Was ist ein Smart Contract Security Audit?

TL;DR
Smart Contract-Sicherheitsaudits bieten eine detaillierte Analyse der Smart Contracts eines Projekts. Dies ist wichtig, um die dadurch investierten Mittel zu schützen. Da alle Transaktionen auf der Blockchain endgültig sind, können Gelder im Falle eines Diebstahls nicht wiederhergestellt werden. Normalerweise untersucht ein Prüfer den Smart-Contract-Code, erstellt einen Bericht und stellt ihn dann dem Projekt zur Nachverfolgung zur Verfügung. Anschließend wird ein Abschlussbericht veröffentlicht, in dem alle verbleibenden Fehler und die zur Behebung von Leistungs- oder Sicherheitsproblemen durchgeführten Arbeiten aufgeführt sind.

EinführungSicherheitsüberprüfungen intelligenter Verträge sind im Decentralized Finance (DeFi)-Ökosystem weit verbreitet. Wenn Sie in ein Blockchain-Projekt investiert haben, basiert Ihre Entscheidung möglicherweise teilweise auf den Ergebnissen einer Überprüfung des Smart-Contract-Codes.
Während die meisten Menschen die Bedeutung der Prüfung von Kryptowährungen verstehen, beschäftigen sich nur wenige mit dem Bereich Code. Werfen wir einen Blick auf die Methoden, Tools und Ergebnisse, die typischerweise bei Smart-Contract-Sicherheitsaudits zu finden sind, damit Sie fundiertere Entscheidungen treffen können.

Was ist ein Smart-Contract-Audit?Smart-Contract-Sicherheitsaudits untersuchen und kommentieren den Smart-Contract-Code eines Projekts. Typischerweise werden diese Verträge in der Programmiersprache Solidity geschrieben und über GitHub bereitgestellt. Sicherheitsüberprüfungen sind besonders wertvoll für DeFi-Projekte, die Blockchain-Transaktionen im Wert von Millionen Dollar oder einer großen Anzahl von Spielern abwickeln wollen. Audits folgen in der Regel einem vierstufigen Prozess:
1. Der Smart Contract wird dem Prüfteam zur ersten Analyse zur Verfügung gestellt.
2. Das Auditteam legt dem Projekt seine Ergebnisse zur Weiterverfolgung vor.
3. Das Projektteam nimmt basierend auf den gefundenen Problemen Änderungen vor.
4. Das Auditteam veröffentlicht einen Abschlussbericht, in dem alle neuen Änderungen oder verbleibenden Fehler berücksichtigt werden.
Für die meisten Krypto-Benutzer sind intelligente Vertragsprüfungen wichtig, wenn sie in neue DeFi-Projekte investieren. Dies ist zum Standard für Projekte geworden, die ernst genommen werden wollen. Bestimmte Prüfungsdienstleister gelten auch als Branchenführer, was ihre Prüfungen in den Augen der Anleger wertvoller macht.

Warum brauchen wir eine intelligente Vertragsprüfung?Angesichts des großen Werts der Transaktionen, die über Smart Contracts abgewickelt oder in diesen eingeschlossen werden, werden diese Gelder zu attraktiven Zielen für böswillige Angriffe von Hackern. Ein kleiner Codierungsfehler kann dazu führen, dass große Geldbeträge gestohlen werden. Beispielsweise hat der DAO-Hack auf die Ethereum-Blockchain ETH im Wert von rund 60 Millionen Dollar geraubt und sogar zu einem Hard Fork des Ethereum-Netzwerks geführt.
Da Blockchain-Transaktionen irreversibel sind, ist es wichtig sicherzustellen, dass der Projektcode sicher ist. Die äußerst sicheren Eigenschaften der Blockchain-Technologie machen es schwierig, Gelder abzurufen und Probleme zu lösen. Daher ist es vorzuziehen, Schwachstellen um jeden Preis zu vermeiden.

