DeFi akıllı sözleşmeleri 2021'de blockchain hack'lerinin sohbetinin zirvesindeyken, istismar, dolandırıcılık ve hack'ler için 1,3 milyar doların üzerinde kripto para birimi kaybedildi. Bu büyük kayıplar, denetlenmemiş sözleşmelere, aceleci çatallara, doğrudan dolandırıcılıklara ve daha pek çok şeye kadar takip edilebilir. Ancak Certik DeFi güvenlik raporuna göre, istismar edilen projelerin çoğu denetlenmiyor.

Bu yazımızda akıllı sözleşmelerin ne olduğunu, piyasadaki kötü oyunculardan nasıl korunuruz inceleyeceğiz.

Ayrıca bazı akıllı sözleşme denetim şirketlerine ve odaklarına da bakacağız.

Akıllı sözleşme saldırıları

Akıllı sözleşmeler, blok zinciri ağındaki belirlenmiş talimatlara uyan, kendi kendini yürüten Kod satırlarıdır. Bu sözleşmeler, kullanıcıların merkezi bir otoriteye veya herhangi bir yasal sisteme ihtiyaç duymadan blok zinciri üzerinde güvenilir ve şeffaf işlemler gerçekleştirmelerini sağlar.

Kullanışlılıkları nedeniyle DeFi ve DExs, ICO, oylama protokolleri ve tedarik zinciri yönetimi gibi karmaşık merkezi olmayan uygulamaların yapı taşları haline geldiler.

Göründüğü kadar akıllı, kodda herhangi bir güvenlik açığı veya hata tespit edilirse büyük kayıplara neden olabilirler.

Genellikle, akıllı sözleşme tasarım işlevlerini yerine getirebilir, ancak bir boşluk bulunması, bilgisayar korsanlarının fonları yönlendirmek için akıllı sözleşme ile etkileşime girebilecek kodlar oluşturmasına yer verecektir.

- İyi bir örnek, bilgisayar korsanının zincirler arası köprüsünü sömürdüğü ve 206,809 BNB tokenini çaldığı Qubit Finance'e yakın zamanda yapılan bir saldırıdır - Yaklaşık 80 milyon dolar.

- Bir başka tarihi örnek, 50 milyon dolarlık bir kayıpla sonuçlanan 2016'nın DAO hack'idir.

Akıllı Sözleşme Bilinen veya standart güvenlik açıkları

Yarış koşulları: Olayların amaçlanan sırada gerçekleşmediği yer. Akıllı Sözleşmelerde, harici sözleşmeler kontrol akışını devraldığında Yarış Koşulları oluşabilir.

Yeniden giriş: Bu durumda, ilk işlev çağrısı tamamlanmadan önce bazı işlevler tekrar tekrar çağrılır. Önemli çözümlerden biri, özellikle harici aramaları incelerken belirli işlevlerde eşzamanlı aramaları engellemektir..

Çapraz Fonksiyonlu Yarış Koşulları: Aynı durumu paylaşan, aynı çözümlerle iki işlevin benzer bir saldırısını tanımlar.

İşlem Emri Bağımlılığı (TOD) / Ön koşu: Bir blok içindeki işlem emirlerini etkileyen başka bir yarış durumudur. İşlem emirlerini manipüle ederek, bir kullanıcı diğerinin pahasına fayda sağlar.

Oracle Manipülasyonu: Bu tür bir saldırı, girdi olarak harici verilere dayanan akıllı sözleşmelerle ilişkilidir. Girilen veriler yanlışsa, yine de beslenir ve otomatik olarak yürütülür. Saldırıya uğramış, kullanımdan kaldırılmış veya kötü niyetli oracle'lara dayanan protokoller, onlara dayanan tüm süreçler üzerinde feci etkilere sahip olabilir..

Kısa adres saldırısı/ parametresi: bu tür bir saldırı EVM ile ilişkilidir. akıllı sözleşme yanlış doldurulmuş argümanları kabul ettiğinde olur. Bu şekilde, saldırganlar, bağımsız değişkenleri işlemlere dahil etmeden önce yanlış kodlamalarını sağlamak için özel hazırlanmış adresler kullanarak kötü kodlanmış istemcilerden yararlanabilir.

Akıllı Sözleşme Denetimi

Normal kod denetimine benzer şekilde, bir akıllı sözleşmenin güvenliği, dağıtılan kodun sağlamlığı ve kalitesi ile doğru orantılıdır. Bir akıllı sözleşme kodunun kapsamlı incelemesini ve analizini içerir. Bunu yapmak için akıllı sözleşme denetçileri, yaygın hataları kontrol eder, platformda bilinen hataları barındırır ve koda yönelik saldırıları simüle eder. Geliştiriciler (genellikle harici akıllı sözleşme denetçileri) daha sonra projenin akıllı sözleşmesindeki hataları, olası hataları veya güvenlik açıklarını belirleyebilir.

Bu hizmet blok zinciri endüstrisinde çok önemlidir, çünkü dağıtılan sözleşmeler değiştirilemez veya geri alınamaz. Herhangi bir kusur, büyük olasılıkla sözleşmeyi işlevsiz hale getirecek veya telafisi mümkün olmayan kayıplara yol açabilecek güvenlik ihlallerine yatkın hale getirecektir. Bu günlerde bir denetim doğrulaması almak, kullanıcıların güvenini kazanmak için bir destektir.

