Leestijd: 6 minuten
A "slim contract” is een reeks instructies die op Ethereum Blockchain worden uitgevoerd. Om te controleren, betekent een ethereum smart contract ervoor te zorgen dat het beveiligd is tegen potentiële bedreigingen en veelvoorkomende kwetsbaarheden.
Terwijl in het huidige scenario de hacks en exploits met betrekking tot slimme contracten een recordhoogte hebben bereikt, is het een storm om geprezen te worden omdat het leidt tot verbeteringen en verbeteringen voor DeFi-platforms, waardoor ze veiliger zijn.
Als we het hebben over de veiligheid van slimme contracten, kunnen we de "belang van slimme contractaudits.” Slimme contractaudit is een proces om slimme contractcodes te verifiëren op basis van verschillende parameters. En in de komende secties zullen we het belang analyseren van slimme contractcontrole, meerdere benaderingen van slimme contractcontrole en stappen die betrokken zijn bij het controleren van een Ethereum slim contract.
Belang van slimme contractaudit
Om beter te begrijpen waarom een belanghebbende slimme contractaudits nodig zou hebben, moeten we naar het recente verleden kijken en de omvangrijke verliezen zien die op verschillende DeFi-platforms zijn geleden.
- Poly-netwerk : $600 miljoen verlies
- Leen mij – $25 mln verlies;
- synthetisch – 37 miljoen sETH-verlies;
- BZX – $ 645 verlies.
Dit zijn slechts enkele recente hacks. Volgens een nieuw rapport-
“DeFi is verantwoordelijk voor meer dan 75% van de crypto-hacks in 2021. Dat komt neer op $ 361 miljoen, 2.7 keer meer dan in 2020. ”
CipherTrace
Die enorme aantallen zijn angstaanjagend, maar deze aanvallen hadden gemakkelijk kunnen worden beperkt als die DeFi-platforms preventieve maatregelen hadden kunnen nemen. Hoewel sommige aanvallen ernstig kunnen zijn, hadden de meeste gemakkelijk kunnen worden afgewend.
Een van de beste manieren om uw DeFi-platform te beschermen tegen mogelijke toekomstige bedreigingen, is door uzelf vertrouwd te maken met alle eerdere aanvallen. Om dit te doen, is een van de beste bronnen het SWC-register dat een lijst presenteert met alle kwetsbaarheden in slimme contracten en voorbeelden om deze aan te pakken.
Bron: SWC register
Dus wat zijn die gouden stappen van slimme contractcontrole die, wanneer gevolgd, verschillende DeFi-platforms kunnen helpen miljoenen te besparen?
Universele benaderingen voor slimme contractcontrole
Er zijn twee algemeen aanvaarde methoden voor slimme contractcontrole:
- Handmatige code-analyse
- Automatische code-analyse
Handmatige code-analyse
Het is het proces waarbij de code regel voor regel wordt onderzocht om mogelijke kwetsbaarheden te identificeren. Het is een complex proces dat vaardigheid, ervaring, doorzettingsvermogen en geduld vereist. Om de beveiliging van het DeFi-project te verbeteren, is het doorlopen van de handmatige code-analyse in wezen de beste manier om de kwetsbaarheden te identificeren die de automatische code-analyse kan achterlaten.
Meestal komen we een veel voorkomende vraag tegen: "Uit hoeveel mensen moet het codebeoordelingsteam bestaan?". Bij QuillAudits, we stellen de veiligheid van het project voorop; daarom hebben we een beoordelingsteam van ervaren en bekwame auditors om de dynamiek van de slimme contractcode te onderzoeken.
Hoewel er enkele beperkingen zijn aan de handmatige code-analyse, zoals bufferoverlopen (vooral "off-by-one" fouten), dode code en enkele andere fouten die soms over het hoofd worden gezien door een menselijke recensent, zijn ze beter geschikt voor geautomatiseerde analyse om ze te vinden.
Automatische code-analyse
Automatische code-analyse bespaart tijd en geld omdat het verschillende penetratietests gebruikt om kwetsbaarheden te vinden. wij bij QuillAudits gebruik maken van verschillende interne open-sourcetools om de resultaten voor beveiligingsaudits te maximaliseren. Enkele van de best-in-class tools die door onze interne auditors worden gebruikt, zijn:
- MytheX – Een slimme contractbeveiligingsservice die uw project onderzoekt op basis van statische analyse, dynamische analyse en symbolische uitvoering. Om MythX te gebruiken is een API-sleutel vereist van: mythx.io.
