Auditoria de Contratos Inteligente

2022-03-21, 04:37


[TL;DR]



Com os contratos inteligentes DeFi no topo da conversa de hacks em cadeia em 2021, mais de $1.3 bilhões de moedas criptográficas foram perdidas para exploração, esquemas e hacks. Estas perdas maciças podem ser rastreadas a contratos não auditados, garfos apressados, fraudes e muito mais. Mas de acordo com o relatório de segurança Certik DeFi, a maioria dos projectos explorados não são auditados.

Neste artigo, vamos examinar o que são contratos inteligentes, como protegê-los dos maus jogadores no mercado.
Também vamos analisar algumas empresas inteligentes de auditoria de contratos e os seus focos.


Preencha o formulário para receber 5 recompensas points→


Ataques de contratos inteligentes



contratos inteligentes são linhas de Códigos autoexecutáveis que obedecem a instruções definidas na rede de cadeias de bloqueio. Estes contratos permitem aos utilizadores realizar transacções sem confiança e transparentes na cadeia de bloqueio sem a necessidade de uma autoridade central ou qualquer sistema legal.

Devido à sua utilidade, tornaram-se os blocos de construção para aplicações descentralizadas complexas, tais como na DeFi e DExs, ICO, protocolos de votação, e gestão da cadeia de fornecimento.
Por mais inteligentes que possam parecer, podem atrair enormes perdas se forem detectadas quaisquer vulnerabilidades de segurança ou bugs no código.

Normalmente, o contrato inteligente pode desempenhar as suas funções de concepção, mas a presença de uma lacuna dará espaço para os hackers construírem códigos capazes de interagir com o contrato inteligente para desviar fundos.

- Um bom exemplo é um ataque recente à Qubit Finance, onde o hacker explorou a sua ponte de corrente cruzada e roubou 206, 809 fichas BNB - cerca de 80 milhões de dólares.
- Outro exemplo histórico é O DAO hack de 2016, responsável por uma perda de $50 milhões


Contrato inteligente Conhecido ou vulnerabilidades padrão



Condições da corrida: onde os eventos não ocorrem na ordem pretendida. Em Contratos Inteligentes, as Condições de Corrida podem ocorrer quando contratos externos assumem o fluxo de controlo.

Reentrância: neste caso, alguma função é chamada repetidamente antes da primeira invocação de função ser completada. Uma das soluções cruciais é bloquear chamadas simultâneas em certas funções, especialmente ao escrutinar chamadas externas.

Cross -function Race Conditions: descreve um ataque semelhante de duas funções que partilham o mesmo estado, com as mesmas soluções.

Transaction-Ordering Dependence (TOD) / Front Running: é outra condição racial que afecta as ordens de transacção dentro de um bloco. Ao manipular ordens de transacção, um utilizador beneficia à custa de outro.

Manipulação Oracle: este tipo de ataque está associado a contratos inteligentes que dependem de dados externos como inputs. Se os dados de entrada estiverem incorrectos, eles ainda são alimentados e executados automaticamente. Protocolos que dependem de oráculos que foram pirateados, depreciados, ou têm intenções maliciosas podem ter efeitos desastrosos em todos os processos que dependem deles.

Ataque/ parâmetro de endereço curto: este tipo de ataque está associado à EVM. acontece quando o contrato inteligente está a aceitar argumentos incorrectamente almofadados. Desta forma, os atacantes podem explorar clientes mal codificados, usando endereços especialmente criados para os fazer codificar argumentos incorrectamente antes de os incluir nas transacções.


Auditoria de contrato inteligente



Semelhante à auditoria de código regular, A segurança de um contrato inteligente Smart é directamente proporcional à robustez e qualidade do código implantado. Envolve um extenso escrutínio e análise de um código de contrato inteligente. Para o fazer, auditores inteligentes de contratos verificam se existem erros comuns, erros conhecidos da plataforma anfitriã, e simulam ataques ao código. Os desenvolvedores (normalmente auditores externos de contratos inteligentes) são então capazes de identificar erros, potenciais bugs, ou vulnerabilidades de segurança no contrato inteligente do projecto.

Este serviço é muito importante na indústria da cadeia de bloqueio porque os contratos implantados não podem ser alterados ou são irrevogáveis. Qualquer defeito muito provavelmente tornará o contrato disfuncional ou propenso a falhas de segurança que podem levar a perdas irrecuperáveis. Hoje em dia, obter uma validação de auditoria é um impulso para ganhar a confiança dos utilizadores.

