Išmanieji sutarčių saugos auditai padeda nustatyti galimas sistemos saugumo spragas. Jie leidžia pašalinti šiuos pažeidžiamumus, kol piktybinė šalis jomis nepasinaudojo ir nesugriaus jūsų platformos.
Tačiau naudojant tokią naują technologiją jums gali kilti klausimas, kas yra išmanusis sutarčių auditas, kodėl išmanusis sutarčių auditas yra svarbus ir ar jums tikrai reikia išmaniojo sutarčių audito.
Kas yra protingas sutarčių auditas?
Išmanusis sutarties auditas – tai kruopštus, sistemingas kodo patikrinimas ir analizė naudojamas pagal išmaniąją sutartį sąveikauti su kriptovaliuta arba blokų grandine. Šis procesas naudojamas ieškant klaidų, techninių problemų ir saugos spragų kode. Taip išmanieji sutarčių audito ekspertai gali rekomenduoti sprendimus ir atlikti pakeitimus. Paprastai reikalingas protingas sutarčių auditas, nes dauguma sutarčių yra susijusios su vertingais daiktais ir finansiniu turtu.
Išmanusis sutarties auditas nesuteikia 100% garantijos, kad sutartyje nebus klaidų ar pažeidžiamumų. Tačiau ji užtikrina, kad išmanioji sutartis būtų saugi, ją įvertino technologijų ekspertas.
Kibernetinės atakos prieš blokų grandines ir išmaniąsias sutartis
Blockchain kūrėjams tenka našta surasti saugos spragas ir jas ištaisyti prieš panaudojant išnaudojimus realaus pasaulio atakoms.
Kenkėjiški subjektai naudoja du pagrindinius sėkmingos atakos būdus: „Baiting“ ir „Reentrancy“ ataką. Pirmasis remiasi socialinės inžinerijos gudrybėmis, pavyzdžiui, įtikinti auką nusiųsti kriptovaliutą į užpuoliko piniginę; Antroji ir sudėtingesnė strategija reikalauja visapusiško „blockchain“ išmaniųjų sutarčių supratimo ir susijusių elementų, pvz., šoninės ir kryžminės grandinės piniginės, taip pat kelių žinių protokolai.
Čia yra trys dėmesio vertos „blockchain“ atakos.
Kirmgrauža
„Wormhole Bridge“ įsilaužimas yra antra pagal dydį kriptovaliutų ataka iki šiol. Wormhole, populiarus tiltas, jungiantis Ethereum ir Solana blokų grandines, dėl įsilaužimo prarado maždaug 320 mln. Užpuolikas pasinaudojo tilto spraga ir pavogė 120 000 įvynioto eterio, kurio vertė 323 mln.
Užpuolikas sugebėjo nukaldinti apie 20 000 WETH, Ethereum atitikmenį Solana blokų grandinėje, kurio vertė incidento metu buvo 325 mln. Jie tai padarė suklastodami galiojantį sandorio parašą, nepateikdami jokio užstato.
Kremas Finansinis
Išnaudodami „Cream Finance“ skubios paskolos sutarties klaidą, įsilaužėliai iš „Ethereum“ žetonų išsiurbė apie 130 mln. USD. Cream Oracle technologija ir jos turto kainų skaičiavimo metodas turi didelių apribojimų.
Užpuolikas pasinaudojo CREAM naudojamų išmaniųjų sutarčių kainų skaičiavimo apribojimais Finansų platforma ir pakeitė yUSD fondo, naudojamo kaip užstatas, kainą, todėl 1 yUSD akcija tapo $2.
Dėl to, pagal „Cream Finance“ duomenis, pradinis užpuoliko įnašas – 1,5 mlrd. USD yUSD – padvigubėjo. Tada įsilaužėlis konvertavo savo yUSD indėlį į „Cream Finance“ į 3 mlrd. USD ir 1 mlrd. USD pelną panaudojo visam projekto likvidumui nutekėti.
Atvirkštiniai finansai
Pirmiausia užpuolikas išėmė 901 ETH iš Tornado Cash – Ethereum maišytuvo. Tada užpuolikas panaudojo SushiSwap INV/WETH ir INV/DOLA likvidumo fondus, kad pakeistų juos į INV. Vėliau jie padidino INV kainą naudodami abu fondus, kuriuos užfiksavo „Keep3r“ kainų orakulas, kuris stebėjo INV kainą. Tai leido užpuolikui išpūsti INV kainą „Inverse Finance“ ir gauti 15,6 mln. USD INV užtikrintą paskolą ETH, WBTC, YFI ir DOLA.
Išmaniojo sutarties saugumo audito svarba
Pažeidžiama išmanioji sutartis atspindi ne tik klaidingą programavimo bandymą. Tai gali sugadinti kūrėjo įvaizdį ir sužlugdyti projektus, kurių paleidimas užtruko mėnesius ar metus. Todėl išmanusis sutarčių auditas dabar yra vienas iš kūrimo žingsniai, kuriuos atlieka programuotojai kiekvienam naujam projektui. Procesas suteikia šiuos nuostabius privalumus:
- Patobulinta apsauga nuo įsilaužėlių
- Apsaugo nuo brangių išmaniųjų sutarties kodų klaidų
- Saugesni decentralizuoti finansiniai produktai
- Padidėjęs pasitikėjimas projektu ir visa pramone
- Didesnis patikimumas pramonėje, kuri tampa vis konkurencingesnė
Šis išmanusis sutarčių auditas leidžia kūrėjams atlikti geresnius, patvaresnius darbus, kurių rezultatas – saugesni produktai ir programos. Be to, audito ataskaita yra trečiosios šalies eksperto naujo projekto patvirtinimo antspaudas, kuriuo gali pasikliauti investuotojai ir vartotojai.
