Un bref sur l'audit des contrats intelligents Ethereum

Temps de lecture: 6 minutes

A "contrat intelligent” est un ensemble d'instructions qui s'exécutent sur Ethereum Blockchain. Pour auditer, un contrat intelligent ethereum signifie s'assurer qu'il est à l'abri des menaces potentielles et des vulnérabilités courantes.

Alors que dans le scénario actuel, les piratages et les exploits liés aux contrats intelligents sont à un niveau record, c'est une tempête dont il faut faire l'éloge car cela entraîne des progrès et des améliorations pour Plateformes DeFi, ce qui les rend plus sûrs.

Quand on parle de sécurité des contrats intelligents, on ne peut pas lâcher le «importance des audits de contrats intelligents.« L'audit des contrats intelligents est un processus de vérification croisée des codes de contrats intelligents en fonction de divers paramètres. Et dans les sections à venir, nous analyserons l'importance de l'audit des contrats intelligents, les multiples approches de l'audit des contrats intelligents et les étapes impliquées dans l'audit d'un contrat intelligent Ethereum.

Importance de l'audit de contrat intelligent

Pour mieux comprendre pourquoi toute partie prenante aurait besoin d'un audit de contrat intelligent, nous devons examiner le passé récent et voir les pertes volumineuses subies sur diverses plates-formes DeFi.

Réseau Poly : perte de 600 millions de dollars
Prêtez-moi – 25 millions de dollars de perte ;
Synthetix – 37 millions de pertes de sETH ;
BZX – 645 000 $ de perte.

Ce ne sont que quelques hacks récents. Selon un nouveau rapport-

« DeFi a représenté plus de 75 % des piratages cryptographiques en 2021. Cela représente 361 millions de dollars, 2.7 fois plus qu'en 2020. »

CipherTrace

Ces chiffres énormes sont effrayants, mais ces attaques auraient pu être facilement atténuées si ces plates-formes DeFi avaient pu prendre des mesures préventives. Bien que certaines des attaques puissent être graves, la plupart d'entre elles auraient pu être facilement évitées.

L'un des meilleurs moyens de protéger votre plate-forme DeFi des menaces futures potentielles est de vous familiariser avec toutes les attaques passées. Pour ce faire, l'une des meilleures ressources est le registre SWC qui présente une liste de toutes les vulnérabilités des contrats intelligents et des exemples pour les résoudre.

La source: SWC enregistrement

Alors, quelles sont ces étapes d'or de l'audit des contrats intelligents qui, lorsqu'elles sont suivies, pourraient aider diverses plates-formes DeFi à économiser des millions ?

Approches universelles de l'audit des contrats intelligents

Il existe deux méthodes largement adoptées pour l'audit des contrats intelligents :

Analyse manuelle du code
Analyse de code automatique

Analyse manuelle du code

C'est le processus d'examen du code ligne par ligne pour identifier les vulnérabilités potentielles. C'est un processus complexe qui nécessite des compétences, de l'expérience, de la persévérance et de la patience. Pour améliorer la sécurité du projet DeFi, passer par l'analyse de code manuelle est sensiblement le meilleur moyen d'identifier les vulnérabilités que l'analyse de code automatique peut laisser.

Le plus souvent, nous rencontrons une question très fréquente : « Combien de personnes devraient constituer l'équipe de révision de code ? » À Audits de plume, nous accordons la priorité à la sécurité du projet ; par conséquent, nous avons une équipe d'examen d'auditeurs expérimentés et qualifiés pour examiner la dynamique du code des contrats intelligents.

Bien qu'il existe certaines limitations de l'analyse manuelle du code, telles que les débordements de mémoire tampon (en particulier les erreurs "par défaut"), le code mort et certaines autres erreurs qui peuvent parfois être négligées par un examinateur humain, elles sont mieux adaptées à l'automatisation. analyse pour les trouver.

Analyse de code automatique

L'analyse automatique du code permet d'économiser du temps et de l'argent car elle utilise divers tests de pénétration pour trouver les vulnérabilités. Nous à Audits de plume tirer parti de divers outils open source internes pour maximiser les résultats des audits de sécurité. Certains des meilleurs outils utilisés par nos auditeurs internes sont :

MytheX – Un service de sécurité de contrat intelligent qui examine votre projet sur la base d'une analyse statique, d'une analyse dynamique et d'une exécution symbolique. Pour utiliser MythX nécessite une clé API de mythx.io.
Mythrill – Un outil d'analyse de sécurité pour les contrats intelligents Ethereum. Il examine une gamme de problèmes de sécurité - dépassements d'entiers, écrasement du propriétaire vers l'éther, etc.
Slither - Un cadre d'analyse statique écrit en Python 3, il identifie les vulnérabilités et imprime des informations visuelles sur les détails du contrat, et fournit une API pour que l'analyse personnalisée soit écrite de manière flexible.
Echidna – Une créature étrange qui mange des insectes ! Un programme Haskell développé pour le test fuzzing / basé sur la propriété des contrats intelligents Ethereum.
Auditeur – Analyser le code Ethereum pour trouver des vulnérabilités.

