• การแจ้งเตือน ตลาดและราคา
      ดูเพิ่มเติม
    • เปลี่ยนอัตราการซื้อขายและภาษา
    • การตั้งค่ากําหนด
      ปรับเปลี่ยนสีชาร์ตแท่งเทียน
      เวลาเริ่มต้นการเปลี่ยนแปลง%
    • ภาษา
    • ปรับเปลี่ยนอัตราสกุลเงิน
    อย่าเปลี่ยนไปใช้ Fiat ไม่แสดงราคา Fiat
    • CNY - ¥
    • USD - $
    • VND - ₫
    • EUR - €
    • GBP - £
    • HKD - $
    • JPY - ¥
    • RUB - ₽
    • TRY - ₺
    • INR - ₹
    • NGN - ₦
    • UAH - ₴
    • BRL - R$
    • MYR - RM
    • PGK - K
    • THB - ฿
    • PKR - ₨
    • BDT - ৳
    • PHP - ₱
    • CAD - $
    • IDR - Rp
    • ZAR - R
    • PLN - zł
    • SAR - ﷼‎
    • ARS - $
    • AED - د.إ
    • KZT - ₸
    • EGP - E£
    • UZS - so`m
    • TWD - $
    • GHS - GH₵
    • VES - Bs
    • MXN - $
    • COP - $
    • XAF - Fr
    • XOF - FCFA
    • BYN - Br
    • KES - Ksh
    • MAD - د.م
    • AUD - $
    • TZS - TSh
    • SEK - kr
    • AZN - ₼
    • CLP - $
    • HUF - Ft
    • RON - lei
    • AMD - ֏
    • DZD - د.ج
    • NPR - रू
    • JOD - د.ا.
    • MRU - UM
    • IQD - ع.د

    เวลาเริ่มต้นการเปลี่ยนแปลง%

    • 24 ชม.
    • UTC 00:00
    • UTC+8 00:00

    ปรับเปลี่ยนสีชาร์ตแท่งเทียน

    • สีเขียวคือราคาเพิ่มขึ้น สีแดงคือลดลง
    • สีเขียวคือราคาเพิ่มขึ้น สีแดงคือลดลง
    Gate บล็อก

    ประตูสู่ข่าวสารและข้อมูลเชิงลึกเกี่ยวกับคริปโต

    Gate.io บล็อก การตรวจสอบสัญญาอัจฉริยะ

    การตรวจสอบสัญญาอัจฉริยะ

    21 March 12:37


    [TL;DR]



    ด้วยสัญญาอัจฉริยะของ DeFi ที่เพิ่มการแชทของการแฮ็กบล็อคเชนในปี 2564 สกุลเงินดิจิตอลมูลค่ากว่า 1.3 พันล้านดอลลาร์หายไปจากการใช้ประโยชน์ การหลอกลวง และการแฮ็ก ความสูญเสียมหาศาลเหล่านี้สามารถสืบย้อนไปถึงสัญญาที่ยังไม่ได้ตรวจสอบ การฉ้อฉล การหลอกลวงทันที และอื่นๆ อีกมากมาย แต่ตามรายงานด้านความปลอดภัยของ Certik DeFi โครงการที่ถูกเอารัดเอาเปรียบส่วนใหญ่นั้นยังไม่ได้รับการตรวจสอบ

    ในบทความนี้ เราจะพิจารณาว่าสัญญาอัจฉริยะคืออะไร วิธีปกป้องพวกเขาจากผู้เล่นที่ไม่ดีในตลาด
    เราจะพิจารณาบริษัทตรวจสอบสัญญาอัจฉริยะบางแห่งและจุดสนใจของบริษัทเหล่านี้ด้วย


    กรอกแบบฟอร์มเพื่อรับคะแนนสะสม 5 คะแนน→


    การโจมตีสัญญาอัจฉริยะ



    สัญญาอัจฉริยะ รายการคือบรรทัดโค้ดที่ดำเนินการด้วยตนเองซึ่งเป็นไปตามคำสั่งที่กำหนดไว้ในเครือข่ายบล็อคเชน สัญญาเหล่านี้ทำให้ผู้ใช้สามารถดำเนินการธุรกรรมที่น่าเชื่อถือและโปร่งใสบนบล็อคเชนโดยไม่จำเป็นต้องใช้อำนาจกลางหรือระบบกฎหมายใดๆ

    เนื่องจากมีประโยชน์ พวกเขาจึงกลายเป็นส่วนประกอบสำคัญของแอปพลิเคชันการกระจายอำนาจที่ซับซ้อน เช่น ใน DeFi และ DExs, ICO, โปรโตคอลการลงคะแนน และการจัดการห่วงโซ่อุปทาน
    อย่างชาญฉลาด พวกเขาสามารถดึงดูดความสูญเสียมหาศาลได้หากตรวจพบช่องโหว่ด้านความปลอดภัยหรือจุดบกพร่องในโค้ด