- mythril – Een beveiligingsanalysetool voor slimme Ethereum-contracten. Het onderzoekt een reeks beveiligingsproblemen - integer-underflows, eigenaar-overschrijven-naar-ether-opname en andere.
- Glibberen - Een statisch analyseraamwerk geschreven in Python 3, het identificeert kwetsbaarheden en drukt visuele informatie over contractdetails af, en biedt een API voor de aangepaste analyse die flexibel kan worden geschreven.
- mierenegel - Een raar wezen dat insecten eet! Een Haskell-programma ontwikkeld voor fuzzing/property-based testen van slimme Ethereum-contracten.
- Luisteraar – Om Ethereum-code te analyseren om kwetsbaarheden te vinden.
Dat was slechts een beknopte lijst van tools die door ons interne team van auditors werden gebruikt om automatische code-analyse uit te voeren. Maar wat zijn die gouden stappen om een smart contract audit uit te voeren?
Stappen om een Ethereum Smart Contract te controleren
Hoewel er meer dan één reden kan zijn om een slimme contractaudit uit te voeren, is het primaire motief om uw Defi-platform te beveiligen. wij bij QuillAudits volg een uitgebreide methodologie om een slimme contractaudit uit te voeren.
#1: Code-ontwerppatronen verzamelen
Het is een van de belangrijkste stappen bij het uitvoeren van een slimme contractaudit. Voor het bedrijf dat audits uitvoert, is het belangrijk om de code en werkspecificaties van het smart contract platform goed te begrijpen.
#2: Eenheid testen
We voeren smart contract unit-tests uit met behulp van verschillende tools voor codedekking. We implementeren ook unit-testcases om te controleren of elke functie coherent werkt met de algemene slimme contractcode.
#3: Handmatige analyse
Soms kan geautomatiseerde analyse resulteren in fout-positieve rapporten; daarom wordt het nodig om regel-voor-regel handmatig onderzoek te doen om mogelijke kwetsbaarheden te vinden, zoals race-omstandigheden, afhankelijkheid van transactiebestellingen, tijdstempelafhankelijkheid van externe oproepen en denial-of-service-aanvallen.
#4: Eerste rapport
Vervolgens presenteren we voor u een eerste rapport met alle bugs en fouten die door uw team moeten worden opgelost.
#5: Code vast
Los alle bugs en fouten op die in de voorlopige analyse zijn ontdekt en stuur deze vervolgens naar de auditors voor de definitieve beoordeling.
#6: Statische analyse en formele verificatie
We voeren codebeoordelingen uit met behulp van onze interne open-source geautomatiseerde tools om eventuele mazen en kwaadaardige codes in het slimme contract te detecteren.
#7: Eindcontrolerapport
Het definitieve auditrapport wordt aan de klant gepresenteerd en op GitHub gepubliceerd zodat iedereen ernaar kan verwijzen.
Dit is de uitgebreide strategie die ons interne team van bekwame auditors volgt, hoewel het zichtbaar is dat uw slimme contract twee keer wordt gecontroleerd voor dezelfde prijs.
Hoewel het eenmaal controleren van een DeFi-project de veiligheid niet garandeert, raden we aan om het minstens twee keer (of) driemaal te controleren. In het verleden zijn er incidenten geweest zoals de "Popsicle Finance"-hack voor $ 20M. Het werd twee keer gecontroleerd, maar het werd ook misbruikt vanwege een veelvoorkomende kwetsbaarheid.
Daarom schetsen incidenten als deze duidelijk de belang van slimme contractcontrole - "hoe meer hoe beter!'.
Laatste woorden
Nou, als je tot hier bij ons bent geweest, ben je bekend met hoe een ethereum smart contract wordt gecontroleerd.
Hoewel het stijgende aantal DeFi-hacks en exploits u kan alarmeren, voert u een robuuste slimme contractaudit uit van een betrouwbaar bedrijf zoals QuillAudits bespaart u miljoenen dollars.
1,624 keer bekeken
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://blog.quillhash.com/2023/02/08/how-properly-auditing-an-ethereum-smart-contract-can-save-you-millions/
