지난 해는 암호화폐에서 꽤 암울한 시기였습니다. 우리는 Luna의 치명적인 붕괴, 3 Arrows Capital의 타락, BlockFi, 셀시우스, Voyager, VAULD 등의 지급 불능 및 파산 문제, 우리를 암호화폐 겨울의 깊이로 몰아넣은 거시 경제 상황을 보았을 뿐만 아니라 또한 블록체인과 DeFi 해킹 및 익스플로잇에 있어 기념비적인 재앙의 해였습니다. 이로 인해 사람들은 상어가 들끓는 바다에서 도망치는 수영 선수보다 더 빨리 DeFi에서 도망쳤습니다.
지금 당신은 아마도 스스로 생각하고 있을 것입니다. “와우, 우울한 소개 감사합니다. Crypto는 지뢰밭처럼 들립니다!”
그리고 당신은 거기에서 틀리지 않습니다. 암호 화폐에는 확실히 위험이 있습니다. 그러나 이 모든 운명과 우울이 암호 화폐를 영원히 버리고 침대 아래로 숨고 싶게 만들기 전에 두려워하지 마십시오. 이 기사는 가능한 가장 안전한 방법으로 DeFi 바다를 탐색하는 방법을 가르치고 당신이 무엇을 하는지 보여 줄 것이기 때문입니다. 블록체인 보안 감사에 대해 알아야 합니다.
프로젝트 감사 보고서를 살펴보는 것은 차선의 DeFi 플랫폼으로부터 자신을 보호하기 위해 취할 수 있는 최선의 단계 중 하나입니다. Shutterstock을 통한 이미지
이것이 암호화폐의 모든 위험으로부터 보호하는 데 도움이 되지는 않지만, 다음 memecoin에 자신의 인생 저축을 "YOLO"하기로 결정한 사람을 보호하는 것은 없습니다. DeFi 공간의 전반적인 안전한 탐색을 크게 향상시키기 위해 배포할 수 있습니다.
초기에 약간의 두려움을 완화하기 위해 이 문서가 너무 기술적인 것에 대해 걱정하지 마십시오. 이 유용한 가이드는 전체 암호화 산업을 "비트코인 물건"이라고 부르는 아버지도 이해할 수 있을 정도로 이해하기 쉬울 것입니다.
이 이미지는 아버지가 암호화폐를 보는 방식을 요약한 것입니다. 이미지를 통해 블록체인머핀.com
그리고 저는 블록체인 개발 기술에 대해 잘 알고 있기 때문에 이 기사에 대해 전문적인 도움과 내부자 조언을 받기로 결정했습니다. 나는 아키 블록체인 나 자신을 가르치는 데 도움이 되며 평균적인 Joe는 이러한 블록체인 감사가 도대체 무엇에 관한 것인지 알 수 있습니다.
시간을 내어 블록체인 감사의 기본 사항을 가르쳐주고 이 기사에서 우리와 협력하여 우리와 우리 커뮤니티를 돕기 위해 시간을 내어 Ackee 팀에 큰 박수를 보내고 싶습니다. 블록체인 및 DeFi 감사 보고서는 암호화의 매우 중요한 측면이며 우리 중 소수가 실제로 이해하는 것입니다.
Ackee 블록체인 홈페이지를 살펴보세요.
DApp 또는 DeFi 프로토콜의 안전과 보안을 결정하기 위해 실사를 할 때 우리 중 많은 사람들이 플랫폼이 감사를 받았으며 "괜찮습니다, 충분합니다"라고 생각할 수 있는 것을 찾을 것입니다. 내가 과거에 그 죄를 지었다는 것을 알고 있지만 실제로 감사를 받았다는 것은 무엇을 의미합니까? 이것을 어떻게 확인할 수 있습니까? 그리고 이 기사에서 배우게 될 것처럼, 감사를 받았다고 해서 자동으로 승인을 받아야 하는 것은 아닙니다.
먼저 블록체인 감사 회사가 실제로 하는 일을 살펴보겠습니다.
페이지 내용 👉
블록체인 감사 회사는 무엇을 합니까?
"감사"라는 말을 들을 때, 우리 중 많은 사람들은 자동으로 정부를 위해 일하는 양복을 입은 답답한 늙은이가 와서 우리의 모든 재무 및 은행 거래 명세서를 빗자루로 검토할 것이라고 상상합니다. 전통적인 금융 산업에서는 당신이 옳았겠지만, 블록체인 감사인은 그 이상을 할 수 없었습니다.
블록체인 감사자는 상상의 여지가 없는 회계사가 아니며 블록체인 프로젝트, 스마트 계약 또는 암호화 토큰의 소스 코드에서 버그, 오류 및 악성 코드를 찾는 코딩 및 개발자 기술의 전문가입니다.
