Wieder aufnehmen

Ein Sicherheitsaudit bietet eine detaillierte Analyse der Smart Contracts eines Projekts. Die Durchführung einer Prüfung ist wichtig, um die Sicherheit der Anlegergelder zu gewährleisten. Da alle Transaktionen auf der Blockchain endgültig sind, können die Gelder im Falle eines Diebstahls nicht wiederhergestellt werden. Während eines Audits untersuchen Prüfer den Smart-Contract-Code und erstellen einen Bericht, der dann zur Verwendung an das Team gesendet wird. Anschließend wird ein Abschlussbericht veröffentlicht, in dem die Fehler und die bereits ergriffenen Maßnahmen zur Behebung von Leistungs- oder Sicherheitsproblemen detailliert beschrieben werden.


Einführung

Prüfungen von Smart Contracts sind im dezentralen Finanzökosystem (DeFi) sehr verbreitet. Wenn Sie in ein Blockchain-Projekt investiert haben, basiert Ihre Entscheidung möglicherweise teilweise auf den Ergebnissen des Smart Contract Audits.

Obwohl die meisten Menschen die Bedeutung von Cybersicherheitsprüfungen verstehen, beschäftigen sich nur wenige mit dem Code. Werfen wir einen Blick auf die Methoden, Tools und Ergebnisse, die typischerweise bei Smart-Contract-Sicherheitsaudits beobachtet werden, damit Sie fundierte Entscheidungen treffen können.


Was ist ein Smart-Contract-Audit?

Bei einem Smart-Contract-Sicherheitsaudit wird der Smart-Contract-Code eines Projekts untersucht und kommentiert. Diese Verträge sind im Allgemeinen in Solidity codiert und auf GitHub verfügbar. Sicherheitsüberprüfungen sind besonders wichtig für DeFi-Projekte, die Blockchain-Transaktionen im Wert von mehreren Millionen Dollar über eine große Anzahl von Benutzern hinweg verwalten. Audits erfolgen grundsätzlich in vier Stufen:

1. Den Prüfern werden intelligente Verträge zur Analyse zur Verfügung gestellt.

2. Auditoren präsentieren ihre Ergebnisse den Projektmanagern, damit diese entsprechend handeln können.

3. Das Projektteam nimmt die notwendigen Änderungen vor.

4. Die Auditoren veröffentlichen einen Abschlussbericht unter Berücksichtigung der Änderungen des Projektteams.

Für viele Krypto-Benutzer ist die Prüfung intelligenter Verträge unerlässlich, bevor sie in ein DeFi-Projekt investieren. Dies ist ein zwingender Schritt für Projekte, die ernst genommen werden wollen. Einige Prüfungsdienstleister gelten als führend in der Branche, was ihre Prüfungen sicherlich teurer, aber qualitativ hochwertiger macht.


Warum müssen Sie Ihre Smart Contracts prüfen?

Da große Wertbeträge durch Smart Contracts gebunden sind oder durch sie weitergegeben werden, ist es verständlich, dass sie attraktive Ziele für Cyberangriffe darstellen. Sehr kleine Fehler im Code können zum Diebstahl großer Geldsummen führen. Der DAO-Hack der Ethereum-Blockchain kostete Ethereum fast 60 Millionen US-Dollar und führte zu einem Hard Fork des Ethereum-Netzwerks.

Da Blockchain-Transaktionen irreversibel sind, ist es wichtig sicherzustellen, dass der Code eines Projekts absolut sicher ist. Aufgrund der hohen Sicherheit der Blockchain ist es schwierig, Gelder zurückzugewinnen und Probleme im Nachhinein zu lösen. Daher ist es am besten, Schwachstellen um jeden Preis zu vermeiden.


Wie funktionieren intelligente Vertragsprüfungen?