    โดยปกติสัญญาอัจฉริยะอาจทำหน้าที่ออกแบบ แต่การมีช่องโหว่จะทำให้แฮกเกอร์สามารถสร้างรหัสที่สามารถโต้ตอบกับสัญญาอัจฉริยะเพื่อโอนเงินได้

    - ตัวอย่างที่ดีคือการโจมตี Qubit Finance เมื่อเร็ว ๆ นี้ ซึ่งแฮ็กเกอร์ใช้ประโยชน์จากสะพานข้ามสายโซ่และขโมยโทเค็น 206, 809 BNB ประมาณ 80 ล้านดอลลาร์
    - อีกตัวอย่างหนึ่งในประวัติศาสตร์คือ The DAO hack of 2016 ซึ่งคิดเป็นมูลค่าขาดทุน 50 ล้านดอลลาร์


    ช่องโหว่ที่รู้จักหรือมาตรฐานของสัญญาอัจฉริยะ



    เงื่อนไขการแข่งขัน: เหตุการณ์ที่ไม่เกิดขึ้นในลำดับที่ตั้งใจไว้ ใน Smart Contracts เงื่อนไขการแข่งขันอาจเกิดขึ้นเมื่อสัญญาภายนอกเข้าควบคุมโฟลว์การควบคุม

    การ กลับเข้ามาใหม่: ในกรณีนี้ บางฟังก์ชันจะถูกเรียกซ้ำๆ ก่อนที่การเรียกใช้ฟังก์ชันแรกจะเสร็จสมบูรณ์ วิธีแก้ปัญหาที่สำคัญประการหนึ่งคือการบล็อกการโทรพร้อมกันในฟังก์ชันบางอย่าง โดยเฉพาะอย่างยิ่งเมื่อพิจารณาการโทรภายนอกอย่างละเอียด

    C ross -function Race Conditions: อธิบายการโจมตีที่คล้ายคลึงกันของสองหน้าที่ซึ่งมีสถานะเดียวกันโดยใช้วิธีแก้ปัญหาเดียวกัน

    Transaction-Ordering Dependence (TOD) / Front Running: เป็นเงื่อนไขการแข่งขันอื่นที่ส่งผลต่อคำสั่งธุรกรรมภายในบล็อก โดยการจัดการกับคำสั่งธุรกรรม ผู้ใช้รายหนึ่งจะได้ประโยชน์โดยแลกกับอีกรายหนึ่ง

    Oracle Manipulation: การโจมตีประเภทนี้เกี่ยวข้องกับสัญญาอัจฉริยะที่อาศัยข้อมูลภายนอกเป็นอินพุต หากข้อมูลที่ป้อนไม่ถูกต้อง ข้อมูลนั้นจะยังคงป้อนเข้าและดำเนินการโดยอัตโนมัติ โปรโตคอลที่อาศัย oracles ที่ถูกแฮ็ก เลิกใช้ หรือมีเจตนามุ่งร้ายอาจส่งผลกระทบร้ายแรงต่อกระบวนการทั้งหมดที่ใช้โปรโตคอลเหล่านี้

    การโจมตี / พารามิเตอร์ที่อยู่สั้น: การโจมตีประเภทนี้เกี่ยวข้องกับ EVM มันเกิดขึ้นเมื่อสัญญาอัจฉริยะยอมรับข้อโต้แย้งที่เบาะไม่ถูกต้อง ด้วยวิธีนี้ ผู้โจมตีสามารถใช้ประโยชน์จากไคลเอนต์ที่มีรหัสไม่ดีโดยใช้ที่อยู่ที่สร้างขึ้นเป็นพิเศษเพื่อเข้ารหัสอาร์กิวเมนต์อย่างไม่ถูกต้องก่อนที่จะรวมไว้ในธุรกรรม


    การตรวจสอบสัญญาอัจฉริยะ



    คล้ายกับการตรวจสอบรหัสปกติ ความปลอดภัยของสัญญาอัจฉริยะ Smart เป็นสัดส่วนโดยตรงกับความทนทานและคุณภาพของรหัสที่ปรับใช้ มันเกี่ยวข้องกับการตรวจสอบอย่างละเอียดและการวิเคราะห์รหัสสัญญาอัจฉริยะ ในการทำเช่นนี้ ผู้ตรวจสอบสัญญาอัจฉริยะจะตรวจสอบข้อผิดพลาดทั่วไป ข้อผิดพลาดที่ทราบของแพลตฟอร์มโฮสต์ และจำลองการโจมตีโค้ด นักพัฒนา (โดยปกติคือผู้ตรวจสอบสัญญาอัจฉริยะภายนอก) จะสามารถระบุข้อผิดพลาด ข้อบกพร่องที่อาจเกิดขึ้น หรือช่องโหว่ด้านความปลอดภัยในสัญญาอัจฉริยะของโครงการได้

