Kiểm toán hợp đồng thông minh

[TL; DR]

---

Với các hợp đồng thông minh DeFi đứng đầu cuộc trò chuyện về các vụ hack blockchain vào năm 2021, hơn 1,3 tỷ đô la tiền điện tử đã bị mất để khai thác, lừa đảo và hack. Những khoản lỗ lớn này có thể bắt nguồn từ các hợp đồng chưa được kiểm toán, các đợt fork vội vàng, các trò gian lận hoàn toàn, và nhiều hơn nữa. Nhưng theo báo cáo bảo mật Certik DeFi, phần lớn các dự án bị khai thác đều không được kiểm toán.

Trong bài viết này, chúng ta sẽ xem xét hợp đồng thông minh là gì, làm thế nào để bảo vệ chúng khỏi những kẻ xấu trên thị trường.
Chúng tôi cũng sẽ xem xét một số công ty kiểm toán hợp đồng thông minh và trọng tâm của họ.


Điền vào biểu mẫu để nhận 5 điểm thưởng →

Các cuộc tấn công hợp đồng thông minh

---

hợp đồng thông minh là các dòng Mã tự thực thi tuân theo các hướng dẫn đã định trên mạng blockchain. Các hợp đồng này cho phép người dùng thực hiện các giao dịch không đáng tin cậy và minh bạch trên blockchain mà không cần cơ quan trung ương hoặc bất kỳ hệ thống pháp lý nào.

Vì tính hữu ích của chúng, chúng đã trở thành nền tảng cho các ứng dụng phi tập trung phức tạp, chẳng hạn như trong DeFi và DExs, ICO, giao thức bỏ phiếu và quản lý chuỗi cung ứng.
Có vẻ như rất thông minh, chúng có thể thu hút tổn thất lớn nếu bất kỳ lỗ hổng bảo mật hoặc lỗi nào được phát hiện trong mã.

Thông thường, hợp đồng thông minh có thể thực hiện các chức năng thiết kế của nó, nhưng sự hiện diện của một lỗ hổng sẽ tạo điều kiện cho tin tặc xây dựng các mã có khả năng tương tác với hợp đồng thông minh để chuyển tiền.

- Một ví dụ điển hình là một cuộc tấn công gần đây vào Qubit Finance, nơi tin tặc đã khai thác cầu nối xuyên chuỗi của nó và đánh cắp 206, 809 mã thông báo BNB - Khoảng 80 triệu đô la.
- Một ví dụ lịch sử khác là vụ hack DAO năm 2016, gây thiệt hại 50 triệu đô la

Hợp đồng thông minh Các lỗ hổng đã biết hoặc tiêu chuẩn

---

Điều kiện Cuộc đua: khi các sự kiện không xảy ra theo thứ tự đã định. Trong Hợp đồng thông minh, Điều kiện đua có thể xảy ra khi các hợp đồng bên ngoài tiếp quản luồng kiểm soát.

Reentrancy: trong trường hợp này, một số hàm được gọi nhiều lần trước khi hoàn thành lệnh gọi hàm đầu tiên. Một trong những giải pháp quan trọng là chặn các cuộc gọi đồng thời trong một số chức năng nhất định, đặc biệt là khi xem xét kỹ lưỡng các cuộc gọi bên ngoài.

Điều kiện Đua theo chức năng C ross : mô tả một cuộc tấn công tương tự của hai chức năng có cùng trạng thái, với các giải pháp giống nhau.

Phụ thuộc đặt hàng giao dịch (TOD) / Chạy trước: là một điều kiện chạy đua khác ảnh hưởng đến các lệnh giao dịch trong một khối. Bằng cách thao túng các lệnh giao dịch, một người dùng được lợi với chi phí của người khác.

Thao tác Oracle: kiểu tấn công này liên quan đến các hợp đồng thông minh dựa vào dữ liệu bên ngoài làm đầu vào. Nếu dữ liệu đầu vào không chính xác, nó vẫn được đưa vào và tự động thực thi. Các giao thức dựa trên thần thánh đã bị tấn công, không dùng nữa hoặc có mục đích xấu có thể gây ra những tác động tai hại cho tất cả các quy trình dựa vào chúng.

Tấn công địa chỉ ngắn / tham số: kiểu tấn công này được kết hợp với EVM. nó xảy ra khi hợp đồng thông minh đang chấp nhận các đối số được đệm không chính xác. Theo cách này, những kẻ tấn công có thể khai thác các máy khách được mã hóa kém bằng cách sử dụng các địa chỉ được tạo đặc biệt để khiến chúng mã hóa các đối số không chính xác trước khi đưa chúng vào các giao dịch.

Kiểm tra Hợp đồng Thông minh

---

Tương tự như kiểm tra mã thông thường, Độ an toàn của hợp đồng thông minh Smart tỷ lệ thuận với độ mạnh mẽ và chất lượng của mã được triển khai. Nó liên quan đến việc xem xét kỹ lưỡng và phân tích mã hợp đồng thông minh. Để thực hiện việc này, người kiểm tra hợp đồng thông minh sẽ kiểm tra các lỗi phổ biến, các lỗi đã biết của nền tảng máy chủ và mô phỏng các cuộc tấn công vào mã. Các nhà phát triển (thường là người kiểm tra hợp đồng thông minh bên ngoài) sau đó có thể xác định lỗi, lỗi tiềm ẩn hoặc lỗ hổng bảo mật trong hợp đồng thông minh của dự án.

Dịch vụ này hoàn toàn quan trọng trong ngành công nghiệp blockchain vì các hợp đồng đã triển khai không thể thay đổi hoặc không thể thu hồi. Bất kỳ sai sót nào rất có thể sẽ làm cho hợp đồng bị rối loạn chức năng hoặc dễ bị vi phạm bảo mật có thể dẫn đến tổn thất không thể thu hồi được. Ngày nay, nhận được xác thực kiểm toán là một động lực để giành được sự tin tưởng của người dùng.

