การตรวจสอบสัญญาอัจฉริยะ

21 March 12:37

[TL;DR]

ด้วยสัญญาอัจฉริยะของ DeFi ที่เพิ่มการแชทของการแฮ็กบล็อคเชนในปี 2564 สกุลเงินดิจิตอลมูลค่ากว่า 1.3 พันล้านดอลลาร์หายไปจากการใช้ประโยชน์ การหลอกลวง และการแฮ็ก ความสูญเสียมหาศาลเหล่านี้สามารถสืบย้อนไปถึงสัญญาที่ยังไม่ได้ตรวจสอบ การฉ้อฉล การหลอกลวงทันที และอื่นๆ อีกมากมาย แต่ตามรายงานด้านความปลอดภัยของ Certik DeFi โครงการที่ถูกเอารัดเอาเปรียบส่วนใหญ่นั้นยังไม่ได้รับการตรวจสอบ

ในบทความนี้ เราจะพิจารณาว่าสัญญาอัจฉริยะคืออะไร วิธีปกป้องพวกเขาจากผู้เล่นที่ไม่ดีในตลาด
เราจะพิจารณาบริษัทตรวจสอบสัญญาอัจฉริยะบางแห่งและจุดสนใจของบริษัทเหล่านี้ด้วย

กรอกแบบฟอร์มเพื่อรับคะแนนสะสม 5 คะแนน→

การโจมตีสัญญาอัจฉริยะ

สัญญาอัจฉริยะ รายการคือบรรทัดโค้ดที่ดำเนินการด้วยตนเองซึ่งเป็นไปตามคำสั่งที่กำหนดไว้ในเครือข่ายบล็อคเชน สัญญาเหล่านี้ทำให้ผู้ใช้สามารถดำเนินการธุรกรรมที่น่าเชื่อถือและโปร่งใสบนบล็อคเชนโดยไม่จำเป็นต้องใช้อำนาจกลางหรือระบบกฎหมายใดๆ

เนื่องจากมีประโยชน์ พวกเขาจึงกลายเป็นส่วนประกอบสำคัญของแอปพลิเคชันการกระจายอำนาจที่ซับซ้อน เช่น ใน DeFi และ DExs, ICO, โปรโตคอลการลงคะแนน และการจัดการห่วงโซ่อุปทาน
อย่างชาญฉลาด พวกเขาสามารถดึงดูดความสูญเสียมหาศาลได้หากตรวจพบช่องโหว่ด้านความปลอดภัยหรือจุดบกพร่องในโค้ด

โดยปกติสัญญาอัจฉริยะอาจทำหน้าที่ออกแบบ แต่การมีช่องโหว่จะทำให้แฮกเกอร์สามารถสร้างรหัสที่สามารถโต้ตอบกับสัญญาอัจฉริยะเพื่อโอนเงินได้

- ตัวอย่างที่ดีคือการโจมตี Qubit Finance เมื่อเร็ว ๆ นี้ ซึ่งแฮ็กเกอร์ใช้ประโยชน์จากสะพานข้ามสายโซ่และขโมยโทเค็น 206, 809 BNB ประมาณ 80 ล้านดอลลาร์
- อีกตัวอย่างหนึ่งในประวัติศาสตร์คือ The DAO hack of 2016 ซึ่งคิดเป็นมูลค่าขาดทุน 50 ล้านดอลลาร์

ช่องโหว่ที่รู้จักหรือมาตรฐานของสัญญาอัจฉริยะ

เงื่อนไขการแข่งขัน: เหตุการณ์ที่ไม่เกิดขึ้นในลำดับที่ตั้งใจไว้ ใน Smart Contracts เงื่อนไขการแข่งขันอาจเกิดขึ้นเมื่อสัญญาภายนอกเข้าควบคุมโฟลว์การควบคุม

การ กลับเข้ามาใหม่: ในกรณีนี้ บางฟังก์ชันจะถูกเรียกซ้ำๆ ก่อนที่การเรียกใช้ฟังก์ชันแรกจะเสร็จสมบูรณ์ วิธีแก้ปัญหาที่สำคัญประการหนึ่งคือการบล็อกการโทรพร้อมกันในฟังก์ชันบางอย่าง โดยเฉพาะอย่างยิ่งเมื่อพิจารณาการโทรภายนอกอย่างละเอียด

C ross -function Race Conditions: อธิบายการโจมตีที่คล้ายคลึงกันของสองหน้าที่ซึ่งมีสถานะเดียวกันโดยใช้วิธีแก้ปัญหาเดียวกัน

Transaction-Ordering Dependence (TOD) / Front Running: เป็นเงื่อนไขการแข่งขันอื่นที่ส่งผลต่อคำสั่งธุรกรรมภายในบล็อก โดยการจัดการกับคำสั่งธุรกรรม ผู้ใช้รายหนึ่งจะได้ประโยชน์โดยแลกกับอีกรายหนึ่ง

