Miksi älykkäät sopimusten tietoturvatarkastukset ovat niin tärkeitä?

Sanoa, että elämme “ICO-aikakaudella”, on karkea aliarviointi.

He ovat tuottaneet miljardeja dollareita tuloja ja niistä on tullut melko paljon kotitalouden nimi. Kun rahaa liikkuu niin paljon, on kuitenkin kiinnitettävä erityistä huomiota siihen, että älykkäitä sopimuksia ei hyödynnetä ja että saadut rahat ovat turvallisia.

Virheellinen tai huolimaton koodaus voi johtaa useisiin hakkereiden hyökkäyksiin, kuten uudelleenkäynnistyshyökkäys, ylivuoto / alivuoto-hyökkäys jne. Muista, että päivän päätteeksi pelissä ei ole vain rahasi..

Joten sanottuamme tämän ymmärretään älykkäät sopimukset ja erityyppiset sopimukset.

Miksi älykkäät sopimusten tietoturvatarkastukset ovat niin tärkeitä?

Miksi älykkäät sopimusten tietoturvatarkastukset ovat niin tärkeitä?

Erilaiset älykkäät sopimukset

Älykkäät sopimukset ovat automatisoituja sopimuksia. He suorittavat itsensä ja koodiin on kirjoitettu erityiset ohjeet, jotka suoritetaan tiettyjen ehtojen täyttyessä.

Miksi älykkäät sopimusten tietoturvatarkastukset ovat niin tärkeitä?

Voit oppia lisää älykkäistä sopimuksista perusteellinen oppaamme täällä.

Älykkäät sopimukset ovat asioita, jotka tapahtuvat ethereum-ekosysteemissä. Kun joku haluaa saada tietyn tehtävän suoritettua ethereumissa, hän tekee älykkään sopimuksen yhden tai useamman ihmisen kanssa.

Älykkäät sopimukset ovat sarja ohjelmointikieltä kirjoitettuja ohjeita “vakavuus”, Joka toimii IFTTT-logiikka alias JOS TÄMÄ-SITÄ -SEN logiikka. Pohjimmiltaan, jos ensimmäinen ohjeisto on suoritettu, suorita seuraava toiminto ja sen jälkeen seuraava ja jatka toistamista, kunnes saavut sopimuksen loppuun.

Älykkäitä sopimuksia on kolmenlaisia:

  • Täysin ketjun standardin mukaiset sopimukset, joissa ei ole eetteri- (tai yhteensopivia merkkejä) siirtoja. Nämä on helpoin tarkastaa, kun ne noudattavat tiettyä standardia. Koska ne ovat kokonaan lohkoketjussa eikä heillä ole eetterisiirtoja, se ei ole altis hyökkäyksille
  • Täysin ketjun standardin mukaiset sopimukset, jotka ovat mahdollistaneet Ether-siirrot kuten ICO. Näitä sopimuksia on hieman vaikeampaa tarkastaa kuin entisiä. Tämän jälkeen sopimukset, jotka mahdollistavat ICO: n, noudattavat yleensä malleja, mikä helpottaa tarkastusta.
  • Lopuksi, meillä on sopimuksia, joilla on ketjun ulkopuolisia vuorovaikutuksia, kuten Oracle, kanavat jne. Näitä on erittäin vaikea tarkastaa, koska ne sisältävät joitain toimintoja, jotka eivät kuulu lohkoketjun ulkopuolelle. Itse asiassa ei ole helppoa sanoa, että näiden sopimusten täydellinen tarkastaminen on melkein mahdotonta.

Selvä, joten nyt tiedämme mitä älykkäät sopimukset ovat, katsotaanpa näiden sopimusten tarkastamisen merkitys.

Tarkastuksen merkitys

On turhaa kertoa sinulle tilintarkastuksen tärkeydestä kertomatta ICO: n lyhyen historian tunnetuimmasta hakkeroinnista.

DAO eli hajautettu autonominen organisaatio oli monimutkainen älykäs sopimus, joka aikoi mullistaa Ethereumin ikuisesti. Se oli pohjimmiltaan hajautettu riskipääomarahasto, joka aikoi rahoittaa kaikki tulevat ekosysteemissä tehdyt DAPPS.

Se, miten se toimi, oli melko suoraviivaista. Jos halusit olla sananvaltaa DAPPS: n suuntaan, joka saisi rahoitusta, sinun olisi ostettava DAO-rahakkeita tietylle määrälle eetteriä. DAO-tunnukset osoittivat, että olet nyt virallisesti osa DAO-järjestelmää.