    บริการนี้มีความสำคัญอย่างยิ่งในอุตสาหกรรมบล็อคเชน เนื่องจากสัญญาที่ใช้งานไม่สามารถเปลี่ยนแปลงหรือเพิกถอนไม่ได้ ข้อบกพร่องใด ๆ มักจะทำให้สัญญาผิดปกติหรือมีแนวโน้มที่จะละเมิดความปลอดภัยที่อาจนำไปสู่การสูญเสียที่ไม่สามารถกู้คืนได้ ทุกวันนี้ การได้รับการตรวจสอบความถูกต้องเป็นการกระตุ้นให้ผู้ใช้ได้รับความไว้วางใจ

    ขั้นตอนในการตรวจสอบสัญญาอัจฉริยะ
    1. ตรวจสอบความสอดคล้องระหว่างฟังก์ชันโค้ดและเอกสารรายงานของโครงการ
    2. ตรวจสอบช่องโหว่มาตรฐาน
    3. การวิเคราะห์เชิงสัญลักษณ์
    4. การวิเคราะห์อัตโนมัติด้วยเครื่องมืออัตโนมัติ (วิธีที่ 1): เครื่องมือเช่น Truffle และ Populus ใช้สำหรับการทดสอบโค้ดอัตโนมัติ วิธีนี้ใช้เวลาสั้นมากและมีการเจาะที่ซับซ้อนกว่าเมื่อเปรียบเทียบกับการตรวจสอบโค้ดด้วยตนเอง แม้ว่าจะมีข้อ จำกัด ในการระบุตัวตนที่ผิดพลาดและช่องโหว่ที่ไม่ได้รับ
    5. การตรวจสอบคุณภาพโค้ดและโค้ดด้วยตนเอง (แนวทางที่ 2): ในกรณีนี้ โค้ดจะได้รับการตรวจสอบโดยนักพัฒนาที่มีประสบการณ์ แม้ว่าการตรวจสอบอัตโนมัติจะเร็วกว่า แต่การตรวจสอบด้วยตนเองจะตรวจสอบช่องโหว่ที่ผิดพลาดและพลาดไป
    6. การวิเคราะห์การใช้ก๊าซ
    7. การเพิ่มประสิทธิภาพการทำงาน
    8. การจัดทำรายงาน


    บริษัทตรวจสอบสัญญาอัจฉริยะ



    1. CertiK: Certik ก่อตั้งขึ้นในปี 2018 และเป็นหนึ่งในกลุ่มบล็อคเชนที่ต้องการเนื่องจากความโปร่งใสและเครื่องมือตรวจสอบเครื่องมือพิสูจน์ที่รับรองความสามารถในการปรับขนาดและความปลอดภัยสูงสุด นั่นคือแนวทางของพวกเขาส่วนใหญ่เป็นคณิตศาสตร์ บริษัทอ้างว่าพวกเขาได้ตรวจพบช่องโหว่กว่า 31, 000 รายการในรหัสสัญญาอัจฉริยะ ตรวจสอบแล้ว 1737 โครงการ และมีทรัพย์สินดิจิทัลมูลค่ากว่า 211 พันล้านดอลลาร์

    2. Hacken: Hacken เป็นอีกบริษัทหนึ่งที่ให้บริการตรวจสอบแพลตฟอร์มบล็อกเชน เช่น Ethereum, Tron, EOS แม้ว่าบริการของพวกเขาจะไม่ได้จำกัดอยู่แค่โซลูชั่นบล็อคเชนเพียงอย่างเดียว แต่ Hacken ยังจัดหาผลิตภัณฑ์รักษาความปลอดภัยให้กับบริษัทไอที แพลตฟอร์มความปลอดภัย HackenAI เป็นโซลูชันที่ออกแบบโดย Hacken เพื่อปกป้องผู้ใช้จากการประนีประนอมด้านความปลอดภัยด้วยคุณสมบัติที่เปิดใช้งาน เช่น การแจ้งเตือนการตรวจสอบ Darknet

    3. Quantstamp: Quantstamp เป็นบริษัทรักษาความปลอดภัยบล็อกเชนที่มีนักพัฒนาจากบริษัทไอทีชั้นนำ เช่น Facebook, Google และ Apple Quanstamp มีเครื่องมือและบริการรักษาความปลอดภัยบล็อกเชนมากมาย ซึ่งรวมถึง เครือข่ายความปลอดภัยแบบกระจายศูนย์สำหรับการตรวจสอบสัญญาอัจฉริยะ ตามคำกล่าวอ้างของพวกเขา Quantstamp ได้ปกป้องทรัพย์สินดิจิทัลมูลค่ากว่า 2 แสนล้านดอลลาร์ และพวกเขามีมูลนิธิและสตาร์ทอัพมากกว่า 200 รายที่มีส่วนร่วมกับผลิตภัณฑ์ของตน

