Аудит розумних контрактів

[TL;DR]

---

У 2021 році інтелектуальні контракти DeFi очолювали рейтинг хакерських блокчейнів, і через використання, шахрайство та хакерство було втрачено криптовалюти на суму понад 1,3 мільярда доларів. Ці величезні втрати можна простежити через неперевірені контракти, поспішні форки, відверте шахрайство та багато іншого. Але згідно зі звітом про безпеку Certik DeFi, більшість експлуатованих проектів не перевірені.

У цій статті ми розберемо, що таке розумні контракти, як захистити їх від поганих гравців на ринку.
Ми також розглянемо деякі компанії з аудиту смарт-контрактів та їхні напрямки.


Заповніть форму, щоб отримати 5 бонусних балів→

Атаки на смарт-контракт

---

смарт-контрактів — це самовиконувані рядки кодів, які підкоряються встановленим інструкціям у мережі блокчейн. Ці контракти дозволяють користувачам здійснювати надійні та прозорі транзакції в блокчейні без необхідності центрального органу чи будь-якої правової системи.

Завдяки своїй корисності вони стали будівельними блоками для складних децентралізованих програм, таких як DeFi і DExs, ICO, протоколи голосування та управління ланцюгами поставок.
Якими б розумними не здавалися, вони можуть завдати величезних збитків, якщо в коді виявляться будь-які вразливості системи безпеки або помилки.

Зазвичай смарт-контракт може виконувати свої функції розробки, але наявність лазівки дає можливість хакерам створювати коди, здатні взаємодіяти зі смарт-контрактом для перенаправлення коштів.

- Хорошим прикладом є нещодавня атака на Qubit Finance, де хакер використав його міжланцюговий міст і викрав 206 809 токенів BNB - близько 80 мільйонів доларів.
- Іншим історичним прикладом є злом DAO 2016 року, який спричинив збиток у 50 мільйонів доларів.

Розумний контракт Відомі або стандартні вразливості

---

Умови перегонів: коли події відбуваються не в передбаченому порядку. У розумних контрактах можуть виникати умови змагання, коли зовнішні контракти переймають контроль над потоком.

Повторне входження: у цьому випадку деяка функція викликається повторно до завершення першого виклику функції. Одним із важливих рішень є блокування одночасних викликів у певних функціях, особливо під час перевірки зовнішніх викликів.

C cross -function Race Conditions: опишіть подібну атаку двох функцій, що мають однаковий стан, з однаковими рішеннями.

Залежність упорядкування транзакцій (TOD) / Front Running: ще одна умова змагання, яка впливає на замовлення транзакцій у блоці. Маніпулюючи замовленнями на транзакції, один користувач отримує вигоду за рахунок іншого.

Маніпуляції Oracle: цей вид атаки пов’язаний зі смарт-контрактами, які покладаються на зовнішні дані як вхідні дані. Якщо вхідні дані неправильні, вони все одно вводяться та автоматично виконуються. Протоколи, що покладаються на оракули, які були зламані, застарілі або мають зловмисний намір, можуть мати катастрофічні наслідки для всіх процесів, які покладаються на них.

Атака/параметр короткої адреси: цей тип атаки пов’язаний з EVM. це трапляється, коли смарт-контракт приймає неправильно доповнені аргументи. Таким чином зловмисники можуть використовувати погано закодовані клієнти, використовуючи спеціально створені адреси, щоб змусити їх неправильно кодувати аргументи перед включенням їх у транзакції.

Аудит розумних контрактів

---

Подібно до звичайного аудиту коду, безпека розумного контракту Smart прямо пропорційна надійності та якості розгорнутого коду. Це передбачає ретельне вивчення та аналіз коду смарт-контракту. Для цього аудитори смарт-контрактів перевіряють типові помилки, відомі помилки хост-платформи та імітують атаки на код. Потім розробники (зазвичай зовнішні аудитори смарт-контрактів) можуть виявити помилки, потенційні помилки або вразливі місця в системі безпеки проекту.

Ця послуга надзвичайно важлива в індустрії блокчейнів, оскільки розгорнуті контракти не можна змінити або вони невідкличні. Будь-який дефект, швидше за все, призведе до непрацездатності контракту або його схильності до порушень безпеки, що може призвести до непоправних втрат. Сьогодні отримання перевірки аудиту є стимулом для завоювання довіри користувачів.