Joten miten DAPPS aiotaan hyväksyä ja rakentaa? No, ensinnäkin heidän on saatava kuraattoreiden luetteloon, jotka olivat pohjimmiltaan tunnettuja hahmot ethereum-maailmassa. Saatuaan hyväksyntämerkin DAO-tunnuksen haltijat äänestävät heistä. Jos ehdotus saa 20 prosentin hyväksynnän äänestyksessä, he saavat tarvittavat varat aloitukseen.

DAO: n potentiaali ja sen tarjoama joustavuus, hallinta ja täydellinen avoimuus olivat ennennäkemättömiä; ihmiset hyppäsivät sisään saadakseen osuutensa piirakasta. 28 päivän kuluessa muodostumisestaan ​​se keräsi yli 150 miljoonan dollarin eetterin joukosta. Tuolloin sillä oli 14% kaikista tähän mennessä myönnetyistä eetterimerkkeistä.

Saatat ihmetellä, että kaikki on hyvä, mutta miten yksi menee ulos DAO: sta? Entä jos jotkut DAPP hyväksytään, ettet ole valtava fani, miten voit kieltäytyä sitten DAO: sta? Tämän mahdollistamiseksi luotiin poistumisovi nimeltä “Jaettu toiminto”. Tätä toimintoa käyttämällä saisit takaisin sijoittamasi eetterin ja, jos niin halusit, voit jopa luoda oman “Child DAO: n”. Itse asiassa voit jakaa useiden DAO-tunnusten haltijoiden kanssa ja luoda oman lapsi-DAO: n ja alkaa hyväksyä ehdotuksia.

Sopimuksessa oli yksi ehto, mutta sen jälkeen kun irrotit DAO: sta, sinun on pidettävä kiinni eetteristäsi 28 päivää ennen kuin voit käyttää niitä.

Joten kaikki näyttää hyvältä ja hämmentävältä toistaiseksi … lukuun ottamatta, siellä oli yksi pieni ongelma. Monet ihmiset näkivät tämän mahdollisen porsaanreiän ja huomauttivat siitä. DAO: n luojat vakuuttivat, että tästä ei tule iso kysymys. Ainoa asia on, että se oli todella iso asia. Juuri tämä loi koko myrskyn, joka jakoi ethereumin Ethereumiksi ja Ethereum Classiciksi.

17. kesäkuuta 2016 joku käytti hyväkseen tätä porsaanreikää DAO: ssa ja poisti kolmanneksen DAO: n varoista. Se on noin 50 miljoonaa dollaria. Hakkerin löytämä porsaanreikä oli melko yksinkertainen jälkikäteen.

Jos joku haluaa poistua DAO: sta, hän voi tehdä sen lähettämällä pyynnön. Halkaisutoiminto seuraa sitten kahta seuraavaa vaihetta:

  • Anna käyttäjälle takaisin eetterinsä vastineeksi DAO-tunnuksistaan.
  • Rekisteröi tapahtuma pääkirjaan ja päivitä sisäinen tunnussaldo.

Hakkerit tekivät sen, että he tekivät rekursiivisen toiminnon pyynnössä, joten näin jakamistoiminto meni:

  • Ota DAO-tunnukset käyttäjältä ja anna heille pyydetty eetteri.
  • Ennen kuin he voivat rekisteröidä tapahtuman, rekursiivinen toiminto sai koodin palaamaan takaisin ja siirtämään vielä enemmän eetteriä samoille DAO-tunnuksille.
  • Tätä jatkettiin, kunnes 50 miljoonan dollarin arvoinen eetteri otettiin pois ja varastoitiin lapsi-DAO: hon, ja kuten voit odottaa, pandemonium kävi läpi koko ethereum-yhteisön.

Joten yhteenvetona kaikesta.

DAO: n piti olla vallankumouksellinen dApp, joka aikoi muuttaa Ethereumia ikuisesti. Älykkään sopimuskoodin yksinkertaisen puutteen takia hakkeri pystyi kuitenkin poistamaan Etherin 50 miljoonan dollarin arvosta. Tämän seurauksena tapahtui seuraava:

  • DAO sammutettiin
  • Eetterin arvo romahti
  • Seuraava draama jakoi koko Ethereum-yhteisön kahtia, Ethereum ja Ethereum Classic.

DAO toimii ennen kaikkea muistutuksena siitä, miksi ICO: n on varmistettava, että he sijoittavat laadukkaisiin tilintarkastuspalveluihin. Todella surullinen on, että tämä olisi voitu välttää, jos sopimus toimitettaisiin riittävän kunnolliselle tilintarkastuspalvelulle.

Tämä yksilöi myös nykyaikaisimpien älykkäiden sopimusten pääongelman: ylisuunnittelun.