    4. ConsenSys: ก่อตั้งขึ้นในปี 2014 ConsenSys เป็นทีมที่แข็งแกร่งซึ่งประกอบด้วยนักพัฒนาซอฟต์แวร์ ผู้เชี่ยวชาญด้านธุรกิจ ทนายความ ผู้ให้บริการด้านความปลอดภัย แพลตฟอร์มนี้ใช้ระบบนิเวศของ Ethereum และมีเป้าหมายเพื่อให้บริการโซลูชั่นบล็อกเชน เช่น การรักษาความปลอดภัยและการปกป้องผลิตภัณฑ์ โครงสร้างพื้นฐานทางการเงิน บริษัทมีผลิตภัณฑ์วิเคราะห์ความปลอดภัยสัญญาอัจฉริยะ ความขยันหมั่นเพียร ConsenSys; ซึ่งให้การวิเคราะห์ crypto-economic และการสแกนสัญญาอัจฉริยะอัตโนมัติสำหรับ Ethereum chain

    5. การรักษาความปลอดภัย ลูกโซ่: จัดหาผลิตภัณฑ์และบริการที่รักษาความปลอดภัยโปรโตคอลบล็อกเชนและสัญญาอัจฉริยะ Chainsecurity ได้รับความไว้วางใจจากบล็อคเชนมากกว่า 85 แห่ง และมีทรัพย์สินดิจิทัลมูลค่ากว่า 17 พันล้านดอลลาร์ พวกเขายังร่วมมือกับ PWC Switzerland เพื่อดำเนินการตรวจสอบความปลอดภัย สร้างโซลูชันที่ประเมินสัญญาอัจฉริยะ ทดสอบและเรียกใช้ตัวชี้วัดประสิทธิภาพสำหรับสัญญาอัจฉริยะ

    6. R untime Verification: การตรวจสอบรันไทม์ใช้วิธีการตรวจสอบรันไทม์ ซึ่งได้เพิ่มการปฏิบัติตามมาตรฐาน ความครอบคลุมกว้างระหว่างการดำเนินการ เพื่อเรียกใช้การตรวจสอบความปลอดภัยบนเครื่องเสมือน ผลิตภัณฑ์และบริการรันไทม์รวมถึงการตรวจสอบสัญญาอัจฉริยะ การตรวจสอบโปรโตคอล บริการให้คำปรึกษา Firefly ตัวตรวจสอบโทเค็น ERC20 และ IELE



    ผู้แต่ง: Gate.io ผู้สังเกตการณ์: M. Olatunji
    ข้อจำกัดความรับผิดชอบ:
    * บทความนี้เป็นเพียงความคิดเห็นของผู้สังเกตการณ์เท่านั้น และไม่ถือเป็นข้อเสนอแนะในการลงทุนใดๆ
    *Gate.io ขอสงวนสิทธิ์ทั้งหมดในบทความนี้ อนุญาตให้โพสต์บทความใหม่ได้หากมีการอ้างอิง Gate.io ในกรณีอื่นๆ ทั้งหมด จะดำเนินการทางกฎหมายเนื่องจากการละเมิดลิขสิทธิ์



    Gate.io บทความแนะนำ

    ทำไมอุตสาหกรรม Crypto ต้องการเงินทุน
    กองทุนป้องกันความเสี่ยงแบบรวมศูนย์และแบบกระจายอำนาจ
    วิธีค้นหาโครงการ NFT ที่เหมาะสม
    แกะกล่องลุ้นโชคของคุณและรับรางวัล $6666
    ลงทะเบียนตอนนี้
    รับ 20 พ้อยท์ตอนนี้
    สิทธิพิเศษสำหรับผู้ใช้ใหม่: ทำ 2 ขั้นตอนเพื่อรับพ้อยท์ทันที!

    🔑 ลงทะเบียนบัญชีกับ Gate.io

    👨‍💼 ดำเนินการ KYC ให้เสร็จสิ้นภายใน 24 ชั่วโมง

    🎁 รับรางวัลพ้อยท์สะสม

    รับสิทธิ์เลย
    ภาษาและภูมิภาค
    อัตราซื้อขาย

    เลือกภาษาและภูมิภาค

    ต้องการไปที่ Gate.TR?
    Gate.TR ออนไลน์อยู่ในขณะนี้
    คุณสามารถคลิกและไปที่ Gate.TR หรืออยู่ที่ Gate.io