블록체인 감사 회사에서 제공하는 일부 서비스. Ackee 블록체인을 통한 이미지
서로 다른 감사 회사는 서로 다른 영역을 전문으로 할 수도 있으므로 둘 이상의 회사에서 감사를 받은 플랫폼을 보는 것이 항상 좋은 이유입니다. 수행되는 모든 감사는 위험을 줄이고 한 회사는 다른 회사가 놓친 것을 발견할 수 있습니다.
1inch 이것의 좋은 예입니다. 1inch는 여러 회사의 감사를 받은 DEX 수집기로서 플랫폼에 대한 사용자의 신뢰를 높이고 1inch 팀이 커뮤니티의 안전을 보장하기 위해 강한 의지를 가지고 있음을 강조합니다.
1inch DeFi 애플리케이션에서 수행된 여러 감사를 살펴봅니다. 이미지를 통해 github/1inch-audit.
블록체인 감사 회사에는 다음과 같은 작업을 수행할 수 있는 엔지니어 팀이 있습니다.
- 보안 감사
- 도구 분석
- 수동 코드 검토
- 자동화된 테스트 실행 및 작성
- 버그 현상금 대회 실시
Ackee Blockchain과 같은 다른 감사 회사도 더 많은 "풀 서비스" 요구 사항을 충족하고 다음과 같은 추가 영역에서 도움을 줄 수 있습니다.
- Solidity 또는 Rust에 대한 안전한 스마트 계약 생성
- 전체 생태계 구축, UX, 디자인, 프론트엔드, 백엔드 및 DevOps 처리 지원
Ackee Blockchain은 또한 블록체인 산업 전체에 기여하고 있습니다. 이는 보기 좋습니다. 그들은 누구나 사용할 수 있는 오픈 소스 보안 도구를 개발했으며 블록체인 개발자를 꿈꾸는 이들을 가르치고 기회를 제공하는 데 열정적입니다. 과거에는 블록체인에서 일하고 싶어하는 개발자를 위한 온라인 과정을 주최했으며 Solana Foundation에서 기금을 받기까지 했습니다. 솔라나를 위한 여름 학교.
Acee Blockchain에서 제공하는 일부 과정.
이 팀은 Solidity를 가르치는 온라인 여름 학교를 제공하며, 2022년 가을 Ackee Blockchain CEO이자 공동 설립자인 Josef Gattermayer, Ph.D. 에서 블록체인 개발에 관한 주제를 가르칠 것입니다. 프라하 체코 공과 대학. Ackee 팀에 연락할 가치가 있습니다. 코스 등록 블록체인 개발 및 보안의 미래에 관심이 있다면 팔로우하십시오.
보시다시피, 블록체인 감사는 암실에서 신경을 곤두세우고 코드를 샅샅이 뒤지는 것 이상일 수 있습니다. 틈새 시장에 전체 생태계가 캡슐화되어 있습니다.
블록체인 감사가 왜 중요한가요?
인간이 완벽하다면 모든 코드 라인이 악용, 결함 및 공격에 완벽하게 영향을 받지 않고 완벽하게 작성되므로 블록체인 감사 회사가 필요하지 않습니다.
인간이 실수하는 것보다 더 나쁜 것은 사람들이 부패하고 악의적일 수 있다는 것입니다. 상당히 자주 발생하는 것은 악의적인 행위자가 의도적으로 악성 코드를 프로토콜에 입력하여 사용자의 자금을 훔치기 위해 만든 플랫폼을 악용할 수 있다는 것입니다.
사람의 실수와 악의적인 의도 사이에서 스마트 계약과 블록체인 애플리케이션/DApp은 다음과 같은 위험에 취약합니다.
- 프로토콜을 사용할 수 없게 만드는 서비스 거부 공격.
- 러그 풀/백도어 절도는 창립자가 스마트 계약에 배치된 자금을 인출할 수 있도록 하는 악성 코드를 입력하는 곳입니다.
- 의도한 방법을 벗어나 새로운 토큰을 발행하거나 스마트 계약에서 고객 자금을 고갈시키는 등 해커에게 이익이 되고 사용자에게 피해를 주는 방식으로 코드를 악용합니다.
- 일부 해커는 단순히 "세상이 불타는 것을 지켜보고 싶어"하고 플랫폼을 손상시키기 위해 찾을 수 있는 모든 결함을 악용합니다.