Suurimman osan sopimuksista on kehittänyt useita kehittäjiä, mikä johtaa väistämättä tarpeettoman korkeaan monimutkaisuuteen. Tämä korkea monimutkaisuus johtaa suurempaan haavoittuvuuteen, joka lisää Dappin hyökkäyspintaa.

Joten, sanottuamme tämän, katsotaanpa perustavanlaatuisia lähestymistapoja sopimusten tarkastamiseen.

Perusteelliset lähestymistavat tilintarkastukseen

On kaksi perustavaa laatua olevaa lähestymistapaa älykkääseen sopimusvalvontaan:

  • Manuaalinen koodianalyysi
  • Automaattinen koodianalyysi.

Manuaalinen koodianalyysi

Manuaalinen analyysi tulisi tehdä, jos sinulla on kunnollisen kokoinen kehitystiimi. Pohjimmiltaan joukkue käy läpi ja tarkastaa jokaisen koodirivin ja testaa niitä erilaisissa turvallisuusongelmissa. Vaikka on sanomattakin selvää, että tämä on paras tapa edetä tarkastuksessa, ongelma on edelleen siinä, että se on erittäin aikaa vievää. Jos sinulla ei vielä ole omaa kehittäjätiimiäsi, maksaa tonnia rahaa palkkaamaan tarvittava määrä kehittäjiä käymään läpi koodisi perusteellisesti.

Automaattinen koodianalyysi

Toisaalta automaattinen koodianalyysi säästää kehittäjiltä tonnia rahaa, kun he käyttävät kehittyneitä tunkeutumistestejä auttaakseen heitä löytämään heikkouksia. Kehittäjät käyttävät Trufflen kaltaisia ​​ohjelmistoja automaattisen kooditestauksen suorittamiseen. He voivat myös käyttää Populusta, joka on python-pohjainen kehys.

Vaikka tämä menetelmä on nopea ja rahatehokas, sillä on useita ongelmia.

Automaattinen testaus voi menettää melkoisen haavoittuvuuden, ja se voi myös väärin tunnistaa koodin ongelmalliseksi, vaikka se ei olekaan.

Joten ihanteellisin ratkaisu on yhdistelmä manuaalisen analyysin perusteellisuutta ja automaattisen analyysin aikaa ja taloudellista tehokkuutta. Se on mitä olemme saavuttaneet BountyOne-ohjelmalla.

Esittelemme sinut pian BountyOne-palveluun, mutta ennen kuin teemme sen, meidän on kerrottava sinulle tilintarkastusalan nykytilasta.

Tilintarkastuksen nykytila

No, lievästi sanottuna, tilintarkastusalan nykytila ​​on rikki. On kaksi asiaa, jotka kannattaa ottaa huomioon:

  • Ensinnäkin, kehittäjien määrä, jotka ovat riittävän osaavia suorittamaan koodin eri toistoja haavoittuvuuksien löytämiseksi, on erittäin vähäistä. Se on erittäin kapea alue.
  • Toiseksi kysyntä on erittäin korkea. Katsokaa vain suurta määrää ICO: ita siellä. Ilmeisesti he kaikki haluavat kunnolliset tilintarkastajat älykkääseen sopimukseensa.

Näistä syistä asianmukaisen tarkastuksen ja testauksen hinta menee katon läpi.

Älykkään sopimusauditoinnin tarkat kustannukset riippuvat useista avaintekijöistä.

Kuten olemme sanoneet aiemmin, jos sinulla ei ole omaa kehittäjätiimiä, sinun on ulkoistettava sopimuksesi, mikä lisää budjettiasi huomattavasti.

Tämän sanottu yksinkertainen älykäs sopimus ilman liiketoimintalogiikkaa maksaa noin 4000 dollaria. Monimutkaisemmat ja edistyneemmät älykkäät sopimukset voivat nousta 50 000 dollarista aina 100 000 dollariin.

Plus, jos se ei riitä. Odotuslista on yleensä 3-4 viikkoa, ja sitten auditointiprosessin suorittaminen kestää 8 viikkoa.

Joten, et vain kuluta paljon rahaa, tuhlataan myös paljon aikaa. Siksi olemme esittäneet BountyOne-alustan:

  • Yhdistä eri kehittäjiä ympäri maailmaa yhdelle alustalle
  • Toiseksi se auttaa projektin tekijöitä säästämään paljon aikaa ja rahaa ja saavuttamaan silti parhaan mahdollisen tarkastuksen.

Selvä, joten esitellään sinulle BountyOne.

Mikä on erilaista BountyOnessa?

