悪用されたプロジェクトの大部分は監査されていません。

この記事では、スマートコントラクトとは何か、市場の悪いプレーヤーからスマートコントラクトを保護する方法を検討します。
また、いくつかのスマートコントラクト監査会社とその焦点についても見ていきます。

フォームに記入して、5つの報酬ポイントを受け取り→

スマートコントラクト攻撃

スマートコントラクトは、ブロックチェーンネットワーク上の設定された指示に従う自己実行型のコード行です。これらの契約により、ユーザーは中央当局や法制度を必要とせずに、ブロックチェーン上で信頼できない透明なトランザクションを実行できます。

その有用性のために、DeFiやDExs、ICO、投票プロトコル、サプライチェーン管理などの複雑な分散アプリケーションのビルディングブロックとなっています。
一見知的なように思えるかもしれませんが、コード内でセキュリティの脆弱性やバグが検出されると、大きな損失を被る可能性があります。

通常、スマートコントラクトはその設計機能を実行するかもしれませんが、抜け穴の存在は、ハッカーがスマートコントラクトと対話して資金を流用できるコードを構築する余地を与えます。

- 良い例は、ハッカーがクロスチェーンブリッジを悪用し、206、809 BNBトークンを盗んだQubit Financeに対する最近の攻撃です - 約8000万ドル。
- もう一つの歴史的な例は、2016年のDAOハックで、5000万ドルの損失を計上しています

スマートコントラクトの既知または標準の脆弱性

競合状態: イベントが意図した順序で発生しない場合。スマートコントラクトでは、外部コントラクトが制御フローを引き継ぐときに競合状態が発生することがあります。

再入性: この場合、最初の関数呼び出しが完了する前に、一部の関数が繰り返し呼び出されます。重要な解決策の1つは、特に外部呼び出しを精査するときに、特定の関数での同時呼び出しをブロックすることです。

Cross関数の競合状態: 同じ状態を共有する 2 つの関数の同様の攻撃を、同じソリューションで記述します。

トランザクション注文依存性 (TOD) / フロントランニング: ブロック内のトランザクション注文に影響を与える別の競合状態です。トランザクション注文を操作することで、あるユーザーが別のユーザーを犠牲にして利益を得ることができます。

オラクル操作: この種の攻撃は、入力として外部データに依存するスマートコントラクトに関連しています。入力データが正しくない場合でも、入力データは入力され、自動的に実行されます。ハッキングされた、非推奨にされた、または悪意のある意図を持つオラクルに依存するプロトコルは、それらに依存するすべてのプロセスに悲惨な影響を与える可能性があります。

ショートアドレス攻撃/パラメータ:このタイプの攻撃 はEVMに関連付けられています。スマートコントラクトが誤って埋め込まれた引数を受け入れている場合に発生します。このようにして、攻撃者は、特別に細工されたアドレスを使用して、トランザクションに含める前に引数を誤ってエンコードさせることで、コード化が不十分なクライアントを悪用する可能性があります。

スマートコントラクト監査

通常のコード監査と同様に、スマートコントラクトスマートの安全性は、デプロイされたコードの堅牢性と品質に正比例します。これには、スマートコントラクトコードの広範な精査と分析が含まれます。これを行うために、スマートコントラクトの監査人は、一般的なエラーをチェックし、プラットフォームの既知のエラーをホストし、コードに対する攻撃をシミュレートします。開発者(通常は外部のスマートコントラクト監査人)は、プロジェクトのスマートコントラクトのエラー、潜在的なバグ、またはセキュリティの脆弱性を特定できます。

このサービスは、展開された契約を変更することができないか、取り消すことができないため、ブロックチェーン業界で非常に重要です。欠陥があると、契約が機能不全になったり、回復不能な損失につながる可能性のあるセキュリティ侵害が発生しやすくなる可能性があります。最近では、監査検証を得ることは、ユーザーの信頼を獲得するための後押しです。