Oracle Manipulation: การโจมตีประเภทนี้เกี่ยวข้องกับสัญญาอัจฉริยะที่อาศัยข้อมูลภายนอกเป็นอินพุต หากข้อมูลที่ป้อนไม่ถูกต้อง ข้อมูลนั้นจะยังคงป้อนเข้าและดำเนินการโดยอัตโนมัติ โปรโตคอลที่อาศัย oracles ที่ถูกแฮ็ก เลิกใช้ หรือมีเจตนามุ่งร้ายอาจส่งผลกระทบร้ายแรงต่อกระบวนการทั้งหมดที่ใช้โปรโตคอลเหล่านี้

การโจมตี / พารามิเตอร์ที่อยู่สั้น: การโจมตีประเภทนี้เกี่ยวข้องกับ EVM มันเกิดขึ้นเมื่อสัญญาอัจฉริยะยอมรับข้อโต้แย้งที่เบาะไม่ถูกต้อง ด้วยวิธีนี้ ผู้โจมตีสามารถใช้ประโยชน์จากไคลเอนต์ที่มีรหัสไม่ดีโดยใช้ที่อยู่ที่สร้างขึ้นเป็นพิเศษเพื่อเข้ารหัสอาร์กิวเมนต์อย่างไม่ถูกต้องก่อนที่จะรวมไว้ในธุรกรรม

การตรวจสอบสัญญาอัจฉริยะ

คล้ายกับการตรวจสอบรหัสปกติ ความปลอดภัยของสัญญาอัจฉริยะ Smart เป็นสัดส่วนโดยตรงกับความทนทานและคุณภาพของรหัสที่ปรับใช้ มันเกี่ยวข้องกับการตรวจสอบอย่างละเอียดและการวิเคราะห์รหัสสัญญาอัจฉริยะ ในการทำเช่นนี้ ผู้ตรวจสอบสัญญาอัจฉริยะจะตรวจสอบข้อผิดพลาดทั่วไป ข้อผิดพลาดที่ทราบของแพลตฟอร์มโฮสต์ และจำลองการโจมตีโค้ด นักพัฒนา (โดยปกติคือผู้ตรวจสอบสัญญาอัจฉริยะภายนอก) จะสามารถระบุข้อผิดพลาด ข้อบกพร่องที่อาจเกิดขึ้น หรือช่องโหว่ด้านความปลอดภัยในสัญญาอัจฉริยะของโครงการได้

บริการนี้มีความสำคัญอย่างยิ่งในอุตสาหกรรมบล็อคเชน เนื่องจากสัญญาที่ใช้งานไม่สามารถเปลี่ยนแปลงหรือเพิกถอนไม่ได้ ข้อบกพร่องใด ๆ มักจะทำให้สัญญาผิดปกติหรือมีแนวโน้มที่จะละเมิดความปลอดภัยที่อาจนำไปสู่การสูญเสียที่ไม่สามารถกู้คืนได้ ทุกวันนี้ การได้รับการตรวจสอบความถูกต้องเป็นการกระตุ้นให้ผู้ใช้ได้รับความไว้วางใจ

ขั้นตอนในการตรวจสอบสัญญาอัจฉริยะ
1. ตรวจสอบความสอดคล้องระหว่างฟังก์ชันโค้ดและเอกสารรายงานของโครงการ
2. ตรวจสอบช่องโหว่มาตรฐาน
3. การวิเคราะห์เชิงสัญลักษณ์
4. การวิเคราะห์อัตโนมัติด้วยเครื่องมืออัตโนมัติ (วิธีที่ 1): เครื่องมือเช่น Truffle และ Populus ใช้สำหรับการทดสอบโค้ดอัตโนมัติ วิธีนี้ใช้เวลาสั้นมากและมีการเจาะที่ซับซ้อนกว่าเมื่อเปรียบเทียบกับการตรวจสอบโค้ดด้วยตนเอง แม้ว่าจะมีข้อ จำกัด ในการระบุตัวตนที่ผิดพลาดและช่องโหว่ที่ไม่ได้รับ
5. การตรวจสอบคุณภาพโค้ดและโค้ดด้วยตนเอง (แนวทางที่ 2): ในกรณีนี้ โค้ดจะได้รับการตรวจสอบโดยนักพัฒนาที่มีประสบการณ์ แม้ว่าการตรวจสอบอัตโนมัติจะเร็วกว่า แต่การตรวจสอบด้วยตนเองจะตรวจสอบช่องโหว่ที่ผิดพลาดและพลาดไป
6. การวิเคราะห์การใช้ก๊าซ
7. การเพิ่มประสิทธิภาพการทำงาน
8. การจัดทำรายงาน

บริษัทตรวจสอบสัญญาอัจฉริยะ

1. CertiK: Certik ก่อตั้งขึ้นในปี 2018 และเป็นหนึ่งในกลุ่มบล็อคเชนที่ต้องการเนื่องจากความโปร่งใสและเครื่องมือตรวจสอบเครื่องมือพิสูจน์ที่รับรองความสามารถในการปรับขนาดและความปลอดภัยสูงสุด นั่นคือแนวทางของพวกเขาส่วนใหญ่เป็นคณิตศาสตร์ บริษัทอ้างว่าพวกเขาได้ตรวจพบช่องโหว่กว่า 31, 000 รายการในรหัสสัญญาอัจฉริยะ ตรวจสอบแล้ว 1737 โครงการ และมีทรัพย์สินดิจิทัลมูลค่ากว่า 211 พันล้านดอลลาร์