Ajattele BountyOnea älykkäiden sopimusvalvojien ”Uberina”. Jokainen tilintarkastaja voi päättää työskennellä minkä tahansa alustalla tällä hetkellä aktiivisen sopimuksen kanssa. Jokainen näistä tilintarkastajista tarkastaa meitä perusteellisesti. He käyvät läpi yksityiskohtaisen hakuprosessin, joka varmistaa, että vain parhaat tilintarkastajat pääsevät foorumillemme.

Koko tarkastusprosessi käy läpi kolme vaihetta:

  • Vaihe 1: Tilintarkastajat työskentelevät sopimuksen parissa ja toimittavat versiot
  • Vaihe 2: Vanhemmat tilintarkastajat tarkastelevat sitten tilintarkastajien tekemää työtä ja merkitsevät sen 0-10
  • Vaihe 3: Yhteisö tarkastaa vanhempien ja tilintarkastajien tekemän työn selvittääkseen, onko kaikki paikoillaan.

Tämä “kolmoisohjatarkastus” varmistaa, että kaikkien työ tarkastetaan, ei vain kaksinkertainen, vaan myös kolminkertainen. Joten nyt, kun tiedämme yleiskatsauksen, siirrymme yksityiskohtiin.

Vaihe 1: Tarkastus

Miksi älykkäät sopimusten tietoturvatarkastukset ovat niin tärkeitä?

Sopimuksen antaja toimittaa sopimuksen ja osoittaa sille tietyn määrän eetteriä. Palkinnot luetellaan alustalla kuin ilmoitustaulu. Sopimukset luetellaan ”kesken”.

Miksi älykkäät sopimusten tietoturvatarkastukset ovat niin tärkeitä?

Nyt jokainen tilintarkastaja, jonka BountyOne on hyväksynyt, voi työskennellä tämän sopimuksen parissa. Tapa, jolla he aloittavat sen, on upottaa osa eetteristään sopimukseen. Tämän vaarnan perustelut ovat yksinkertaiset, jotta asiat saadaan aikaan ajoissa.

Yksi suurimmista ongelmista nykyisten älykkäiden sopimusten tarkastuspalveluissa on se, että ne ovat erittäin kuluttavia. Kuten olemme aiemmin maininneet, se voi kestää >50 päivää normaalin sopimuksen tarkastamiseksi.

BountyOnessa varmistamme, että ajoitus on etusijalla antamalla tilintarkastajamme tekemään aikaherkän sopimuksen. Pohjimmiltaan, jos he eivät saa työnsä päätökseen annetussa ajassa, he menettävät osuutensa.

10 tilintarkastajaa voi työskennellä projektissa kerrallaan.

Vaihe 2: luokittelu

Miksi älykkäät sopimusten tietoturvatarkastukset ovat niin tärkeitä?

Nyt tulee prosessin toinen vaihe.

Tilintarkastajat ovat laatineet ja toimittaneet versiot sopimuksesta, joten miten voimme nyt valita parhaan sopimuksen oikeudenmukaisella tavalla? Tätä varten on valittava tuomaristo.

Kolme vanhempaa tilintarkastajaa voi valita tietyn tarkastustapauksen tuomariksi liittämällä ethereumin sopimukseen. Vanhempi tilintarkastaja on pohjimmiltaan tilintarkastaja, joka on suorittanut vähintään 3 onnistunutta auditointia BountyOne-ekosysteemissä. Joten nämä vanhemmat tilintarkastajat voivat luokitella kunkin tilintarkastajan työn erikseen 0-10: stä, 0 on alin ja 10 poikkeuksellinen.

Kuvittele, että meillä on hypoteettinen älykäs sopimus A ja vain kaksi tilintarkastajaa työskentelee sen parissa, Alice ja Bob. Kuvittele, että kolme vanhempaa tilintarkastajaa merkitsevät Alice ja Bob näin:

Miksi älykkäät sopimusten tietoturvatarkastukset ovat niin tärkeitä?

Ok, niin käy ilmi, että Alice on tehnyt hienoa työtä ja Bob on tehnyt kauhean työn. Ainakin tämän tuomaristomme on päättänyt.

On kuitenkin tehtävä vielä yksi tarkastustaso. Muistatko, kuinka sanoimme, että jokaisen vanhemman tilintarkastajan on oltava vaakalaudalla oma ethereum tullakseen tuomariston jäseneksi? Täällä tuo vaaka tulee pelaamaan.

Vaihe 3: Vahvistus

Miksi älykkäät sopimusten tietoturvatarkastukset ovat niin tärkeitä?

