Резюме

Аудит безопасности обеспечивает подробный анализ смарт-контрактов проекта. Проведение аудита важно для обеспечения сохранности средств инвесторов. Действительно, все транзакции в блокчейне являются окончательными, и в случае кражи средства не могут быть возвращены. Во время аудита аудиторы проверяют код смарт-контракта, составляют отчет, который затем отправляется команде для использования. Затем публикуется окончательный отчет, в котором подробно описываются ошибки и уже использованные средства для решения проблем с производительностью или безопасностью.


Введение

Аудит смарт-контрактов очень распространён в экосистеме децентрализованных финансов (DeFi). Если вы инвестировали в блокчейн-проект, ваше решение может быть частично основано на результатах аудита смарт-контрактов.

Хотя большинство людей понимают важность аудита кибербезопасности, мало кто разбирается в коде. Давайте рассмотрим методы, инструменты и результаты, которые обычно наблюдаются при аудите безопасности смарт-контрактов, чтобы вы могли принимать обоснованные решения.


Что такое аудит смарт-контрактов?

Аудит безопасности смарт-контрактов проверяет код смарт-контракта проекта и предоставляет комментарии к нему. Эти контракты обычно написаны на Solidity и доступны на GitHub. Аудит безопасности особенно важен для DeFi-проектов, которые обрабатывают многомиллионные блокчейн-транзакции между большим количеством пользователей. Аудит обычно проводится в четыре этапа:

1. Смарт-контракты предоставляются аудиторам для анализа.

2. Аудиторы представляют свои выводы руководителям проектов, чтобы они могли действовать соответствующим образом.

3. Команда проекта вносит необходимые изменения.

4. Аудиторы публикуют итоговый отчет с учетом изменений, внесенных проектной группой.

Для многих пользователей криптовалют аудит смарт-контрактов является обязательным этапом перед инвестированием в DeFi-проект. Это обязательный шаг для проектов, которые хотят, чтобы к ним относились серьёзно. Некоторые аудиторские компании считаются лидерами отрасли, поэтому их аудит стоит дороже, но и качество выше.


Зачем вам нужно проводить аудит смарт-контрактов?

Учитывая большие объёмы активов, замороженных или проходящих через смарт-контракты, вполне понятно, что они являются привлекательной целью для взломщиков. Даже небольшие ошибки в коде могут привести к краже огромных сумм. Взлом блокчейна Ethereum через DAO обошёлся почти в 60 миллионов долларов в Ethereum и привёл к хардфорку сети Ethereum.

Поскольку транзакции в блокчейне необратимы, крайне важно обеспечить полную безопасность кода проекта. Поскольку высокая степень безопасности блокчейна затрудняет возврат средств и устранение проблем после их возникновения, лучше избегать уязвимостей любой ценой.


Как работает аудит смарт-контрактов?

Процесс аудита смарт-контрактов довольно стандартизирован среди аудиторских компаний. Хотя подход каждого аудитора может немного отличаться, типичный процесс выглядит следующим образом:

1. Определите область аудита. Спецификации смарт-контракта и проекта определяются проектом (его целью) и общей архитектурой. Спецификация помогает аудиторской группе понять цели проекта при написании и использовании кода.

2. Предоставьте предварительную смету, исходя из объема необходимых работ.

3. Проведение тестов. Их характер будет зависеть от аудиторской группы, её аналитических инструментов и методов. Как правило, проводятся как ручные, так и автоматизированные тесты.

4. Создайте первую версию отчета с найденными ошибками, чтобы предоставить ее проектной группе для получения отзывов и внесения необходимых исправлений.

5. Опубликуйте итоговый отчет, приняв во внимание все действия, предпринятые командой для решения поднятых проблем.


Методы аудита смарт-контрактов

Эффективность использования газа

Аудит смарт-контрактов фокусируется не только на безопасности блокчейна. Он также проверяет эффективность и оптимизацию кода. Для выполнения некоторых контрактов требуется сложная серия транзакций. Поскольку комиссии за газ в таких сетях, как Ethereum, относительно высоки, оптимизированные контракты могут значительно снизить транзакционные издержки.

Оптимизация — хороший способ оценить мастерство разработчика. Ненужные шаги увеличивают риск возникновения проблем, поэтому их следует избегать. При высоких ценах на газ смарт-контракты могут не исполняться, а лимит газа может быть слишком низким.