Der Prozess einer intelligenten Vertragsprüfung ist bei Prüfungsanbietern ziemlich Standard. Obwohl der Ansatz jedes Prüfers leicht unterschiedlich sein kann, ist der typische Prozess wie folgt:

1. Bestimmen Sie den Umfang des Audits. Die Smart Contract- und Projektspezifikationen werden durch das Projekt (sein Ziel) und die Gesamtarchitektur definiert. Eine Spezifikation hilft dem Prüfteam, die Ziele des Projekts beim Schreiben und Verwenden von Code zu verstehen.

2. Erstellen Sie ein erstes Angebot basierend auf dem erforderlichen Arbeitsaufwand.

3. Führen Sie Tests durch. Ihre genaue Art wird sich je nach Auditteam, seinen Analysetools und seinen Methoden ändern. Typischerweise werden sowohl manuelle als auch automatisierte Tests durchgeführt.

4. Erstellen Sie eine erste Version des Berichts mit den gefundenen Fehlern, um sie dem Projektteam zur Verfügung zu stellen, damit dieses seine Meinung äußern und die notwendigen Korrekturen vornehmen kann.

5. Veröffentlichen Sie den Abschlussbericht und berücksichtigen Sie dabei alle Maßnahmen, die das Team zur Lösung der aufgeworfenen Probleme ergriffen hat.


Intelligente Vertragsprüfungsmethoden

Gaseffizienz

Smart Contract Audits konzentrieren sich nicht nur auf die Blockchain-Sicherheit. Sie überprüfen den Code auch auf Effizienz und Optimierung. Einige Verträge erfordern eine komplizierte Reihe von Transaktionen, um die Funktion zu erfüllen, für die sie konzipiert wurden. Da die Gasgebühren in Netzwerken wie Ethereum relativ teuer sind, sparen optimierte Verträge viel Geld bei den Transaktionskosten.

Optimierung ist eine gute Möglichkeit, die Kompetenz eines Entwicklers zu beurteilen. Unnötige Schritte erhöhen das Risiko von Problemen und sollten vermieden werden. Wenn der Gaspreis hoch ist, werden Smart Contracts möglicherweise nicht ausgeführt oder das Gaslimit ist zu niedrig.

Vertragsschwachstellen

Bei den meisten Audits geht es darum, Verträge auf Sicherheitslücken zu prüfen. Während einige Probleme leicht zu erkennen sind, nutzen viele Exploits fortschrittliche Techniken und Strategien, um Geld abzuschöpfen. Marktmanipulation kann beispielsweise bei anfälligen Smart Contracts genutzt werden, um schnelle Kredite auszulösen. Um diese Probleme zu finden, greifen Prüfer den Vertrag auf unterschiedliche Weise an. Zu den häufigsten Schwachstellen gehören:

1. Wiedereintrittsprobleme: Wenn ein Smart Contract einen externen Aufruf an einen anderen externen Vertrag durchführt, bevor die Auswirkungen gelöst werden. Der externe Vertrag kann dann rekursiv den ursprünglichen Smart-Vertrag aufrufen und mit ihm auf eine Weise interagieren, die normalerweise nicht möglich ist, da der Saldo des ursprünglichen Vertrags noch nicht aktualisiert wurde.

2. Ganzzahlüberläufe und Unterausführungen: Wenn ein Smart Contract eine arithmetische Operation ausführt, das Ergebnis jedoch die Speicherkapazität überschreitet (normalerweise 18 Dezimalstellen). Dies führt häufig zu falschen Berechnungen.

3. Möglichkeiten zur Antizipation: Schlecht strukturierter Code kann dabei helfen, Käufe oder Verkäufe auf dem Markt vorherzusehen. Einige können diese Informationen nutzen, um positive Geschäfte zu tätigen.

Sicherheitslücken der Plattform

Die meisten Audits umfassen die Untersuchung des Netzwerks, das die Verträge hostet, und sogar der API, die für die Interaktion mit der DApp verwendet wird. Ein Projekt ist möglicherweise anfällig für einen DDoS-Angriff oder die Benutzeroberfläche seiner Website ist kompromittiert, sodass Hacker wieder auf die Wallets der Benutzer zugreifen können, die sich dort anmelden.