Passos para uma Auditoria de Contrato Inteligente.
1. Examine a consistência entre a funcionalidade do código e o whitepaper do projecto
2. Verifique as vulnerabilidades padrão;
3. Análise simbólica
4. Análise automatizada por ferramentas automatizadas (Abordagem 1): ferramentas como Trufa e Populus são usadas para testes automatizados de código. Esta abordagem leva um tempo muito curto e tem uma penetração mais sofisticada em comparação com a verificação manual do código. Embora também tenha limitações de falsa identificação e vulnerabilidade perdida.
5. Código manual e revisão da qualidade do código (abordagem 2): neste caso, o código é examinado manualmente por programadores experientes. Embora as verificações automáticas sejam mais rápidas, as verificações manuais são responsáveis por ambas as falsas vulnerabilidades & falhadas.
6. Análise do uso de gás;
7. Optimização do desempenho
8. Preparação do relatório.


Empresas Inteligentes de Auditoria de Contratos



1. CertiK: Certik foi fundada em 2018 e é uma das preferidas no nicho da cadeia de bloqueio devido à sua transparência e ferramentas de verificação do motor de prova que asseguram a escalabilidade e a segurança de topo. Ou seja, a sua abordagem é principalmente matemática. A empresa afirma ter detectado mais de 31.000 vulnerabilidades em códigos de contratos inteligentes, auditou 1737 projectos, e garantiu mais de $211 biliões de dólares em activos digitais.

2. Hacken: Hacken é outra empresa que fornece serviços de auditoria para plataformas de cadeias de bloqueio como Ethereum, Tron, EOS. Embora os seus serviços não se limitem apenas a soluções de cadeia de bloqueio, a Hacken também fornece produtos de segurança para empresas de TI. A plataforma de segurança HackenAI é uma solução concebida pela Hacken para proteger o utilizador final de compromissos de segurança com funcionalidades activadas, tais como os alertas de monitorização Darknet.

3. Quantstamp: A Quantstamp é uma empresa de segurança em cadeia de bloqueio com desenvolvedores das principais empresas de TI como o Facebook, Google e Apple. A Quanstamp tem uma vasta gama de ferramentas e serviços de segurança em cadeia de bloqueio, incluindo; uma rede de segurança descentralizada para auditorias inteligentes de contratos. De acordo com as suas reivindicações, a Quantstamp já protegeu mais de 200 mil milhões de dólares em activos digitais, e tem mais de 200 fundações e start-ups que contrataram os seus produtos.

4. ConsenSys: fundada em 2014, ConsenSys é uma equipa robusta composta por programadores de software, especialistas em negócios, advogados, fornecedores de segurança. A sua plataforma é baseada no ecossistema Ethereum e visa fornecer soluções de cadeia de bloqueio, tais como segurança e protecção de produtos, infra-estruturas financeiras. A empresa tem um produto de análise de segurança de contrato inteligente. ConsenSys Diligence; que fornece análise cripto-económica e digitalização inteligente automatizada de contratos para a cadeia Ethereum.

5. Chainsecurity: fornece produtos e serviços que asseguram protocolos de cadeias de bloqueio e contratos inteligentes. Mais de 85 cadeias de segurança são confiáveis e garantiram mais de 17 mil milhões de dólares de activos digitais. Eles também fizeram uma parceria com a PWC Suíça para realizar revisões de segurança, criar soluções que avaliam contratos inteligentes, testar e executar métricas de desempenho para contratos inteligentes.

6. Runtime Verification: A verificação em tempo de execução usa o método baseado na verificação em tempo de execução, que aumentou a conformidade padrão, ampla cobertura durante a execução, para realizar auditorias de segurança em máquinas virtuais. O produto e serviço em tempo de execução inclui verificação de contrato inteligente, verificação de protocolo, serviço de aconselhamento, Firefly, verificador de fichas ERC20, e IELE.



Autor: Gate.io Observer: M. Olatunji
Disclaimer:
* Este artigo representa apenas a opinião dos observadores e não constitui qualquer sugestão de investimento.
*Gate.io reserva-se todos os direitos sobre este artigo. A reedição do artigo será permitida desde que o Gate.io seja referenciado. Em todos os outros casos, serão tomadas medidas legais devido à violação dos direitos de autor.



Gate.io Artigos em Destaque

Por que a Indústria Crypto precisa de capital de risco
Fundos de Hedge Centralizados vs Descentralizados
Como procurar o projecto NFT certo
Partilhar
gate logo
Credit Ranking
Complete Gate Post tasks to upgrade your rank