많은 DeFi 사용자는 DeFi 플랫폼에서 찾아야 할 가장 중요한 것 중 하나가 코드가 오픈 소스인지 여부를 고려합니다. 많은 프로젝트가 Github와 같은 공개 사이트에 코드를 게시할 것이기 때문에 이는 누구나 직접 코드를 확인/검증할 수 있는 훌륭한 첫 번째 단계입니다.
프로젝트의 GitHub 페이지를 볼 때 DApp 사용을 고려하는 사용자가 찾는 것 중 하나인 경우가 많습니다. 다시 1inch를 예로 들면 다음과 같습니다.
"공개"는 누구나 들어가서 코드를 볼 수 있음을 의미합니다. 이미지를 통해 깃허브/1인치
이것은 커뮤니티 구성원이나 누구나 들어갈 수 있고 거기에 숨겨진 악성 코드가 없는지 확인할 수 있는 프로토콜의 진위 여부를 확인할 때 취하는 좋은 초기 접근 방식입니다.
누구나 GitHub에 무엇이든 게시할 수 있다는 사실을 아는 것도 도움이 됩니다. GitHub에 게시된 코드는 스마트 계약을 실행하는 동일한 코드인지 자동으로 확인하지 않습니다. 운 좋게도 사용자는 Etherscan과 같은 블록 탐색기로 이동하여 GitHub의 코드가 실제로 배포되고 사용되는지 확인하여 이를 확인할 수 있습니다. 여기 Etherscan의 1인치 토큰, 예를 들어. GitHub에 오픈 소스 게시가 좋은 징조라는 의견에 동의하는 경향이 있지만, GitHub를 클릭하여 살펴보니 다음과 같은 내용만 표시됩니다.
뭐? 나에게 이집트 상형 문자가 될 수도 있습니다. GitHub를 통한 이미지
그래서 저는 이것을 알아내려고 뜨거운 보도 위의 달걀처럼 두뇌를 튀기는 대신, 블록체인 감사 회사의 전문가 팀이 이 모든 것을 샅샅이 뒤져 엄지손가락을 치켜들었습니다.
한 가지 명확히 하는 것이 중요합니다. 즉, 프로토콜이 감사를 받았다고 해서 100% 안전하다는 의미는 아닙니다. 해커의 도구와 기술이 점점 더 정교해짐에 따라 어떤 코드도 해킹 시도에 완전히 영향을 받지 않는 것으로 간주될 수 없습니다. 화이트햇(좋은) 해커와 블록체인 개발자가 계속 발전하고 발전하는 것처럼 나쁜 사람도 마찬가지입니다.
일종의 고양이와 쥐 게임처럼 생각할 수 있습니다. 코드를 작성하는 것은 본질적으로 창의적인 퍼즐을 만들고 문제를 해결하는 것과 같으며, 해커는 점점 더 영리하고 정교한 방식으로 퍼즐을 풀거나 공격하는 방법을 찾고 있습니다. 항상 위험 요소로 남아 있습니다.
2022년이 크립토 익스플로잇에 특히 나쁜 이유
다음과 같은 헤드라인을 볼 때:
지난 해에는 해킹으로 인해 기록적인 수의 자금 손실이 발생했습니다. 이미지를 통해 테크 크런치
상당히 마음이 아플 수 있습니다. 매주 또 다른 대규모 해킹이나 악용으로 인해 수백만 달러의 자금 손실이 발생하는 것처럼 보이면서 암호화 산업은 심각한 흑안을 받았습니다.
이것은 평범한 사람들이 돈을 잃기 때문에 슬플 뿐만 아니라 이러한 공격으로 인해 전체 암호화 산업이 점점 더 가혹한 비판을 받고 채택이 느려지고 투자자를 멀리하고 정부에 권위를 높이는 데 필요한 변명을 제공하기 때문에 걱정됩니다. 투자자를 "보호"하기 위한 통제, 종종 우리 중 많은 사람들이 도피하기 위해 암호화폐로 전환한 엄격한 조치를 부과합니다.
이것의 주된 이유는 엉성한 개발자 엔지니어링에 있습니다.
Ackee의 Josef와 함께 앉았을 때 왜 기록적인 악용 사례가 있는지에 대한 그의 견해를 물었습니다. 그의 설명은 이해가 되었습니다.
많은 말을 하자면, Josef는 계속해서 암호화 산업이 빠르게 성장하고 있으며 팀이 제품을 출시하기 위한 치열한 경쟁이 벌어지고 있다고 설명했습니다. 수요를 충족할 수 있는 숙련되고 경험 많은 블록체인 개발자가 부족하여 많은 프로젝트에서 초보 개발자를 고용하고 "충분히 좋은" 태도를 가지고 적절한 확인 및 감사가 수행되지 않은 상태에서 DApp을 시작합니다.