Was ist ein Auditbericht?

Der Auditbericht wird am Ende des Auditprozesses bereitgestellt. Aus Gründen der Transparenz teilen Projekte die Ergebnisse im Allgemeinen mit ihrer Community. In den meisten Berichten werden Probleme nach Schweregrad klassifiziert: kritisch, schwerwiegend, geringfügig usw. Der Bericht listet auch den Status der Mängel auf, wobei den Projekten Zeit gegeben wird, diese zu beheben, bevor der Abschlussbericht veröffentlicht wird.

Neben einer Zusammenfassung enthält ein Standardbericht Empfehlungen, Beispiele für redundante Codes und eine umfassende Analyse von Codierungsfehlern. Dem Projekt wird eine gewisse Zeit eingeräumt, um auf die Schlussfolgerungen des Berichts zu reagieren, bevor die endgültige Fassung veröffentlicht wird.


Wo kann ich meine Smart Contracts prüfen lassen?

Eine Reihe intelligenter Vertragsprüfungsdienste sind für ihre Dienste bekannt geworden. Zwei davon erfreuen sich besonders großer Beliebtheit. Um von ihnen ein Audit zu erhalten, müssen Sie ein erstes Angebot erstellen und Informationen einreichen.

CertiK

CertiK ist ein Branchenführer für intelligente Vertragsprüfungen. Hunderte Projekte vertrauen ihnen. Ein gutes Beispiel ist PancakeSwap, der größte Automated Market Maker (AMM) auf der BSC. Nachfolgend finden Sie einen Teil des Certik-Audits von PancakeSwap.


Darüber hinaus wird die überwiegende Mehrheit der von Binance Labs unterstützten Projekte von CertiK geprüft. CertiK veröffentlicht ein Dashboard der geprüften Projekte, das Ihnen den Vergleich der einzelnen Projekte sowie eine Sicherheitsbewertung ermöglicht. Beachten Sie, dass Ceritk neben Ethereum auch Projekte prüft, die auf Polygon und BSC basieren.


ConsenSys Sorgfalt

Unter der Leitung von Joseph Lubin, einem der Mitbegründer von Ethereum, ist ConsenSys einer der größten Namen in der Kryptowährungsbranche, wenn es um die Blockchain-Entwicklung geht. Im Rahmen von ConsenSys Diligence bietet das Unternehmen Prüfungen von Ethereum-Smart-Verträgen an. Sie bieten außerdem einen automatisierten Dienst an, der die Verträge der Ethereum Virtual Machine (EVM) auf die häufigsten Fehler überprüft.


Wie viel kostet ein Smart-Contract-Audit?

Die genauen Kosten eines Audits hängen von der Anzahl der zu verifizierenden Smart Contracts ab. Typischerweise kostet eine Prüfung mehrere tausend Dollar. Ein Projekt mit vielen Verträgen wird schnell auf über 10.000 US-Dollar anwachsen. Auch die Wirtschaftsprüfungsgesellschaft, die Ihre Prüfung durchführt, und ihr Ruf wirken sich auf den zu zahlenden Betrag aus.


Schlussfolgern

Zum Glück für Investoren und Nutzer sind intelligente Vertragsprüfungen mittlerweile zur Norm geworden. Da mittlerweile jedoch jedes Projekt über eines verfügt, ist dies keine Qualitätsgarantie mehr. Deshalb ist es äußerst wichtig, dass Sie das Audit selbst lesen. Auch wenn Sie nicht über die technischen Kenntnisse zum Lesen verfügen, werfen Sie dennoch einen Blick auf die Kommentare.

Wenn Sie auf ein Audit stoßen, können Sie dessen Inhalt zumindest leichter verstehen. Stellen Sie wie immer sicher, dass bei jeder Anlageentscheidung möglichst viele Elemente berücksichtigt werden.