Кроки до аудиту розумних контрактів.
1. Перевірте узгодженість між функціональними можливостями коду та технічним документом проекту
2. Перевірте стандартні вразливості;
3. Символічний аналіз
4. Автоматичний аналіз за допомогою автоматизованих інструментів (підхід 1): такі інструменти, як Truffle і Populus, використовуються для автоматизованого тестування коду. Цей підхід займає дуже короткий час і має більш складне проникнення порівняно з ручною перевіркою коду. Хоча він також має обмеження щодо помилкової ідентифікації та упущеної вразливості.
5. Ручний код і перевірка якості коду (підхід 2): у цьому випадку код вручну перевіряють досвідчені розробники. Хоча автоматичні перевірки є швидшими, ручні перевірки враховують як помилкові, так і пропущені вразливості.
6. Аналіз використання газу;
7. Оптимізація продуктивності
8. Підготовка звіту.

Компанії з аудиту розумних контрактів

---

1. CertiK: Certik було засновано в 2018 році, і він є одним із найпопулярніших у ніші блокчейнів завдяки їхнім прозорим і надійним інструментам верифікації механізму, що забезпечує масштабованість і першокласну безпеку. Тобто їхній підхід переважно математичний. Компанія стверджує, що вони виявили понад 31 000 вразливостей у кодах смарт-контрактів, перевірили 1737 проектів і захистили цифрові активи на суму понад 211 мільярдів доларів.

2. Hacken: Hacken — ще одна компанія, яка надає послуги аудиту для платформ блокчейну, таких як Ethereum, Tron, EOS . Хоча їхні послуги не обмежуються лише блокчейн-рішеннями, Hacken також надає продукти безпеки для ІТ-компаній. Платформа безпеки HackenAI — це рішення, розроблене компанією Hacken для захисту кінцевого користувача від компромісів безпеки за допомогою активованих функцій, таких як сповіщення моніторингу Darknet.

3. Quantstamp: Quantstamp — це компанія з блокчейн-безпеки, розробниками якої є провідні ІТ-компанії, такі як Facebook, Google і Apple. Quanstamp має широкий набір інструментів і служб безпеки блокчейну, зокрема; децентралізована мережа безпеки для аудиту смарт-контрактів. Згідно з їхніми заявами, Quantstamp захистив понад 200 мільярдів доларів цифрових активів, і вони мають понад 200 фондів і стартапів, які використовують їхні продукти.

4. ConsenSys: заснована в 2014 році, ConsenSys є потужною командою, що складається з розробників програмного забезпечення, бізнес-експертів, юристів, постачальників послуг безпеки. Його платформа заснована на екосистемі Ethereum і спрямована на забезпечення блокчейн-рішень, таких як безпека та захист продуктів, фінансова інфраструктура. У компанії є продукт для аналізу безпеки смарт-контрактів. ConsenSys Diligence; який забезпечує криптоекономічний аналіз і автоматизоване сканування смарт-контрактів для ланцюга Ethereum.

5. Chainsecurity: надає продукти та послуги для захисту протоколів блокчейну та смарт-контрактів. Chainsecurity користується довірою понад 85 блокчейнів і захищає цифрові активи на суму понад 17 мільярдів доларів. Вони також співпрацюють із PWC Switzerland для проведення аналізів безпеки, створення рішень для оцінки смарт-контрактів, тестування та запуску показників продуктивності для смарт-контрактів.

6. Перевірка під час виконання: перевірка під час виконання використовує метод, заснований на перевірці під час виконання, який має підвищену відповідність стандартам, широке охоплення під час виконання, для проведення аудитів безпеки на віртуальних машинах. Продукти та послуги Runtime включають перевірку смарт-контрактів, перевірку протоколів, консультаційні послуги, Firefly, верифікатор токенів ERC20 та IELE.



Автор: Gate.io Спостерігач: М. Олатунджі
Відмова від відповідальності:
* Ця стаття представляє лише погляди спостерігачів і не містить інвестиційних пропозицій.
*Gate.io залишає за собою всі права на цю статтю. Повторне розміщення статті буде дозволено за умови посилання на Gate.io. У всіх інших випадках через порушення авторських прав буде вжито судовий позов.

Вибрані статті Gate.io

Чому криптоіндустрії потрібен венчурний капітал
Централізовані проти децентралізованих хедж-фондів
Як шукати правильний проект NFT