Уязвимости контракта

Большинство аудитов включают проверку контрактов на наличие уязвимостей безопасности. Хотя некоторые проблемы легко обнаружить, многие эксплойты используют сложные методы и стратегии для вывода средств. Например, уязвимые смарт-контракты могут использоваться для манипулирования рынком для инициирования выдачи быстрых займов. Чтобы обнаружить эти уязвимости, аудиторы атакуют контракты различными способами. Вот некоторые из наиболее распространённых уязвимостей:

1. Проблемы повторного входа: когда смарт-контракт осуществляет внешний вызов другого внешнего контракта до того, как последствия будут устранены. Внешний контракт может затем рекурсивно вызвать исходный смарт-контракт и взаимодействовать с ним способами, которые в обычных условиях были бы невозможны, поскольку баланс исходного контракта ещё не обновлён.

2. Целочисленные переполнения и недовыполнения: когда смарт-контракт выполняет арифметическую операцию, но результат превышает объём хранилища (обычно 18 знаков после запятой). Это часто приводит к неверным расчётам.

3. Возможности прогнозирования: Плохо структурированный код может помочь прогнозировать покупки или продажи на рынке. Некоторые могут воспользоваться этой информацией для заключения выгодных сделок.

Уязвимости безопасности платформы

Большинство аудитов включают проверку сети, в которой размещены контракты, и даже API, используемого для взаимодействия с децентрализованным приложением (DApp). Проект может быть уязвим для DDoS-атак или пользовательский интерфейс его веб-сайта может быть взломан, что позволяет хакерам получить доступ к кошелькам пользователей, вошедших в проект.


Что такое аудиторский отчет?

Аудиторский отчёт предоставляется по завершении процесса аудита. В целях прозрачности проекты обычно делятся результатами со своим сообществом. В большинстве отчётов проблемы классифицируются по степени серьёзности: критические, серьёзные, незначительные и т. д. В отчёте также указывается статус недостатков, что даёт проектам время для их устранения до публикации финального отчёта.

Помимо краткого изложения, стандартный отчёт включает рекомендации, примеры избыточного кода и комплексный анализ ошибок кодирования. Проекту предоставляется время для принятия мер по результатам отчёта до публикации финальной версии.


Где я могу провести аудит своих смарт-контрактов?

Ряд сервисов аудита смарт-контрактов приобрели известность благодаря своим услугам. Два из них пользуются особой популярностью, и для получения аудита у них потребуется предварительное ценовое предложение и предоставление необходимой информации.

Сертик

CertiK — лидер отрасли в области аудита смарт-контрактов. Сотни проектов доверяют ей. PancakeSwap, крупнейший автоматизированный маркет-мейкер (AMM) на бирже BSC, — хороший пример. Ниже представлен фрагмент аудита PancakeSwap, проведённого CertiK.


Кроме того, подавляющее большинство проектов, поддерживаемых Binance Labs, проходят аудит CertiK. CertiK публикует панель мониторинга проверенных проектов, позволяющую сравнивать их, а также оценку безопасности. Обратите внимание, что помимо Ethereum, CertiK также проводит аудит проектов на базе Polygon и BSC.


ConsenSys Diligence

Компания ConsenSys, возглавляемая Джозефом Любином, одним из соучредителей Ethereum, является одним из крупнейших игроков в сфере разработки блокчейнов в криптовалютной индустрии. В рамках программы ConsenSys Diligence компания предлагает аудит смарт-контрактов Ethereum. Кроме того, компания предоставляет автоматизированный сервис проверки контрактов виртуальной машины Ethereum (EVM) на наличие распространённых ошибок.


Сколько стоит аудит смарт-контракта?

Точная стоимость аудита зависит от количества проверяемых смарт-контрактов. Как правило, стоимость аудита составляет несколько тысяч долларов. Проект с большим количеством контрактов быстро превысит 10 000 долларов. На размер оплаты также влияет аудиторская фирма, проводящая аудит, и её репутация.


В заключение

К счастью для инвесторов и пользователей, аудит смарт-контрактов теперь является стандартной процедурой. Однако, поскольку он есть у каждого проекта, это больше не гарантирует качество. Поэтому крайне важно самостоятельно ознакомиться с аудитом. Даже если у вас недостаточно технических знаний для его прочтения, всё равно ознакомьтесь с комментариями.

Когда вы столкнётесь с аудитом, вам, по крайней мере, будет легче понять его содержание. Как всегда, убедитесь, что любое инвестиционное решение учитывает как можно больше факторов.