Išmanusis sutarties saugumo audito procesas
Išmanusis sutarčių auditas iš esmės atliekamas pagal standartinį audito teikėjų procesą. Nors kiekvienas auditorius gali taikyti šiek tiek skirtingą požiūrį, standartinė procedūra yra tokia:
1. Apibrėžkite audito apimtį
Projektas (ir jo paskirtis) ir bendra architektūra apibrėžia išmaniąją sutartį ir projekto specifikacijas. Specifikacija leidžia audito komandai suprasti projekto tikslus rašant ir paleidžiant kodą.
Išmaniosios sutarties specifikacijoje ir kituose susijusiuose dokumentuose pateikiami išsamūs projekto architektūros, kūrimo proceso ir projektavimo sprendimų aprašymai. Paprastai projekto README faile yra specifikacijos aprašymas.
2. Vieneto testavimas
Čia kūrėjo pareiga yra parašyti vieneto bandomuosius atvejus. Atlikdamas vienetų testus, auditorius patikrina, ar išmanioji sutartis veikia taip, kaip numatyta. Šiuo metu išmanieji sutarčių auditoriai naudoja „testnet“ ir audito įrankius, kad užtikrintų, jog vienetų testavimas apima visą susijusią riziką.
Be to, testai suteikia sumaniam sutarčių auditoriui prieigą prie neoficialios dokumentacijos, kurioje pateikiama papildomos informacijos apie planuojamo projekto funkcionalumą.
3. Rankinis auditas
Svarbiausia audito proceso dalis. Auditorius patikrina kiekvieną kodo eilutę, ar nėra klaidų.
4. Automatizuotas auditas
Po rankinio audito auditorius atlieka išsamų kodo auditą naudodamas audito įrankius, tokius kaip Slither, Scribble, Mythril ir MythX. Auditoriai rekomenduoja atlikti sumanų sutarčių auditą, pagrįstą nustatytais pažeidžiamumais ir kodo optimizavimu.
5. Pradinė ataskaita
Auditorius parengia pradinį ataskaitos projektą, įskaitant rastas klaidas, o tada siunčia jį projekto vystymo komandai, kad ji pateiktų atsiliepimų ir pataisytų.
6. Galutinė ataskaita
Paskutinis išmaniųjų sutarčių audito proceso etapas yra galutinis audito ataskaitos rašymas. Prieš pateikdami išsamią audito ataskaitą, auditoriai turėtų atlikti testus ir atlikti rankinius bei automatinius analizės procesus. Jie paskelbia galutinę ataskaitą atsižvelgę į visus veiksmus, kurių ėmėsi komanda, kad išspręstų praneštas problemas.
Išmaniųjų sutarčių įsiskverbimo testai
Atlikdami skverbties testus galite išvengti su kibernetiniu saugumu susijusių katastrofų, kurios gali pakenkti jūsų įmonės reputacijai ir sukelti didelių finansinių nuostolių. Efektyviai išnaudojus išmaniųjų sutarčių spragas, bus galima aptikti rimtus saugumo spragas ir identifikuoti galimus įėjimo į informacines sistemas taškus.
Išmaniosios sutarties įsiskverbimo testą galite atlikti trimis būdais.
Juodosios dėžės testas
Į juodosios dėžės bandymas, įsiskverbimo testeris, tikrinantis išmaniąją sutartį „juodojoje dėžėje“, tai daro nežinodamas, kaip ji veikia viduje. Testeris įveda duomenis ir stebi testuojamos išmaniosios sutarties sugeneruotą išvestį. Tai leidžia nustatyti išmaniosios sutarties reagavimo laiką, naudojimo ir patikimumo problemas bei kaip sutartis reaguoja į netikėtą ir numatomą vartotojo veiklą.
Pilkos dėžutės testas
Pilkos dėžutės testavimas yra išmaniųjų sutarčių testavimo metodas, naudojamas išmaniajai sutarčiai patikrinti, žinant tik dalį jos vidinės struktūros. Pilkos dėžutės testavimas ieško ir tiksliai nustato pažeidžiamumus, atsiradusius dėl prastos, išmaniosios sutarties kodo struktūros ar naudojimo.
Baltos dėžutės testas
Baltos dėžės bandymas analizuoja išmaniosios sutarties vidines struktūras, palyginti su išmaniosios sutarties funkcionalumo testavimu. Jis taip pat vadinamas skaidrios dėžutės testavimu, skaidrios dėžės testavimu, stiklinės dėžės bandymu ir konstrukcijų bandymais.
Šio testo tikslas – nuodugniai išanalizuoti visą sistemą. Jis nustato atakuojančios šalies diapazoną ir žalos pajėgumą.
Išmanieji sutarčių saugos auditai yra gyvybiškai svarbūs DeFi ir NFT projektams
Apibendrinant galima pasakyti, kad keli aukšto lygio projektai, praradę lėšas, buvo pavyzdžiai ir visi suprato, kad reikia skubiai atlikti gerą sumanų sutarčių auditą. Tačiau net jei atliksite išmaniosios sutarties auditą, nėra garantijos, kad išmanioji sutartis visada bus apsaugota nuo atakų.