2. Hacken: Hacken เป็นอีกบริษัทหนึ่งที่ให้บริการตรวจสอบแพลตฟอร์มบล็อกเชน เช่น Ethereum, Tron, EOS แม้ว่าบริการของพวกเขาจะไม่ได้จำกัดอยู่แค่โซลูชั่นบล็อคเชนเพียงอย่างเดียว แต่ Hacken ยังจัดหาผลิตภัณฑ์รักษาความปลอดภัยให้กับบริษัทไอที แพลตฟอร์มความปลอดภัย HackenAI เป็นโซลูชันที่ออกแบบโดย Hacken เพื่อปกป้องผู้ใช้จากการประนีประนอมด้านความปลอดภัยด้วยคุณสมบัติที่เปิดใช้งาน เช่น การแจ้งเตือนการตรวจสอบ Darknet

3. Quantstamp: Quantstamp เป็นบริษัทรักษาความปลอดภัยบล็อกเชนที่มีนักพัฒนาจากบริษัทไอทีชั้นนำ เช่น Facebook, Google และ Apple Quanstamp มีเครื่องมือและบริการรักษาความปลอดภัยบล็อกเชนมากมาย ซึ่งรวมถึง เครือข่ายความปลอดภัยแบบกระจายศูนย์สำหรับการตรวจสอบสัญญาอัจฉริยะ ตามคำกล่าวอ้างของพวกเขา Quantstamp ได้ปกป้องทรัพย์สินดิจิทัลมูลค่ากว่า 2 แสนล้านดอลลาร์ และพวกเขามีมูลนิธิและสตาร์ทอัพมากกว่า 200 รายที่มีส่วนร่วมกับผลิตภัณฑ์ของตน

4. ConsenSys: ก่อตั้งขึ้นในปี 2014 ConsenSys เป็นทีมที่แข็งแกร่งซึ่งประกอบด้วยนักพัฒนาซอฟต์แวร์ ผู้เชี่ยวชาญด้านธุรกิจ ทนายความ ผู้ให้บริการด้านความปลอดภัย แพลตฟอร์มนี้ใช้ระบบนิเวศของ Ethereum และมีเป้าหมายเพื่อให้บริการโซลูชั่นบล็อกเชน เช่น การรักษาความปลอดภัยและการปกป้องผลิตภัณฑ์ โครงสร้างพื้นฐานทางการเงิน บริษัทมีผลิตภัณฑ์วิเคราะห์ความปลอดภัยสัญญาอัจฉริยะ ความขยันหมั่นเพียร ConsenSys; ซึ่งให้การวิเคราะห์ crypto-economic และการสแกนสัญญาอัจฉริยะอัตโนมัติสำหรับ Ethereum chain

5. การรักษาความปลอดภัย ลูกโซ่: จัดหาผลิตภัณฑ์และบริการที่รักษาความปลอดภัยโปรโตคอลบล็อกเชนและสัญญาอัจฉริยะ Chainsecurity ได้รับความไว้วางใจจากบล็อคเชนมากกว่า 85 แห่ง และมีทรัพย์สินดิจิทัลมูลค่ากว่า 17 พันล้านดอลลาร์ พวกเขายังร่วมมือกับ PWC Switzerland เพื่อดำเนินการตรวจสอบความปลอดภัย สร้างโซลูชันที่ประเมินสัญญาอัจฉริยะ ทดสอบและเรียกใช้ตัวชี้วัดประสิทธิภาพสำหรับสัญญาอัจฉริยะ

6. R untime Verification: การตรวจสอบรันไทม์ใช้วิธีการตรวจสอบรันไทม์ ซึ่งได้เพิ่มการปฏิบัติตามมาตรฐาน ความครอบคลุมกว้างระหว่างการดำเนินการ เพื่อเรียกใช้การตรวจสอบความปลอดภัยบนเครื่องเสมือน ผลิตภัณฑ์และบริการรันไทม์รวมถึงการตรวจสอบสัญญาอัจฉริยะ การตรวจสอบโปรโตคอล บริการให้คำปรึกษา Firefly ตัวตรวจสอบโทเค็น ERC20 และ IELE

ผู้แต่ง: Gate.io ผู้สังเกตการณ์: M. Olatunji
ข้อจำกัดความรับผิดชอบ:
* บทความนี้เป็นเพียงความคิดเห็นของผู้สังเกตการณ์เท่านั้น และไม่ถือเป็นข้อเสนอแนะในการลงทุนใดๆ
*Gate.io ขอสงวนสิทธิ์ทั้งหมดในบทความนี้ อนุญาตให้โพสต์บทความใหม่ได้หากมีการอ้างอิง Gate.io ในกรณีอื่นๆ ทั้งหมด จะดำเนินการทางกฎหมายเนื่องจากการละเมิดลิขสิทธิ์