Zakaj potrebujete revizijo varnosti pametne pogodbe

Zakaj potrebujete revizijo varnosti pametne pogodbe

Varnostne revizije pametnih pogodb vam pomagajo pri prepoznavanju morebitnih varnostnih ranljivosti v vašem sistemu. Omogočajo vam, da odpravite te ranljivosti, preden jih zlonamerna oseba izkoristi in uniči vašo platformo.





Vendar pa se s takšno novo tehnologijo morda sprašujete, kaj je revizija pametnih pogodb, zakaj je revizija pametnih pogodb pomembna in ali res potrebujete revizijo pametnih pogodb.



MAKEUSEOF VIDEO DNEVA

Kaj je revizija pametnih pogodb?

Dva človeka razmišljata o papirju blizu dveh odprtih prenosnikov

Revizija pametnih pogodb je temeljit, sistematičen pregled in analiza kode uporablja pametna pogodba za interakcijo s kriptovaluto ali verigo blokov. Ta postopek se uporablja za iskanje napak, tehničnih težav in varnostnih vrzeli v kodi. S tem lahko strokovnjaki za revizijo pametnih pogodb priporočajo rešitve in izvajajo spremembe. Revizije pametnih pogodb so običajno potrebne, ker večina pogodb obravnava dragocene predmete in finančna sredstva.





Revizija pametne pogodbe ne zagotavlja 100-odstotnega jamstva, da bo pogodba brez napak ali ranljivosti. Vendar pa zagotavlja, da je pametna pogodba varna, saj jo je ocenil tehnični strokovnjak.

Kibernetski napadi na verige blokov in pametne pogodbe

Breme je na razvijalcih blockchaina, da najdejo varnostne ranljivosti in jih odpravijo, preden se podvigi uporabijo v napadih v resničnem svetu.



Zlonamerne entitete uporabljajo dve glavni metodi za izvedbo uspešnega napada: napad z vabami in napad ponovnega vstopa. Prvi se opira na trike socialnega inženiringa, kot je prepričevanje žrtve, da pošlje kriptovaluto v napadalčevo denarnico; druga in zahtevnejša strategija zahteva celovito razumevanje pametnih pogodb blockchain in povezanih elementov, kot so stranske in medverižne denarnice, ter poznavanje več protokolov.

Moški v črnem puloverju s kapuco uporablja dva macbooka

Tukaj so trije omembe vredni napadi blockchain.



črvina

Vdor v Wormhole Bridge je drugi največji napad na kriptovalute doslej. Wormhole, priljubljen most, ki povezuje blokovni verigi Ethereum in Solana, je zaradi vdora izgubil približno 320 milijonov dolarjev. Napadalec je izkoristil vrzel na mostu in ukradel 120k zavitega etra v vrednosti 323 milijonov dolarjev.

Napadalec je lahko skoval približno 20.000 wETH, kar je ekvivalent Ethereuma v verigi blokov Solana, v vrednosti 325 milijonov dolarjev v času incidenta. To so storili tako, da so ponaredili veljaven podpis za transakcijo, ne da bi zagotovili kakršno koli zavarovanje.



kako obrezati videoposnetke na androidu

Krema Finančna

Hekerji so potegnili okoli 130 milijonov dolarjev žetonov Ethereum z izkoriščanjem hrošča v pogodbi o bliskovitem posojilu družbe Cream Finance. Tehnologija Cream Oracle in njena metoda izračunavanja cen sredstev imata precejšnje omejitve.

Napadalec je izkoristil omejitve pri izračunih cen s pametnimi pogodbami, ki jih uporablja platforma CREAM Finance, in spremenil ceno sklada yUSD, uporabljenega kot zavarovanje, zaradi česar je delnica 1 yUSD postala 2 USD.

kako narediti kolaž na facebooku

Posledično se je napadalčev prvotni depozit v višini 1,5 milijarde USD v yUSD po poročanju Cream Finance podvojil. Heker je nato njihov depozit v yUSD na Cream Finance pretvoril v 3 milijarde USD in uporabil dobiček v višini 1 milijarde USD za črpanje celotne likvidnosti projekta.

Inverzne finance

Najprej je napadalec dvignil 901 ETH iz Tornado Cash — mešalnika Ethereum. Nato je napadalec uporabil likvidnostna sklada INV/WETH in INV/DOLA podjetja SushiSwap, da bi jih zamenjal za INV. Nato so napihnili ceno INV z uporabo obeh skupin, ki ju je zabeležil cenovni orakelj Keep3r, ki je spremljal ceno INV. To je napadalcu omogočilo, da je napihnil ceno INV pri Inverse Finance in pridobil 15,6 milijona dolarjev posojila, podprtega z INV, v ETH, WBTC, YFI in DOLA.