Các bước để kiểm tra hợp đồng thông minh.
1. Kiểm tra tính nhất quán giữa chức năng mã và sách trắng của dự án
2. Kiểm tra các lỗ hổng tiêu chuẩn;
3. Phân tích biểu tượng
4. Phân tích tự động bằng các công cụ tự động (Phương pháp 1): các công cụ như Truffle và Populus được sử dụng để kiểm tra mã tự động. Cách tiếp cận này mất một thời gian rất ngắn và nó có khả năng thâm nhập phức tạp hơn so với cách kiểm tra mã thủ công. Mặc dù nó cũng có hạn chế là nhận dạng sai và bỏ sót lỗ hổng.
5. Mã thủ công và đánh giá chất lượng mã (cách tiếp cận 2): trong trường hợp này, mã được các nhà phát triển có kinh nghiệm kiểm tra thủ công. Mặc dù kiểm tra tự động nhanh hơn, kiểm tra thủ công giải thích cho cả lỗ hổng sai và bỏ sót.
6. Phân tích sử dụng khí;
7. Tối ưu hóa hiệu suất
8. Lập báo cáo.

công ty kiểm toán hợp đồng thông minh

---

1. CertiK: Certik được thành lập vào năm 2018 và nó là một trong những công cụ được ưa thích trong phân khúc blockchain do tính minh bạch và các công cụ xác minh bằng chứng của họ đảm bảo khả năng mở rộng và bảo mật topnotch. Đó là, cách tiếp cận của họ chủ yếu là toán học. Công ty tuyên bố họ đã phát hiện hơn 31.000 lỗ hổng trong mã hợp đồng thông minh, kiểm toán 1737 dự án và đã bảo đảm hơn 211 tỷ đô la tài sản kỹ thuật số.

2. Hacken: Hacken là một công ty khác cung cấp dịch vụ kiểm toán cho các nền tảng blockchain như Ethereum, Tron, EOS . Mặc dù các dịch vụ của họ không chỉ giới hạn ở các giải pháp blockchain, Hacken cũng cung cấp các sản phẩm bảo mật cho các công ty CNTT. Nền tảng bảo mật HackenAI là một giải pháp được Hacken thiết kế để bảo vệ người dùng cuối khỏi các thỏa hiệp bảo mật với các tính năng được kích hoạt như cảnh báo giám sát Darknet.

3. Quantstamp: Quantstamp là một công ty bảo mật blockchain với các nhà phát triển từ các công ty CNTT hàng đầu như Facebook, Google và Apple. Quanstamp có một loạt các công cụ và dịch vụ bảo mật blockchain, bao gồm; một mạng bảo mật phi tập trung để kiểm tra hợp đồng thông minh. Theo tuyên bố của họ, Quantstamp đã bảo vệ hơn 200 tỷ đô la tài sản kỹ thuật số và họ có hơn 200 quỹ và công ty khởi nghiệp đã tham gia vào các sản phẩm của họ.

4. ConsenSys: được thành lập vào năm 2014, ConsenSys là một nhóm mạnh mẽ bao gồm các nhà phát triển phần mềm, chuyên gia kinh doanh, luật sư, nhà cung cấp bảo mật. Nền tảng của nó dựa trên hệ sinh thái Ethereum và nhằm cung cấp các giải pháp blockchain như bảo mật và bảo vệ sản phẩm, cơ sở hạ tầng tài chính. Công ty có một sản phẩm phân tích bảo mật hợp đồng thông minh. ConsenSys siêng năng; cung cấp phân tích kinh tế tiền điện tử và quét hợp đồng thông minh tự động cho chuỗi Ethereum.

5. Chainsecurity: cung cấp các sản phẩm và dịch vụ bảo mật các giao thức blockchain và hợp đồng thông minh. Chainsecurity được hơn 85 blockchain tin cậy và đã bảo đảm hơn 17 tỷ đô la tài sản kỹ thuật số. Họ cũng đã hợp tác với PWC Thụy Sĩ để thực hiện đánh giá bảo mật, tạo ra các giải pháp đánh giá hợp đồng thông minh, kiểm tra và chạy các chỉ số đo lường hiệu suất cho hợp đồng thông minh.

6. Xác minh thời gian chạy: Xác minh thời gian chạy sử dụng phương pháp dựa trên xác minh thời gian chạy, phương pháp này đã tăng tính tuân thủ tiêu chuẩn, phạm vi rộng trong quá trình thực thi, để chạy kiểm tra bảo mật trên máy ảo. Sản phẩm và dịch vụ thời gian chạy bao gồm xác minh hợp đồng thông minh, xác minh giao thức, dịch vụ tư vấn, Firefly, trình xác minh mã thông báo ERC20 và IELE.



Tác giả: Gate.io Người quan sát: M. Olatunji
Tuyên bố từ chối trách nhiệm:
* Bài viết này chỉ trình bày quan điểm của những người quan sát và không cấu thành bất kỳ đề xuất đầu tư nào.
* Gate.io bảo lưu mọi quyền đối với bài viết này. Việc đăng lại bài viết sẽ được cho phép với điều kiện tham khảo Gate.io. Trong tất cả các trường hợp khác, hành động pháp lý sẽ được thực hiện do vi phạm bản quyền.

Bài viết nổi bật của Gate.io

Tại sao ngành công nghiệp tiền điện tử cần đầu tư mạo hiểm
Quỹ phòng hộ tập trung so với phi tập trung
Cách tìm kiếm dự án NFT phù hợp