나는 Josef Gattermayer와 함께 블록체인 보안에 관한 모든 것을 논의할 수 있어 기뻤습니다. 이미지를 통해 ackee.de
Joseph은 또한 블록체인 감사 서비스의 필요성이 급증하고 있으며 프로젝트의 요구를 충족시킬 블록체인 감사 회사가 충분하지 않다고 설명했습니다. 이로 인해 프로젝트 팀은 감사 팀이 사용 가능해질 때까지 기다리기를 원하지 않으므로 감사 없이 진행하거나 포함하지 않는 오래된 감사에 의존하여 업그레이드를 시작하거나 릴리스합니다. 플랫폼의 새 버전 또는 반복.
이 주제는 특히 2021년 강세장에서 나타났지만 약세장에 들어서면서 상황이 훨씬 완화되었습니다. 프로젝트는 시작하기 위해 크게 서두르지 않으며 감사 병목 현상에 있는 프로젝트는 더 적습니다. 약세장이 구축의 적기인 것은 사실이며, 팀은 시장이 느린 시기에 더 부지런히 접근하는 경향이 있습니다.
우리는 이 모든 것을 이해하는 데 도움이 되도록 정확히 무엇이 다운되었는지 조사한 두 가지 성공적인 공격에 대해 살펴보았습니다.
2016년 이더리움 DAO 해킹
악명 높은 Ethereum DAO 해킹. 이미지를 통해 유선
본질적으로 여기서 일어난 일은 재진입 버그로 알려진 것이었습니다. 간단히 말해서 코드는 두 가지 명령을 실행합니다.
- 출금
- 잔액 업데이트
시간순으로 수행하면 정상적으로 작동합니다. 그러나 이더리움은 (web2 프로그램과 달리) 분산 시스템이므로 철회 명령에서 호출되는 사용자 지정 콜백 기능을 구현하는 옵션을 가져오는 다른 계약에서 계약을 호출할 수 있습니다.
그리고 해커가 구현한 이 콜백 함수는 업데이트 균형 명령이 최종적으로 실행되기 전에 계약을 여러 번 다시 호출합니다. 이를 통해 공격자는 여러 번 철수할 수 있습니다.
이것은 초보 web3 개발자가 자주 하는 실수입니다. 이 공격이 있은 지 5년이 지난 후에도 개발자가 이 사례에서 배울 시간을 들이지 않아 문제가 계속 발생합니다. 이 경우 솔루션은 매우 간단합니다. 즉, 두 줄의 코드를 반대 순서로 배치하는 것입니다. 먼저 업데이트한 다음 철수합니다.
감사자는 프로토콜을 감사할 때 이와 같은 알려진 문제를 찾습니다.
솔라나 웜홀 공격 2022
솔라나 웜홀 해킹. 이미지를 통해 CNBC
2022년은 XNUMX월 초 솔라나에서 발생한 첫 번째 주요 공격으로 좋은 출발을 하지 못했습니다. 공격자는 Rust 프로그램에서 서명 확인을 우회하여 보호자가 서명하지 않았음에도 불구하고 Solana의 Wormhole에 120k ETH 입금에 서명한 것처럼 보였습니다. 공격자는 그런 다음 Solana에서 120 상당의 래핑된 ETH.
이 웜홀 공격 이전에 암호화 커뮤니티의 많은 사람들은 Solana 및 Rust 개발이 아마추어 개발자를 유치하기에는 너무 어렵다고 생각했습니다. 이것은 최고의 개발자들만이 Solana에서 작업했다는 믿음으로 이어졌습니다. 이 공격 이후 Josef는 자신과 그의 팀이 Solana DApp 및 프로토콜에 대한 감사 요청이 크게 증가한 것을 보았다고 말했습니다.
결국 인간이 오류와 유해 의도의 근원이라면 실수할 가능성이 없고 악의적인 의도가 없는 컴퓨터와 인공 지능 기계가 이 모든 코드를 작성하도록 하는 것이 합리적이지 않을까 생각하실 수 있습니다. 우리를 위해?
인공 지능이 곧 개발자를 대체할 가능성은 거의 없습니다. 이미지를 통해 STXnext.com
그것은 훌륭한 질문이며, 위의 기사와 같은 기사 때문에 이 질문도 제 머릿속을 스쳐지나갔습니다. 다음 섹션에서 이에 대해 다룰 것입니다.
블록체인 보안의 미래
우리가 할 수 있는 것보다 훨씬 더 인간의 일을 더 잘할 수 있는 컴퓨터와 AI 프로그램에 많은 직업이 아웃소싱되는 미래로 나아가고 있다는 것은 분명합니다.