Pomen revizije varnosti pametne pogodbe

Ranljiva pametna pogodba odraža več kot le napačen poskus programiranja. Lahko okrni podobo razvijalca in uniči projekte, ki so trajali mesece ali leta, da so se začeli. Posledično je revizija pametnih pogodb zdaj ena izmed razvojne korake programerjev za vsak nov projekt. Postopek ponuja naslednje neverjetne prednosti:

  • Izboljšana zaščita pred hekerji
  • Preprečuje drage napake kode pametne pogodbe
  • Varnejši decentralizirani finančni produkti
  • Povečano zaupanje v projekt in celotno industrijo
  • Večja verodostojnost v industriji, ki postaja vse bolj konkurenčna
Skupina ljudi, ki uporablja prenosne računalnike

Sposobnost razvijalcev, da opravljajo boljše in trajnejše delo, kar ima za posledico varnejše izdelke in aplikacije, omogoča ta revizija pametnih pogodb. Poleg tega revizijsko poročilo služi kot odobritveni žig tretje osebe za nov projekt, na katerega se lahko investitorji in uporabniki zanesejo.

Postopek revizije varnosti pametne pogodbe

Revizija pametnih pogodb sledi večinoma standardnemu postopku med ponudniki revizije. Čeprav lahko vsak revizor uporabi nekoliko drugačen pristop, je standardni postopek naslednji:

1. Določite obseg revizije

Projekt (in njegova predvidena uporaba) in celotna arhitektura določata pametno pogodbo in specifikacije projekta. Specifikacija revizijski skupini omogoča razumevanje ciljev projekta pri pisanju in izvajanju kode.

Specifikacija pametne pogodbe in druga sorodna dokumentacija nudita podrobne opise arhitekture projekta, postopka izdelave in oblikovalskih odločitev. Običajno datoteka README za projekt vsebuje opis specifikacije.

2. Testiranje enote

Tukaj je odgovornost razvijalca, da napiše testne primere enote. Med izvajanjem testov enote revizor preveri, ali pametna pogodba deluje, kot je predvideno. Na tej točki revizorji pametnih pogodb uporabljajo testno mrežo in revizijska orodja, da zagotovijo, da testiranje enote pokriva vsa pomembna tveganja.

Poleg tega testi revizorjem pametnih pogodb omogočajo dostop do neuradne dokumentacije, ki zagotavlja dodatne podrobnosti o načrtovani funkcionalnosti projekta.

3. Ročno revidiranje

Najpomembnejši del postopka revizije. Revizor vsako vrstico kode preveri glede napak.

4. Avtomatizirano revidiranje

Po ročni reviziji revizor izvede podrobno revizijo kode z orodji za revizijo, kot so Slither, Scribble, Mythril in MythX. Revizorji priporočajo revizijo pametnih pogodb na podlagi ugotovljenih ranljivosti in optimizacije kode.

5. Začetno poročanje

Revizor naredi začetni osnutek poročila, vključno z napakami, ki jih je našel, nato pa ga pošlje ekipi za razvoj projekta za povratne informacije in ustrezne popravke.

6. Končno poročilo

Zadnja faza v postopku revizije pametnih pogodb je končno pisanje revizijskega poročila. Revizorji morajo opraviti teste ter ročne in avtomatske postopke analize, preden pripravijo podrobno revizijsko poročilo. Objavijo končno poročilo, potem ko upoštevajo vse korake, ki jih je ekipa sprejela za rešitev prijavljenih težav.

Preizkusi prodora za pametne pogodbe

Z izvajanjem penetracijskega testiranja lahko preprečite katastrofe, povezane s kibernetsko varnostjo, ki bi lahko škodile ugledu vašega podjetja in povzročile veliko finančno izgubo. Učinkovito izkoriščanje ranljivosti pametnih pogodb bo omogočilo tako odkrivanje resnih varnostnih ranljivosti kot identifikacijo potencialnih vstopnih točk v informacijske sisteme.

ali lahko svoje prijatelje skrijete na facebooku
Človek piše kodo na dveh prenosnikih in projicira na monitor

Test penetracije pametne pogodbe lahko izvedete na tri načine.

Test črne skrinjice

notri testiranje črne skrinjice , preizkuševalec penetracije, ki testira pametno pogodbo v 'črni skrinjici', to počne, ne da bi vedel, kako interno deluje. Preizkuševalec vnaša podatke in spremlja izhod, ki ga ustvari pametna pogodba, ki je v testu. To omogoča prepoznavanje odzivnega časa pametne pogodbe, težav z uporabnostjo in zanesljivostjo ter kako se pogodba odziva na nepričakovane in pričakovane dejavnosti uporabnikov.

Test sive škatle

Testiranje sive škatle je metoda testiranja pametne pogodbe, ki se uporablja za testiranje pametne pogodbe, medtem ko poznamo le del njene notranje strukture. Preizkušanje sive škatle išče in natančno določa ranljivosti, ki jih povzroča slaba struktura kode pametne pogodbe ali uporaba.

Test bele škatle

Testiranje bele škatle analizira notranje strukture pametne pogodbe glede na testiranje funkcionalnosti pametne pogodbe. Imenuje se tudi kot testiranje prozorne škatle, testiranje prozorne škatle, testiranje steklene škatle in strukturno testiranje.

Namen tega testa je temeljita analiza celotnega sistema. Določa domet in zmogljivost napadalca.

Revizije varnosti pametnih pogodb so ključnega pomena za projekte DeFi in NFT

Za zaključek je več odmevnih projektov, ki so izgubili sredstva, služilo kot primer in vse opozorilo na nujno potrebo po dobri reviziji pametnih pogodb. Toda tudi če opravite revizijo pametne pogodbe, ni nobenega zagotovila, da bo pametna pogodba vedno imuna na napade.