Ce n'était qu'une liste concise d'outils utilisés par notre équipe interne d'auditeurs pour effectuer une analyse de code automatique. Mais quelles sont ces étapes en or pour effectuer un audit de contrat intelligent ?

Étapes pour auditer un contrat intelligent Ethereum

Bien qu'il puisse y avoir plus d'une raison pour effectuer un audit de contrat intelligent, la principale raison est de sécuriser votre plate-forme Defi. Nous à Audits de plume suivre une méthodologie complète pour effectuer un audit de contrat intelligent.

#1 : Rassembler des modèles de conception de code

C'est l'une des principales étapes de la réalisation d'un audit de contrat intelligent. Pour l'entreprise réalisant des audits, il est important de bien comprendre le code et les spécifications de travail de la plateforme de contrat intelligent.

#2 : Tests unitaires

Nous effectuons des tests unitaires de contrats intelligents à l'aide de divers outils de couverture de code. Nous implémentons également des cas de test unitaires pour vérifier que chaque fonction fonctionne de manière cohérente avec le code global du contrat intelligent.

#3 : Analyse manuelle

Parfois, l'analyse automatisée peut entraîner des rapports faussement positifs ; par conséquent, il devient nécessaire d'effectuer des recherches manuelles ligne par ligne pour trouver des vulnérabilités potentielles telles que les conditions de concurrence, la dépendance à l'ordre des transactions, la dépendance à l'horodatage des appels externes et les attaques par déni de service.

#4 : Rapport initial

Nous vous présentons ensuite un premier rapport avec tous les bugs et erreurs qui doivent être corrigés par votre équipe.

#5 : Correction du code

Corrigez tous les bugs et erreurs découverts lors de l'analyse préliminaire, puis envoyez-la aux auditeurs pour l'examen final.

#6 : Analyse statique et vérification formelle

Nous effectuons des revues de code à l'aide de nos outils automatisés open source internes pour détecter les failles et les codes malveillants dans le contrat intelligent.

#7 : Rapport d'audit final

Le rapport d'audit final est présenté au client et publié sur GitHub pour que quiconque puisse s'y référer.

C'est la stratégie globale que suit notre équipe interne d'auditeurs qualifiés, bien qu'il soit visible que votre contrat intelligent est audité deux fois au même prix.

Bien qu'auditer un projet DeFi une fois ne garantit pas sa sécurité, nous recommandons qu'il soit audité au moins deux (ou) trois fois. Dans le passé, il y a eu des incidents tels que le piratage « Popsicle Finance » pour 20 M$. Il a été audité deux fois, mais il a également été exploité en raison d'une vulnérabilité commune.

Par conséquent, des incidents comme celui-ci décrivent clairement les l'importance de l'audit intelligent des contrats - "plus, mieux c'est !" .

Mot de la fin

Eh bien, si vous avez été avec nous jusqu'ici, vous savez comment un contrat intelligent Ethereum est audité.

Alors que le nombre croissant de piratages et d'exploits DeFi peut vous alarmer, effectuer un audit de contrat intelligent robuste d'une entreprise digne de confiance telle que Audits de plume vous fera économiser des millions de dollars.

1,624 Vues

Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
La source: https://blog.quillhash.com/2023/02/08/how-properly-auditing-an-ethereum-smart-contract-can-save-you-millions/

Intelligence de données générative

Un bref sur l'audit des contrats intelligents Ethereum

Importance de l'audit de contrat intelligent

Approches universelles de l'audit des contrats intelligents

Étapes pour auditer un contrat intelligent Ethereum

Mot de la fin

Présentation du projet d'opportunité de financement participatif du jeu de société Flip That House de la deuxième édition par Indiegogo

Relooking du garde-manger numérique : présentation du projet d'opportunité de financement participatif Eliminate Diets par Indiegogo

Dernières informations

L'un des meilleurs casques de jeu reçoit un nouveau look élégant

Ce mineur de charbon de 2.8 milliards de dollars exploite également du Bitcoin – Décrypter

Bitcoin récupère un support clé au-dessus de 60,000 XNUMX $ après avoir tenté de balayer les plus bas de mars

3 Bits – À la recherche de la circularité – EcoSoul Partners – Climate Action for Business

Gensler a menti au Congrès à propos d'Ethereum, déclare le représentant McHenry

Ripple s'étend plus loin au Japon avec XRPL dans le cadre de son dernier partenariat