우리는 이미 자동화된 출납원과 인간보다 로봇이 더 많은 자동차 제조 공장에서 이를 보고 있습니다. 로봇은 메스를 사용하여 더 정확할 수 있고 컴퓨터 프로그램은 전체 의학 데이터베이스를 샅샅이 뒤지며 몇 초 안에 다른 화학 물질과 섞일 수 있고 섞일 수 없는 약물에 대한 보고서를 채울 수 있기 때문에 컴퓨터는 의사와 약사와 같은 고도로 전문화된 직업을 인수하기도 합니다. 약, 인간에게는 불가능한 일.
나는 프로그래밍과 개발이 컴퓨터로 대체되는 최초의 직업 중 하나가 될 것이라고 확신했습니다. 특정 작업을 완료하는 방식으로 구성된 화면의 모든 문자와 숫자라면 확실히 컴퓨터가 사람보다 오류가 적고 더 잘 수행할 수 있지 않을까요?
예, 다음과 같은 것을 상상했습니다. Shutterstock을 통한 이미지
블록체인 감사 회사가 도도새(멸종)의 길을 갈 것이라고 생각했습니다. 컴퓨터가 자율적으로 개발하기 시작하면 찾을 오류가 없을 것이기 때문입니다. 이것은 Ackee 팀이 내가 이해하지 못했던 몇 가지 개념을 설명하면서 내가 개발에 대해 얼마나 몰랐는지 강조했습니다.
블록체인 개발의 큰 부분은 문제를 해결하고 문제에 대한 360도 관점을 보는 것입니다. 컴퓨터가 할 수 없다는 "정확한" 사고와 많은 창의성이 필요합니다. "'X'가 발생하면 'Y'를 실행하는 것처럼 간단하지 않습니다.
우리는 또한 이러한 많은 DApp과 애플리케이션이 "인간" 문제와 시스템, 프로토콜 및 절차와 상호 작용하는 방식을 해결하려고 한다는 점을 고려해야 합니다. 작은 Butter Bot에게 미안하지만, 당신은 인간의 문제를 이해하고 인간의 솔루션을 제공하는 데 적합하지 않습니다.
로봇이 더 많은 XNUMX차원 작업에 집착할 것 같습니다... 지금은. memegenerator.net을 통해 생성된 밈
블록체인 개발 및 보안 분야의 일자리가 급증할 뿐만 아니라 앞으로 몇 년 동안 이러한 역할이 필요할 것으로 보입니다.
그렇다고 web3 개발 공간에서 자동화가 일어나지 않는다는 것은 아닙니다. 개발자에게 보안 피드백을 제공하고 개발자가 다른 작업에 집중할 수 있도록 일부 작업을 오프로드하는 데 도움이 되는 무료 도구가 많이 있습니다.
예를 들어, 이더리움에는 다음과 같은 좋은 정적 코드 분석기가 있습니다. 주르르 미끄러지 다 그것은 매우 인기가 있으며 Ackee Blockchain은 일어났다, Slither와 다른 방식으로 감지하여 코드를 수동으로 분석해야 하는 부담을 줄입니다.
Ackee 팀은 또한 테스트 문제와 관련하여 Solana의 경향을 발견했습니다. 많은 상용구 코드를 작성해야 하는 상당히 노동 집약적이기 때문에 개발자는 충분히 작성하지 않았습니다. 그래서 Ackee Blockchain은 Solana를 위한 오픈 소스 테스트 프레임워크를 작성하는 프로젝트를 주도했습니다. 트르델닉 그러면 개발자가 테스트를 더 쉽게 작성할 수 있습니다. 팀은 가작을 수상하고 마리네이드 상을 수상했습니다. hackathon Trdelnik을 위해 프라하에서.
이 모든 것은 자동화와 컴퓨터가 블록체인 개발자와 보안 감사자를 지원하는 데 점점 더 중요한 역할을 할 가능성이 있지만 곧 이를 대체할 가능성은 없음을 보여줍니다.
블록체인 개발자들 사이의 일반적인 감정은 이러한 해킹 및 익스플로잇의 대부분이 아직 젊고 경험이 부족한 산업의 결과라는 것입니다. 블록체인 산업이 계속 발전하고 성숙해짐에 따라 익스플로잇이 점점 줄어들어 전체 암호화 공간이 더욱 안전하고 사용자 친화적으로 변해야 합니다.
자, 이제 이 기사의 주요 내용인 좋은 내용으로 들어가 보겠습니다.
플랫폼이 감사되었는지 확인하는 방법
가장 첫 번째 단계는 실제로 감사가 있는지 확인하는 것입니다. 이는 프로젝트의 GitHub 리포지토리에서 찾을 수 있으며 수행된 감사는 프로젝트 문서 또는 플랫폼 웹사이트 자체에 명확하게 언급되어야 합니다. 감사에 대한 언급을 찾을 수 없다면 나는 멀리 할 것입니다.