Wie funktioniert ein Smart Contract Audit?Der Smart-Contract-Audit-Prozess ist bei Prüfanbietern ziemlich Standard. Obwohl der Ansatz jedes Prüfers leicht variieren kann, ist der allgemeine Prozess wie folgt:
1. Bestimmen Sie den Umfang des Audits. Intelligente Vertrags- und Projektspezifikationen werden durch das Projekt (seinen beabsichtigten Zweck) und seine Gesamtarchitektur bestimmt. Spezifikationen helfen Prüfteams, die Projektziele bei der Erstellung und Bereitstellung von Code zu verstehen.
2. Erstellen Sie ein erstes Angebot basierend auf dem Umfang der durchgeführten Arbeiten.
3. Führen Sie den Test durch. Die genauen Merkmale ändern sich je nach Auditteam, Analysetools und Methoden. Typischerweise werden sowohl manuelle als auch automatisierte Tests durchgeführt.
4. Erstellen Sie einen ersten Entwurf des Berichts mit den gefundenen Fehlern und stellen Sie ihn dem Projektteam zur Rückmeldung und Nachverfolgung in Form von Verbesserungen zur Verfügung.
5. Erstellen Sie einen Abschlussbericht, in dem die vom Team zur Lösung der besprochenen Probleme ergriffenen Maßnahmen berücksichtigt werden.

Methode zur Prüfung von Smart ContractsGaseffizienz Intelligente Vertragsprüfungen konzentrieren sich nicht nur auf die Blockchain-Sicherheit. Bei diesem Audit geht es auch um Effizienz und Optimierung. Einige Verträge führen eine komplexe Reihe von Transaktionen durch, um ihre beabsichtigte Funktion zu erfüllen. Da die Gasgebühren in Netzwerken wie Ethereum relativ hoch sind, können effiziente Verträge viel bei den Transaktionsgebühren einsparen.
Die Optimierung der Leistung ist auch ein Indikator für die Fähigkeiten des Entwicklers. Ineffiziente Schritte vergrößern das Scheitern und sollten vermieden werden. Wenn die Gasgebühren hoch sind, können intelligente Verträge möglicherweise nicht ausgeführt werden, insbesondere wenn niedrige Gaslimits verwendet werden.
VertragsschwachstellenDie meisten Prüfungsarbeiten umfassen die Überprüfung von Verträgen auf Sicherheitslücken. Während einige Probleme leicht zu erkennen sind, handelt es sich bei den meisten um fortgeschrittene Techniken und Strategien zur Abschöpfung von Geldern. Beispielsweise kann Marktmanipulation mit schwachen Smart Contracts genutzt werden, um Flash-Loan-Angriffe durchzuführen. Um diese Probleme aufzudecken, beginnen Prüfer mit dem Prozess der Schwachstellenprüfung und der Simulation böswilliger Angriffe auf Smart Contracts. Zu den häufigsten Schwachstellen gehören:
1. Wiedereintrittsproblem: Der Smart-Vertrag führt einen externen Aufruf an einen anderen externen Vertrag durch, bevor die Auswirkungen abgeschlossen sind. Dann kann der externe Vertrag den anfänglichen Smart-Vertrag wiederholt aufrufen und mit ihm auf eine Weise interagieren, die eigentlich nicht möglich wäre, da der anfängliche Vertragssaldo nicht aktualisiert wurde.
2. Ganzzahlüberlauf und -unterlauf: Intelligente Verträge führen arithmetische Operationen aus, aber die Ergebnisse überschreiten die Speicherkapazität (normalerweise 18 Dezimalstellen). Dies kann dazu führen, dass der Betrag falsch berechnet wird.
3. Chancen an vorderster Front: Schlecht strukturierter Code kann frühzeitige Warnungen vor Marktkäufen oder -verkäufen auslösen. Dadurch kann es anderen ermöglicht werden, diese Informationen zu ihrem eigenen Vorteil zu nutzen und damit zu handeln.
Sicherheitslücken der PlattformDie meisten Audits umfassen die Betrachtung des Netzwerks, das den Vertrag hostet, und sogar der APIs, die für die Interaktion mit der DApp verwendet werden. Ein Projekt kann anfällig für DDoS-Angriffe sein oder einen Verstoß gegen die Benutzeroberfläche seiner Website erleiden. Das bedeutet, dass Benutzer ihre Wallets tatsächlich mit bösartigen Blockchain-Anwendungen verbinden.

