Jan 01, 1970
1,033
Como auditar plataformas DeFi?
Brian Pasfield2022/04/19
A segurança dos fundos dos usuários em DeFi não é garantida pelas autoridades monetárias.
Cofres enormes e seguranças armados também não aparecem para ajudá-lo. Tudo se resume à solidez do código.
Práticas Ruins. Práticas ruins em todos os lugares.
É bastante comum que o espaço DeFi lance produtos com pressa e tente corrigi-los e ajustá-los assim que forem lançados.
Vimos e continuamos a ver projetos que seguem esse caminho sendo hackeados ou explorados.
No mundo criptográfico, os usuários dependem de plataformas e códigos, não de seres humanos tomando decisões.
Código hermético é uma obrigação.
Passar por muitas auditorias precisa ser o padrão, não é bom ter protocolos Web3. Independente do gasto.
Nesta peça, destacarei a importância das auditorias DeFi. Também exploraremos como seriam os cenários ideais e refletiremos sobre a experiência em primeira mão da Fringe Finance na realização de uma auditoria dupla.
People Mentioned
Company Mentioned
A segurança dos fundos dos usuários em DeFi não é garantida pelas autoridades monetárias.
Cofres enormes e seguranças armados também não aparecem para ajudá-lo. Tudo se resume à solidez do código.
Práticas Ruins. Práticas ruins em todos os lugares.
É bastante comum que o espaço DeFi lance produtos com pressa e tente corrigi-los e ajustá-los assim que saírem.
Vimos e continuamos a ver projetos que seguem esse caminho sendo hackeados ou explorados.
No mundo criptográfico, os usuários dependem de plataformas e códigos, não de seres humanos tomando decisões.
Código hermético é uma obrigação.
Passar por muitas auditorias precisa ser o padrão, não é bom ter protocolos Web3. Independente do gasto.
Nesta peça, destacarei a importância das auditorias DeFi. Também exploraremos como seriam os cenários ideais e refletiremos sobre a experiência em primeira mão da Fringe Finance na realização de uma auditoria dupla.
Audits 101: Você VAI sofrer, mas vale a pena!
Uma auditoria envolve dezenas de pessoas com experiência comprovada em cibersegurança.
O trabalho deles é examinar cada linha de código para identificar: vulnerabilidades críticas, possíveis pontos de falha, excesso de centralização e até a simplicidade de sua interface.
As auditorias são uma ótima maneira de:
- Evite a visão de túnel.
- Obtenha uma nova perspectiva.
- Defina as bases de um projeto que pode ser dimensionado mais rapidamente.
Eles são essenciais para qualquer projeto ou plataforma que se preocupa com a segurança dos fundos dos usuários e seu sucesso a longo prazo.
Você só precisa ser hackeado uma vez para perder a confiança do público para sempre. Não se deve subestimar a importância de permanecer vivo por mais tempo do que seus concorrentes DeFi.
Para Fringe, o lançamento sem problemas com a Plataforma de Empréstimo Primário é essencial para atingir nosso objetivo de atrair indivíduos com alto patrimônio líquido, instituições financeiras e as comunidades ao redor de centenas de projetos DeFi. Então, prometemos a nós mesmos que passaríamos por quantas rodadas de auditoria fossem necessárias.
Falando em Rodadas…
A frase “ passe por quantas rodadas forem necessárias ”, implica que cada vulnerabilidade corrigida precisa ser testada novamente até o esquecimento.
Veja como funciona:
Ao iniciar uma auditoria, você precisa definir o escopo do processo. Você decide quais contratos a empresa de auditoria examina e em que grau. Idealmente, você teria todo o seu protocolo auditado, não alguns contratos.
Cada contrato incluído em uma auditoria o torna cada vez mais demorado e caro. Alguns projetos consideram um incentivo para cortar custos. Optamos por encontrar soluções para o protocolo que minimizassem o uso de contratos e os aproveitassem ao máximo. Estratégia é o nome do jogo!
Os especialistas da empresa de auditoria estudam sua base de código. Eles executam ferramentas de teste automático, aplicam uma ampla variedade de explorações conhecidas e verificam manualmente as vulnerabilidades. Esse processo gera um relatório sobre o qual a equipe irá agir, corrigindo as vulnerabilidades. Do mais ao menos crítico.
Depois de corrigido, você deve reenviar seu código para a empresa de auditoria. Eles testam novamente todas as vulnerabilidades identificadas anteriormente enquanto procuram outras recém-introduzidas. O projeto deve repetir esse processo de ida e volta até que os auditores não encontrem mais nenhuma vulnerabilidade permanente.
Auditoria dupla em tempos de guerra
Eu enfatizei a importância das novas verificações. "Auditoria" deve ser tomada com nuances em todos os casos. Passar por uma única verificação não conta como auditoria, nem corrigir vulnerabilidades sem testes repetidos.
Pode-se até dizer que "buscar o consenso multiempresarial pode ser a única maneira de alcançar a verdadeira segurança". Uma vez que toda empresa de auditoria tem uma cultura interna e procedimentos fixos que podem impedir uma verdadeira auditoria.
Olá do outro lado
Ter um certificado de auditoria parece bom no papel, mas você não chega lá a menos que seja diligente, o que certamente é um trabalho árduo. No geral, o inesperado é o quanto se aprende ao ser examinado pelos melhores do ramo. Todos os envolvidos podem agora dizer com orgulho que nos tornamos mais qualificados em nossos trabalhos e sabemos coisas que não sabíamos antes.
A auditoria, inesperadamente, nos permitiu descobrir múltiplas oportunidades de ajustes e possíveis implementações. Resumindo, nos fortaleceu. Aprendemos muito sobre nosso próprio protocolo, preconceitos e ideias. Criamos alguns conceitos excelentes que ajudarão a tornar o protocolo mais atraente para usuários que buscam inovação e segurança.
DeFi e Web3 são jovens. E, se eu tivesse que tirar apenas uma conclusão desse processo, seria que nós, como um ecossistema, só podemos melhorar colaborando. DeFi é para todos, mas também é para todos.
L O A D I N G
. . . comments & more!
. . . comments & more!