공개적으로 사용 가능한 감사가 없다는 것은 다음을 의미합니다.
- 수행된 감사가 없습니다
- 프로젝트가 알려지기를 원하지 않는 실패한 감사가 있습니다.
- 감사에서 팀이 해결하지 못한 문제를 발견했습니다.
- 코드에는 도난으로 이어질 수 있는 악성 백도어 경로가 포함되어 있습니다.
앞서 언급했듯이 GitHub에서 "공개"라는 레이블이 지정되어 코드가 오픈 소스임을 확인하는 것도 좋습니다. 이것은 필수 사항은 아니지만 여전히 보너스입니다. 그러나 오픈 소스 코드를 사용하지 않는 이유가 있으므로 항상 거래 차단기는 아닙니다. 오픈 소스 코드를 사용하지 않는 이유는 다음과 같습니다.
- 경쟁 우위를 유지하고자 하는 기업. 회사가 코드를 공개하자마자 누구나 동일한 프로토콜을 만들고 경쟁할 수 있습니다. 코카콜라는 레시피를 비밀로 하고 KFC는 '11가지 허브와 향신료'로 유명하다.
- 코드가 공개되면 해커는 정보를 사용하여 악용을 찾을 수 있습니다. 모범 사례는 그 반대이지만 프로젝트가 코드에 확신이 있으면 이를 게시합니다.
- 초기 프로젝트는 대규모 커뮤니티와 충분한 사용자를 구축하여 잠재적 경쟁자에게 장애물이 될 때까지 코드를 즉시 공개하고 싶지 않을 수 있습니다.
나는 최근에 경쟁 회사가 단순히 코드와 비즈니스 모델을 복사하고 인플루언서에게 지불하고 팔로워에게 지불할 자금이 더 많았기 때문에 플랫폼을 오픈 소싱하는 것을 즉시 후회하는 프로젝트 팀을 만났습니다. 이것은 경쟁 회사가 더 많은 사용자와 더 많은 팔로워에게 인상을 주었기 때문에 출시 직후 더 나은 플랫폼인 것처럼 보이게 했습니다. 경쟁 회사는 이제 더 유기적이고 윤리적으로 성장하기로 선택한 원래 창립 팀보다 훨씬 앞서 있습니다.
다음은 훌륭한 비주얼입니다. 브릿지글로벌 오픈 소스와 클로즈드 소스 소프트웨어 간의 일반적인 차이점 중 일부를 요약한 것입니다.
를 통해 이미지 브릿지글로벌
인기 있는 하드웨어 지갑을 비교하여 개방형 소스 코드와 폐쇄형 소스 코드에 대한 두 가지 흥미로운 접근 방식을 찾을 수 있습니다. 트레저 과 원장. Trezor는 누구나 확인할 수 있도록 소스 코드를 100% 공개하기로 결정한 반면 Ledger는 카드를 가슴 가까이에서 플레이하고 일부 코드를 오픈 소스화했지만 펌웨어는 비공개 소스로 유지했습니다.
이로 인해 많은 블록체인 엘리트주의자들이 Ledger가 자신의 코드를 공개해야 한다고 느꼈기 때문에 Ledger보다 Trezor를 선택하고 숨기려고 하는 것이 무엇인지 궁금해했습니다. 저는 개인적으로 Ledger가 이 분야에 대한 실적과 헌신을 입증하고 세계에서 가장 큰 하드웨어 지갑 제공업체 중 하나로 성장하여 최고 등급의 보안 암호화 저장소를 만들기 때문에 이것이 우려의 원인이라고 생각하지 않습니다. 장치.
감사가 수행되고 위치가 확인되면 공개된 한 누구나 문서를 열고 감사 결과를 찾을 수 있습니다. 간단한 목적을 위해 전체 감사 문서를 스크롤하는 대신 "실행 요약" 페이지만 찾으면 됩니다. 이 페이지는 종종 다음과 같이 표시됩니다.
IDEX에 대한 감사 결과. 이미지를 통해 인증서.quantstamp
이 페이지는 보고서의 맨 처음이나 끝에 위치합니다. 일반 사람이 이해할 수 있는 간단한 형식으로 감사 결과를 보여주는 페이지입니다. 이것이 우리에게 어떤 정보를 보여주고 있는지 알아보자.