スマートコントラクト監査の手順。
1. コード機能とプロジェクトのホワイトペーパーの一貫性を調べる
2. 標準の脆弱性を確認します。
3. 記号解析
4. 自動化ツールによる自動分析(アプローチ1):トリュフやポプルスなどのツールを自動コードテストに使用します。このアプローチは非常に短い時間がかかり、手動のコードチェックと比較してより洗練された浸透性を持っています。それはまた、誤った識別と見逃された脆弱性の制限を持っていますが。
5. 手動のコードとコード品質レビュー (アプローチ 2): この場合、コードは経験豊富な開発者によって手動で検査されます。自動チェックは高速ですが、手動チェックは偽の脆弱性と見逃された脆弱性の両方を考慮します。
6. ガス使用の分析;
7. パフォーマンスの最適化
8. レポート作成

スマートコントラクト監査会社

1. CertiK:Certik は2018年に設立され、スケーラビリティと一流のセキュリティを保証する透明性とプルーフエンジン検証ツールにより、ブロックチェーンのニッチで好まれるものの1つです。つまり、彼らのアプローチは主に数学的です。同社は、スマートコントラクトコードの31,000以上の脆弱性を検出し、1737のプロジェクトを監査し、2110億ドル以上のデジタル資産を確保したと主張しています。

2.ハッケン :ハッケン は、イーサリアム、トロン、 EOSなどのブロックチェーンプラットフォームに監査サービスを提供する別の会社です。彼らのサービスはブロックチェーンソリューションだけに限定されませんが、ハッケンはIT企業にセキュリティ製品も提供しています。 HackenAIセキュリティプラットフォームは、ダークネット監視アラートなどの有効な機能を使用して、セキュリティ侵害からエンドユーザーを保護するためにハッケンによって設計されたソリューションです。

3. Quantstamp: Quantstamp はブロックチェーンセキュリティ企業で、Facebook、Google、Apple などのトップ IT 企業の開発者がいます。 Quanstampには、次のような幅広いブロックチェーンセキュリティツールとサービスがあります。スマートコントラクト監査のための分散型セキュリティネットワーク。彼らの主張によると、Quantstampは2000億ドル以上のデジタル資産を保護しており、200以上の財団やスタートアップが自社製品に従事しています。

4. ConsenSys:2014年に設立された ConsenSys は、ソフトウェア開発者、ビジネス専門家、弁護士、セキュリティプロバイダーで構成される堅牢なチームです。そのプラットフォームはEthereumエコシステムに基づいており、セキュリティと製品保護、金融インフラストラクチャなどのブロックチェーンソリューションを提供することを目指しています。同社はスマートコントラクトセキュリティ分析製品を持っています。 ConsenSys Diligence;暗号経済分析とイーサリアムチェーンの自動スマートコントラクトスキャンを提供します。

5 .チェーンセキュリティ: ブロックチェーンプロトコルとスマートコントラクトを保護する製品とサービスを提供します。 Chainsecurityは85以上のブロックチェーンから信頼されており、170億ドル以上のデジタル資産を保護しています。また、PWC Switzerlandと提携して、セキュリティレビューの実施、スマートコントラクトを評価するソリューションの作成、スマートコントラクトのパフォーマンスメトリックのテストと実行を行っています。

6. Rの時間外検証: ランタイム検証では、標準準拠が向上し、実行中のカバレッジが広くなったランタイム検証ベースのメソッドを使用して、仮想マシンでセキュリティ監査を実行します。ランタイム製品とサービスには、スマートコントラクト検証、プロトコル検証、アドバイザリーサービス、Firefly、ERC20トークン検証機、IELEが含まれます。

著者:Gate.io オブザーバー: M.オラトゥンジ
免責事項：
*この記事はオブザーバーの見解のみを表しており、投資提案を構成するものではありません。
*Gate.io は、この記事に対するすべての権利を留保します。記事の再投稿は、参照されている限り許可さ Gate.io ます。それ以外の場合、著作権侵害により法的措置が取られます。