Was ist ein Auditbericht?Der Auditbericht wird am Ende des Auditprozesses bereitgestellt. Aus Gründen der Transparenz wird von den Projekten erwartet, dass sie ihre Ergebnisse mit der Community teilen. Die meisten Berichte kategorisieren Probleme nach Schweregrad, z. B. kritisch, schwerwiegend, geringfügig usw. Der Bericht enthält auch den Status des Problems, da dem Projekt vor der Veröffentlichung des Abschlussberichts Zeit gegeben wird, das Problem zu lösen.
Zusätzlich zur Zusammenfassung enthält ein Standardbericht Empfehlungen, Beispiele für redundanten Code und eine vollständige Beschreibung der Lage von Codierungsfehlern. Den Projekten wird Zeit gegeben, auf die Ergebnisse des Berichts zu reagieren, bevor die endgültige Version veröffentlicht wird.

Wo kann ich ein Smart Contract Audit durchführen lassen?Eine Reihe intelligenter Vertragsprüfungsdienste sind für ihre Dienste bekannt geworden. Zwei von ihnen erfreuen sich großer Beliebtheit und für eine Prüfung sind ein erstes Angebot und die Vorlage von Informationen erforderlich.
CertiKCertiK ist ein Branchenführer, wenn es um die Prüfung intelligenter Verträge geht. Hunderte von Projekten haben mit ihnen Smart Contracts geprüft. Ein Beispiel ist PancakeSwap, der größte Automated Market Maker (AMM) von BSC. Nachfolgend finden Sie einen Teil der Prüfung von PancakeSwap durch CertiK.

Darüber hinaus wurden die Verträge der meisten von Binance Labs unterstützten Projekte von CertiK geprüft. CertiK hat eine geprüfte Projekt-Bestenliste veröffentlicht, die es Ihnen ermöglicht, jedes einzelne Projekt zusammen mit einer Sicherheitsbewertung zu vergleichen. Bitte beachten Sie, dass CertiK neben Ethereum auch die Projekte BSC und Polygon abdeckt.

ConsenSys SorgfaltConsenSys, geführt von Joseph Lubin, Mitbegründer von Ethereum, ist der größte Name in der Kryptowährungsbranche, wenn es um die Blockchain-Entwicklung geht. Mit ConsenSys Diligence bietet das Unternehmen Prüfungen von Ethereum-Smart-Contracts an. Sie bieten auch einen automatisierten Dienst an, der Ethereum Virtual Machine (EVM)-Verträge auf häufig auftretende Probleme überprüft.

Wie viel kostet ein Smart-Contract-Audit?Die genauen Kosten einer Prüfung hängen von der Anzahl der zu prüfenden Smart Contracts ab. Normalerweise kostet eine Prüfung Tausende von Dollar. Ein ausreichend großes Projekt kann mehr als 10.000 US-Dollar kosten. Auch die Wirtschaftsprüfungsgesellschaft, die die Prüfung für Sie durchführt, und ihr Ruf haben Einfluss auf den gezahlten Betrag.

SchließenGlücklicherweise ist die intelligente Vertragsprüfung für Investoren und Nutzer zum Goldstandard geworden. Wenn dies jedoch bei allen Projekten der Fall ist, wird dies nicht mehr ohne Weiteres ein Wertindikator sein. Aus diesem Grund ist es so wichtig, Ihr eigenes Audit zu lesen. Auch wenn Sie keine technischen Kenntnisse haben, kann es hilfreich sein, Kommentare und den Schweregrad potenzieller Probleme anzuzeigen.
Wenn Sie auf ein Audit stoßen, wird es Ihnen jetzt zumindest leichter fallen, dessen Inhalt zu verstehen. Stellen Sie stets sicher, dass Sie bei jeder Anlageentscheidung das Gesamtbild betrachten und alle Informationen berücksichtigen.