감사가 최근입니까? 감사는 지속적인 서비스여야 하며 모든 업데이트, 버전 또는 도입된 새로운 기능/기능에 대해 수행되는 새로운 감사가 반드시 있어야 합니다. 새로운 기능이나 버전이 출시된 경우 코드베이스가 변경되었을 수 있으므로 이전 감사 결과는 더 이상 유효하지 않습니다.
이는 프로젝트 버전 및/또는 커밋 해시를 확인하여 확인할 수 있습니다. 버전은 당신이 볼 때와 같습니다 Uniswap "V2"(버전 2) 및 커밋 해시는 소스 코드 저장소의 개정을 식별합니다. 감사에 표시된 버전 또는 커밋 해시를 볼 때 위의 표에서 "저장소"라는 제목으로 볼 수 있습니다. 사용자는 GitHub에 표시된 버전 또는 커밋 해시와 일치하는지 확인할 수 있습니다.
다음과 같이 보일 것입니다.
다음은 Acee Blockchain Audits 중 하나의 또 다른 모습입니다.
커밋 해시가 일치하지 않는다고 해서 반드시 위험 신호가 있는 것은 아닙니다. 프로젝트 GitHub의 커밋 해시는 새로운 조정이나 반복이 이루어질 때마다 변경됩니다. 모든 조정은 커밋 해시를 변경하므로 약간의 조정만 있었다면 걱정할 필요가 없습니다.
기본 GitHub 페이지의 감사에서 커밋 해시가 표시되지 않으면 "Commit History"로 이동하여 커밋 해시를 검색하고 감사가 수행된 후 얼마나 변경되었는지 확인할 수 있습니다.
여기를 클릭하여 수행할 수 있습니다.
그런 다음 여기에서 검색을 수행합니다.
각 변경 사항에 대해 새 커밋 해시가 채워지고 각각 날짜와 시간 스탬프가 있으므로 감사가 수행된 시간과 프로젝트가 현재 진행 중인 커밋 해시 사이에 상당한 수의 새 커밋이 있었다면 다음을 수행할 수 있습니다. 참여하기 전에 다른 감사가 수행될 때까지 기다리는 것을 고려하고 싶습니다.
분석적인 눈이 있고 더 깊이 들어가고 싶다면 각각의 새로운 커밋 해시를 클릭하고 빨간색으로 표시된 이전 코드와 녹색으로 표시된 새 코드를 비교하고 정확히 무엇이 변경되었는지 직접 확인할 수 있습니다.
감사가 수행되었을 때와 다른 새로운 커밋 해시를 발견하고 다음과 같이 표시되는 경우:
이것은 내가 언급한 중요하지 않은 변경 사항 중 하나이며 새 커밋 해시를 채웠지만 파일의 간단한 이름 바꾸기였으므로 걱정할 필요가 없습니다. 위의 GitHub 이미지는 0개의 추가 및 0개의 삭제를 보여줍니다.
이제 요약에서 찾아야 할 다음 항목으로 이동합니다.
문제 – 요약에는 감사 중에 발견된 모든 문제가 표시되며 더 중요하게는 팀에서 문제를 해결했는지 여부가 표시됩니다. 이 섹션은 "총 문제"가 표시된 하단 근처에서 볼 수 있으며 심각도와 해결 여부로 분류됩니다. 감사 회사는 먼저 문제를 식별하고 개발 팀에 플래그를 지정한 다음 개발자가 문제를 해결하면 감사 팀이 문제를 "해결됨"으로 표시하기 전에 코드를 다시 확인합니다.
분명히 "Critical" 또는 "High Risk"로 표시된 문제는 해결해야 합니다. 보고서에 모든 중요하거나 고위험 문제가 해결되었다고 표시되더라도 프로젝트에 대한 약간의 회의론과 함께 이것은 여전히 기록되어야 합니다. 감사 팀이 시작해야 할 중요한 문제가 많다는 것을 발견했다면, 이는 프로젝트 뒤에 있는 개발자 팀이 아주 초보일 수 있다는 것을 강조할 수 있어 향후 더 많은 추가 문제로 이어질 수 있습니다.
중간 또는 낮은 위험 문제는 일반적이며 일반적으로 우려할 만한 원인이 아닙니다. 감사 팀은 단순히 대안을 제안하거나 접근 방법에 대해 의견이 다를 경우 위험이 낮은 문제로 표시할 수도 있습니다.
각 범주가 의미하는 바를 요약하면 다음과 같습니다.
결정적인 – 위험으로 표시된 모든 항목은 현재 악용할 수 있는 항목이 있음을 의미합니다.
