スマート コントラクトの監査は、手を洗うのとよく似ています。一度だけ実行し、結果に備える必要があります。 サイバー犯罪による壊滅的な損失の年に対応して、暗号セキュリティをめぐる会話が過熱するにつれて – は、「2022 年は記録上 web3 にとって最も費用のかかる年になるだろう」と述べています。いくつかのセキュリティのベスト プラクティスを確認することが不可欠です。その中で最も重要なのは、徹底した なスマート コントラクト監査の重要性です。   CertiK の最近のレポート 定期的 多くの場合、新しいブロックチェーン プロジェクトは、セキュリティ チェックを開始前に片付けるものとして扱い、二度と考えないようにします。この場当たり的な態度は、スマート コントラクトの監査が 1 回しか行われていないプロジェクトで最も明確に見られます。これを行うプロジェクトは、監査は実際のセキュリティよりもマーケティング目的であると考えているようです。投資家もユーザーも、スマート コントラクトの監査を受けていないプロジェクトを避けるべきであることは事実ですが、投資するプロジェクトが積極的でエンドツーエンドのアプローチを取っていることを確認する必要もあります。安全。  「なぜプロジェクトに定期的な監査が必要なのか」と疑問に思われるかもしれません。プロジェクト全体をカバーするべきではないでしょうか?」.これはよくある (そして高価な) 誤解です。優れたスマート コントラクトの監査では、プロジェクトの基になるコードの包括的な評価を提供する がありますが、監査が行われた後に発生した変更や更新、特に基になるコードに変更が加えられた場合はいつでも評価できません。 必要 もちろん、更新されない技術プロジェクトはすぐに冗長になります。これは、動きの速い web3 の世界では特に当てはまります。優れた技術投資家やユーザーは、更新と開発を拒否するプロジェクトを避けるべきであることを知っていますが、セキュリティをまったく更新しない (またはほとんど更新しない) プロジェクトに定期的に投資しています。清潔さの比喩に戻ると、これは、1 年間手を洗っていないという人に握手するようなものです。 取る 一例として、攻撃者は 1,600 万米ドル近くの資金を流出させました。 Deus はスマート コントラクトを監査していましたが、攻撃者は洗練されたフラッシュローン攻撃で新しい未監査のスマート コントラクトを標的にすることができました。攻撃を通じて、ハッカーは Deus の DEI トークンの価格を変更し、この予測可能な価格アクションの恩恵を受けることができました。彼らは、トークンの価格を決定するオラクル (データを解釈するコードのノード) によって使用される貸付プールを操作することによって、これを行いました。 Deus Finance エクスプロイト さて、コインに値するスマートコントラクトは、取引ペアを使用して価格を決定するオラクルを使用する危険性を警告します。これらは簡単に操作できるためです。しかし、脆弱なスマート コントラクトは最初の監査の範囲外であったため、監査人は問題を強調する機会を与えられませんでした。  Deus は、スマート コントラクト監査をセキュリティ フレームワークの継続的な機能として扱い、プロジェクトに重大な変更が加えられるたびに監査を受けなければならないという明確な警告として機能する必要があります。しかし、すべての監査が同じというわけではありません。よく計画されたプロジェクトが、悪い監査の欠陥に悩まされているのを何度も目にします。 最近のものを取る 例として。 FEG (Feed Every Gorilla) 超デフレ ガバナンス ミーム トークンは、最近 2 つのフラッシュ ローン攻撃に見舞われ、2 日間でプロトコルから合計 320 万ドルの資金が流出しました。 FEG エクスプロイト 各攻撃で、ハッカー (またはハッカー) は FEG のスマート コントラクトの同じ脆弱性を標的にしました。 CertiK によるエクスプロイトの分析により、これはトークンの脆弱性によるものであることが判明しました。  、サニテーションなしで信頼できるパーティとしてユーザー入力の「パス」を直接取得します。簡単に言えば、この欠陥により、ハッカーは関数を繰り返し呼び出して、無制限の許可を得て、資産の契約を流出させることができました。  [[Swap-To-Swap機能](https://docs.fegtoken.com/fegex/smartswap#:~:text=Swap%2DTo%2DSwap%20(S2S,found%20in%20the%20next%20section) おそらく FEG にとって最も苛立たしいのは、この欠陥がスマート コントラクトの監査によって検出されるべきだったという事実です。 FEG はスマート コントラクトを監査しましたが、監査人は、FEG の信頼できない「パス」パラメーターがプロトコルに渡され、コントラクトの資産の使用が承認されたことに気付くべきでした。適切な監査では、これを重大な重大度としてフラグを立て、それに応じて行動し、編集するようプロジェクトにアドバイスします。 ここで暗号セキュリティ業界が学ばなければならない教訓があります。ハッカーがプロジェクトを悪用する新しい独創的な方法を見つけ続けているため、監査人が新しい攻撃に対応してチェックを更新するだけではもはや十分ではないということです。代わりに、新しい攻撃が発生したときに備えられるように、常にテクノロジを更新する必要があります。 これらのエクスプロイトはどちらも、厳格で定期的なスマート コントラクト監査の必要性だけでなく、web3 セキュリティに対する予防的で一貫したエンド ツー エンドのアプローチの必要性も浮き彫りにしています。これは、セキュリティを単に売買するラベルではなく、構築して維持するものと見なす方向へのシフトにつながります。これは、テクノロジーに合わせてプロジェクトのセキュリティを更新する必要があるチームや、攻撃に対応するだけでなく、攻撃を予測する必要がある監査会社にも当てはまります。

Oracle

Target

2022 - HackerNoon Contributor of the Year - Optimization

Follow @CertiKAlert to receive real-time hack updates

Nominated for 2022 - HackerNoon Contributor of the Year - Optimization

このオーディオは、ストーリーの元の言語で制作されています。

長すぎる; 読むには

Download free Tech Leaders Productivity Report!

Web3、良好な衛生状態、およびエンドツーエンドセキュリティの必要性

About Author

コメント

ラベル

この記事は

Related Stories

AI/ML データレイクのリファレンスアーキテクチャを構築するためのアーキテクトガイド

Telegram: クリプト島と本土を結ぶ橋

海を航海する: データレイクを使用した本番環境レベルの RAG アプリケーションの開発

フォーラムからフィードへ: ソーシャルメディアアルゴリズムがデジタルインタラクションを形作る仕組み

AI/ML データレイクのリファレンスアーキテクチャを構築するためのアーキテクトガイド

Telegram: クリプト島と本土を結ぶ橋

海を航海する: データレイクを使用した本番環境レベルの RAG アプリケーションの開発

フォーラムからフィードへ: ソーシャルメディアアルゴリズムがデジタルインタラクションを形作る仕組み

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps

Web3、良好な衛生状態、およびエンド ツー エンド セキュリティの必要性