DeFiの歴史における3つの悪名高いハックとそれらが監査にどのように関係しているか

プラトン再発行

フォロワー： 0

DeFiは暗号通貨業界のダイナミックなコンポーネントであり、 $80 数十億の資産プロトコルにロックされていますしかし、ことわざにあるように、お金がどこにあるかという問題が蓄積されます。

DeFiのプロジェクトは偽造と詐欺であり、そのような活動の緩いボルトはひどく構築されたスマートコントラクトです。これは、ここ数か月の詐欺を調べると明らかになります。

ポリネットワーク攻撃

ブロックチェーンの相互運用性に対処するために開発され、ポリネットワークは急速に成長しました約XNUMX億米ドル相当の暗号資産を閉じ込めました。しかし、利害関係者は、 $600 XNUMX回の攻撃でXNUMX万米ドルの暗号通貨が盗まれました。これにより、プロトコルの運用資産（AUM）は半分以上に削減されました。

ハッキングを成功させるために、クロスチェーン資産転送のプロトコルで使用されるスマートコントラクトの脆弱性のおかげで、加害者が所有していました。ハッカーは、スマートコントラクトで通常使用されるアドレスを自分のウォレットアドレスに置き換えました。手口は、暗号通貨を取得するためにPolygon、Ethereum、およびBSCブロックチェーン全体に複製され、何万人ものプロトコルユーザーを寒さにさらしました。

Poly Networkのセキュリティチームは、電子メール、IP、およびその他のハッカーの詳細を掘り下げることができました。圧力の下で、彼らは盗まれたものの大きな塊を返しました！しかし、すべてのプロトコルはそれほど幸運ではありません。

PancakeBunny攻撃

2021年XNUMX月、ハッカーが価値のある暗号資産の戦利品を作ったときに、PancakeBunnyプロトコルが攻撃に直面しました $45 百万。彼らはその目的のためにフラッシュローンのエクスプロイトを使用しました。さらに悪いことに、ハッカーは交換しましたバニー Binanceコインのトークン、BUNNYトークンの価格を $6 から $146.

さらに悪いことに、別の攻撃が次々と続いた。攻撃にもかかわらず、Bunny Financeの開発者は、同社のPolygonブロックチェーンフォークであるPolyBunnyへの攻撃を防ぐことができませんでした。攻撃者はミントしました $2.1 百万相当のPOLYBUNNY。 POLYBUNNYトークンの価格は$ 2から$ 10に下落しました.

フラッシュローンには、誰でもXNUMX回の取引で借りて返済できるスマートコントラクトが含まれます。彼らは、PancakeBunnyのBNB-USDT流動性プールの脆弱性を使用してBNBの価格を操作し、XNUMX段階のプロセスで約XNUMX万のBUNNYを首尾よく鋳造しました。

BurgerSwap攻撃

28年2021月XNUMX日、BSCブロックチェーンのBurgerSwapがフラッシュローン攻撃を受けました。ハッカーが盗んだ 約 7.2億円分 14トランザクションで。繰り返しになりますが、犯人はフラッシュローンのエクスプロイトでした。

攻撃者が行ったことは、独自の偽のコイン（非標準のBEP-20トークン）を作成し、$ BURGERを使用して新しい取引ペアを作成することでした。 $ WBNBルーティングを使用して、ハッカーは再入国しましたバーガースワップペアの契約で偽のコインと操作された準備金を介して、価格を変更し、彼らのお金を稼ぎます。

契約の役割

DeFiプロジェクトはスマートコントラクトによって自治されているため、障害が発生した場合は利害関係者にとって大きな懸念事項になります。スマートコントラクトには、実行と決済を自動化するように設計された一連のソフトウェアコードが含まれます。ブロックチェーンプロトコルの自動化を実現するのはこのレイヤーです。スマートコントラクトには、外部で発生しているイベントに基づいて、定義された開始イベントと終了イベントがあります。

最も読む– DeFiでスマートコントラクトを監査するときに忘れてはならないこと

マルチパーティ署名は、契約へのアクセスを制御します。外部および内部のデータソースにアクセスすると、用語の実行がトリガーされます。スマートコントラクトは、アセットが保存されている分散データベースにアクセスできます。また、資産および関係者の所有権に関する情報が埋め込まれています。

スマートコントラクトを本当にスマートにすることがなぜそれほど重要なのか

スマートコントラクトは、DeFiプロトコルの精神です。プロトコルは、それらに電力を供給するスマートコントラクトがプログラムされているのとまったく同じように動作します。バグがあると、プロトコルが大幅に失われる可能性があります。さらに悪いことに、それは不可逆的なシャットダウンにつながる可能性があります。

完璧なスマートコントラクトを作成する責任は開発者にあります。契約設計の欠陥は、重大、中程度、または中程度のバグにつながります。開発者は、安全で期待どおりに機能する契約を作成できる必要があります。ハッカーが利用できるバックドアがあってはなりません。契約が暗号通貨でいっぱいになると、悪意のある要素が契約を使い果たしようとする可能性があります。

監査の役割

スマートコントラクト監査は、コードのエラー、抜け穴、セキュリティの脆弱性を発見し、改善を提案するために不可欠です。ブロックチェーンは実質的に安全なエコシステムですが、スマートコントラクトの記述が不十分だと脆弱性が生じます。開発者は完全に信頼することはできません完璧な契約の作成 XNUMXつの理由があります。

まず、単一の開発者またはそのチームが、脆弱性に関するすべてのパラメーターが満たされていることを確認することは人間的に不可能です。第二に、開発者は、選択したときに契約を破棄するために故意にバックドアを離れることがあります。これらの両方の障害を打ち消すには、徹底的な監査が必要です。

スマートコントラクトのセキュリティ監査には、設計上の問題、コードのエラー、またはセキュリティの脆弱性を修正する目的で、アプリケーションを実行しているコードの徹底的な分析が含まれます。監査で信頼できるセキュリティ監査会社に焦点を合わせる必要があります。このプロセスには通常、一連の仕様への同意、テストの実行、自動実行ツールの実行、コードの手動分析、レポートの作成などの手順が含まれます。

包み込む

Poly Network、PancakeBunny、BurgerSwapなどのハックはその方法を強調しています重要なスマートコントラクト監査ブロックチェーンプロジェクトの成功のためです。監査エラー、問題、セキュリティの脆弱性を発見し、損傷が発生する前に抜け穴を塞ぐのに役立ちます。

QuillAuditsに連絡する

クイルオーディッツ によって設計された安全なスマートコントラクト監査プラットフォームです クイルハッシュ
テクノロジー
これは、スマートコントラクトを厳密に分析および検証して、効果的なセキュリティの脆弱性をチェックする監査プラットフォームです。 マニュアル でレビュー 静的な & ダイナミック 分析ツール、 ガス分析計 と同様 シミュレーター。 さらに、監査プロセスには広範な 単体テスト と同様 構造解析。
私たちは両方のスマートコントラクトを実施します監査 & 浸透可能性を見つけるためのテスト
プラットフォームに害を及ぼす可能性のあるセキュリティの脆弱性 整合性.