Ackee Blockchain의 팀은 이미 시작된 프로토콜에서 중요한 문제를 발견한 감사에 대한 이야기를 나에게 말했습니다. 그들은 코드를 최대한 빨리 복구하기 위해 "모든 사람이 손에 들고" 비상 상황에서 오전 5시에 프로젝트의 개발 팀을 깨웠습니다. 다행히 해커가 취약점을 식별할 수 있기 전에 제 시간에 문제를 포착했습니다.
높은 심각도 – 지금은 악용할 수 없지만 일부 특정 시퀀스가 충족되는 경우 발생할 수 있는 문제입니다.
중간에서 낮음 – 이는 종종 필요하거나 권장 사항이며 반드시 보안 위협이 아닌 사소한 조정입니다.
다른 감사 회사는 다른 형식으로 요약 요약도 작성합니다. 위에 표시된 요약은 감사 회사에서 수행했습니다. 퀀트스탬프. Ackee Blockchain은 PDF에 감사 및 초기 및 후속 결과를 더 읽기 쉬운 에세이 형식으로 결합한 웹 요약을 제공합니다. 당신은 그들의 예를 찾을 수 있습니다 감사 요약.
추가로 찾아야 할 사항:
- 둘 이상의 회사에서 감사를 완료했습니까? 문제를 찾는 눈이 많을수록 코드에 결함이 있을 가능성이 줄어듭니다.
- 블록체인 감사 회사는 커뮤니티에서 전문적이고 존경받는 회사입니까? 이전에 감사 회사에 대해 들어 본 적이 없다면 웹 사이트를 살펴보고 그들이 수행한 다른 프로젝트를 찾으십시오. 그들이 감사한 플랫폼 중 평판이 좋은 것이 있습니까? 회사가 감사를 수행한 후 플랫폼이 악용되었는지 확인하십시오. 이는 감사 기술이 좋지 않은 기록을 강조할 수 있습니다. 수상한 해커톤 및 레이어 1 네트워크 기반의 지원/보조금과 같은 것을 찾으십시오.
이에 대한 좋은 예는 코인베이스 기빙(Coinbase Giving), 이더리움 재단(Ethereum Foundation), 솔라나 재단(Solana Foundation), 테조스 재단(Tezos Foundation)의 네 가지 주요 재단에서 공식 개발/커뮤니티 보조금을 할당받은 Ackee 블록체인입니다.
감사 회사와 협력하는 평판 좋은 재단을 찾으십시오. Ackee 블록체인을 통한 이미지
잘못된 정보의 시대에 이해할 수 없을 정도로 불신이 된 사람이라면 Ackee Blockchain 웹 사이트에서 위의 이미지와 같은 주장을 본다면 그들의 말을 받아들이는 대신 언제든지 재단의 웹 사이트를 탐색할 수 있습니다. 언급하고 주장을 직접 확인하십시오.
내가 이 말을 하는 이유는 내가 리뷰를 쓰는 동안 "포브스나 야후 파이낸스에 소개됨"이라고 주장하는 웹사이트의 수가 압도적으로 많았기 때문입니다. 그런 거짓말과 오해의 소지가 있는 진술에 대해 회사를 인터넷 감옥으로 데려갈 수 있는 일종의 인터넷 경찰이 있었으면 합니다. 그렇기 때문에 암호화폐에는 "믿지 말고 확인하십시오"라는 말이 있습니다. 걱정하지 마세요. Ackee가 확인했고 실제로 위의 기반에서 신뢰했습니다. 확인했습니다 😉
생각을 폐쇄
글쎄, 당신은 그것을 가지고 있습니다. 도움이 되었기를 바라는 블록체인 보안에 대한 몇 가지 정보입니다. 이 기사가 한 층 더 갑옷을 입고 암호화폐 세계로 모험을 떠나 이전보다 더 안전하게 암호화폐 바다를 항해할 수 있다는 확신을 갖는 데 도움이 되기를 바랍니다. 나는 다음에 내 암호화 자산으로 신뢰하기로 선택한 DApp과 프로토콜을 선택할 때 이 정보를 부지런히 검증할 것임을 알고 있습니다.
"암호화폐에서는 얼마나 벌었느냐가 아니라 얼마를 버느냐가 중요합니다."라는 말이 있듯이 불행히도 우리의 오래된 크립토 베테랑 중 상당수는 무수한 해킹으로 Satoshis의 공정한 몫보다 더 많은 것을 잃었습니다. 사기, 러그풀(rug-pull), 파산 등. 우리가 더 많은 지식을 가질수록, 이 새롭고 싹트고 있는 엉뚱한 암호 세계에 존재하는 많은 가혹한 위험으로부터 우리 자신을 더 잘 보호할 수 있습니다.
면책 조항 : 이것은 작가의 의견이며 투자 조언으로 간주되어서는 안됩니다. 독자는 스스로 조사해야합니다.