Kaynak: Pixabay

Akıllı Sözleşme Denetimi Adımları.

1. Kod işlevi ile projenin teknik incelemesi arasındaki tutarlılığı inceleyin

2. Standart güvenlik açıklarını kontrol edin;

3. Sembolik analiz

4. Otomatik araçlarla otomatik analiz (Yaklaşım 1): Otomatik kod testi için Truffle ve Populus gibi araçlar kullanılır. Bu yaklaşım çok kısa sürer ve manuel kod kontrolüne kıyasla daha karmaşık bir penetrasyona sahiptir. Ayrıca yanlış tanımlama ve gözden kaçan güvenlik açığı sınırlamaları olmasına rağmen.

5. Manuel kod ve kod kalitesi incelemesi (yaklaşım 2): Bu durumda kod, deneyimli geliştiriciler tarafından manuel olarak incelenir. Otomatik kontroller daha hızlı olmasına rağmen, manuel kontroller hem yanlış hem de gözden kaçan güvenlik açıklarını hesaba katar.

6. Gaz kullanım analizi;

7. Performans optimizasyonu

8. Rapor hazırlama.

Akıllı Sözleşme Denetim Şirketleri

1. CertiK: Certik 2018 yılında kuruldu ve şeffaflık, ölçeklenebilirlik ve birinci sınıf güvenlik sağlayan kanıtlanmış motor doğrulama araçları nedeniyle blok zincirinde tercih edilenlerden biri. Yani, yaklaşımları esas olarak matematikseldir. Şirket, akıllı sözleşme kodlarında 31.000'den fazla güvenlik açığı tespit ettiklerini, 1737 projeyi denetlediklerini ve 211 milyar doların üzerinde dijital varlığı güvence altına aldıklarını iddia ediyor.

2. Hacken: Hacken, Ethereum, Tron, EOS gibi blok zincir platformları için denetim hizmetleri sağlayan başka bir şirkettir. Hizmetleri yalnızca blok zinciri çözümleriyle sınırlı olmamakla birlikte, Hacken ayrıca BT şirketleri için güvenlik ürünleri de sağlıyor. HackenAI güvenlik platformu, Darknet izleme uyarıları gibi etkinleştirilmiş özelliklerle son kullanıcıyı güvenlik ihlallerinden korumak için Hacken tarafından tasarlanmış bir çözümdür..

3. Quantstamp: Quantstamp, Facebook, Google ve Apple gibi en iyi BT şirketlerinden geliştiricilere sahip bir blok zinciri güvenlik şirketidir. Qunstamp, aşağıdakiler de dahil olmak üzere çok çeşitli blok zinciri güvenlik araçlarına ve hizmetlerine sahiptir; Akıllı sözleşme denetimi için merkezi olmayan bir güvenlik ağı. İddialarına göre Quantstamp, dijital varlıklarda 200 milyar doların üzerinde koruma sağladı ve ürünlerini devreye sokan 200'den fazla vakıf ve girişime sahipler..

4. ConsenSys: 2014 yılında kurulan ConsenSys, yazılım geliştiriciler, iş uzmanları, avukatlar, güvenlik sağlayıcılarından oluşan güçlü bir ekiptir. Platformu Ethereum ekosistemine dayanmaktadır ve güvenlik ve ürün koruması, finansal altyapılar gibi blok zincir çözümleri sunmayı amaçlamaktadır. Şirketin akıllı sözleşme güvenlik analiz ürünü var. ConsenSys Çalışkanlığı; Ethereum zinciri için kripto-ekonomik analiz ve otomatik akıllı sözleşme taraması sağlayan.

5. Chainsecurity: Blockchain protokollerini ve akıllı sözleşmeleri güvence altına alan ürünler ve hizmetler sunar. Chainsecurity, 85'in üzerinde blok zinciri tarafından güvenilmektedir ve 17 milyar doların üzerinde dijital varlığı güvence altına almıştır. Ayrıca güvenlik incelemeleri yapmak, akıllı sözleşmeleri değerlendiren çözümler oluşturmak, akıllı sözleşmeler için performans ölçümlerini test etmek ve çalıştırmak için PWC İsviçre ile ortaklık kurdular.

6. Runtime Verification: Çalışma zamanı doğrulaması, sanal makinelerde güvenlik denetimleri yürütmek için standart uyumluluğu, yürütme sırasında geniş kapsamı olan çalışma zamanı doğrulama tabanlı yöntemi kullanır. Çalışma zamanı ürün ve hizmeti, akıllı sözleşme doğrulaması, protokol doğrulaması, danışmanlık hizmeti, Firefly, ERC20 belirteç doğrulayıcı ve IELE'yi içerir.

Yazar: Gate.io Gözlemci: M. Olatunji

Sorumluluk Reddi:

* Bu yazı sadece gözlemcilerin görüşlerini yansıtmakta olup herhangi bir yatırım önerisi niteliği taşımamaktadır.

*Gate.io bu makalenin tüm haklarını saklı tutar. Gate.io'ya atıfta bulunulması koşuluyla makalenin yeniden yayınlanmasına izin verilecektir. Diğer tüm durumlarda, telif hakkı ihlali nedeniyle yasal işlem yapılacaktır.

Gate.io Öne Çıkan Makaleler

Kripto Endüstrisinin Neden Girişim Sermayesine İhtiyacı Var?

Merkezileştirilmiş ve Merkezi Olmayan Hedge Fonları

Doğru NFT projesi nasıl aranır?