Tarkastuksen viimeinen vaihe on yhteisötarkastus. BountyOnen koko tilintarkastusyhteisö saa käsiinsä seuraavat asiat:

  • Alkuperäinen tilintarkastusta koskeva sopimus
  • Kaikki tilintarkastajien toimittamat tarkastetut sopimukset
  • Arvioinnit, jotka vanhemmat tilintarkastajat antoivat tarkastetuille sopimuksille

Yhteisötarkastus hyödyntää “väkijoukon viisautta” varmistaakseen, että vanhemmat tilintarkastajat ovat merkinneet tarkastetut sopimukset oikeudenmukaisesti.

Tätä varten he tarkistavat jokaisen tarkastetun sopimuksen ja näkevät, kuinka paljon parannusta se on alkuperäiseen toimitettuun sopimukseen verrattuna. Sen jälkeen he aikovat tarkistaa vanhemman tilintarkastajan antamat arvosanat ja nähdä, onko se oikeudenmukainen vai ei.

Jos yhteisö ei löydä vikoja, niin hyvä ja hyvä. Oletetaan kuitenkin, että he löytävät joitain räikeitä ristiriitoja. Oletetaan, että he tarkistivat Bobin tarkastukset ja luulevat, että hän on tehnyt todella hyvää työtä ja 2/10 on aivan liian vähän pisteitä hänelle. Jos näin tapahtuu, he nostavat punaisen lipun.

Tämä toimii myös päinvastoin.

Oletetaan, että vanhempi tilintarkastaja antoi todella hyvät arvosanat alle keskimääräisen tarkastuksen. Sitten yhteisö merkitsee tämän tarkastuksen punaisella lipulla ja mitätöi tilintarkastajan saamat merkinnät.

Vaihe 3B: Punainen merkintä (valinnainen)

JOS yhteisö nostaa punaisen lipun, silloin ja vasta sitten muodostuu tämä toinen vanhempien tilintarkastajien tuomaristo. Alkuperäiseen tuomaristoon osallistuneet vanhemmat tilintarkastajat eivät voi osallistua tähän.

Jos tämä tuomaristo huomaa, että tietyt vanhemmat tilintarkastajat eivät ole tehneet tehtäväänsä oikein alkuperäisessä tuomaristossa, heidän osuutensa otetaan heti pois. Sellaisena vanhemmilla tilintarkastajilla on aina taloudellinen kannustin varmistaa, että he merkitsevät tarkastukset asianmukaisesti.

Vaihe 4: Palkitseminen

Miksi älykkäät sopimusten tietoturvatarkastukset ovat niin tärkeitä?

Selvä, joten nyt, kun tiedämme kuinka koko prosessi toimii, katsotaanpa syvemmälle palkitsemismekanismiin. Kuinka BountyOne-alusta palkitsee osallistujiaan varmistaakseen, että jokainen saa oikeudenmukaisen palkkionsa?

Erittely toimii näin:

  • 70% eetteripalkkiosta menee tilintarkastajille
  • 20% eetteristä menee Senor-tilintarkastajille.
  • JOS yhteisö löytää jotain vikaa tarkastuksissa tai vanhemman tilintarkastajan työssä, he voivat nostaa punaisen lipun, jonka uusi vanhempien tilintarkastajien tuomaristo tarkistaa. Jos tämä onnistuu, yhteisö ja tämä toinen vanhempien tilintarkastajien tuomaristo saavat 10% eetterien kokonaismäärästä.
  • Jos yhteisö ei kuitenkaan löydä mitään vikaa, ylimääräinen 10% eetterin kokonaismäärästä palaa tilintarkastajille. Joten tässä tapauksessa he saavat 80%
  • Tilintarkastajat saavat palkkansa suhteessa saamiinsa pisteisiin.

Otetaan esimerkki tästä ja katsotaan miten palkkioiden jakautuminen tapahtuu.

Oletetaan, että meillä on sopimus 10 ETH: n palkkahinnalla. Oletetaan, että vain kaksi tilintarkastajaa, Alice ja Bob, työskentelivät sen parissa ja yhteisö tarkastusprosessin aikana ei täytyy tulla peliin.

Joten, Alice ja Bob saavat 80% eetterin kokonaispalkkiosta, joka on 8 ETH.

Oletetaan nyt, että vanhemmat tilintarkastajat antoivat Alicelle ja Bobille näin:

Miksi älykkäät sopimusten tietoturvatarkastukset ovat niin tärkeitä?

Saadut kokonaispisteet ovat: 9 + 10 + 9 + 3 + 3 + 2 = 36

Tästä Alicen osuus on: 9 + 10 + 9 = 28 36: sta, mikä on 28/36 * 100 = 77,78%

Bobin osuus on: 3 + 3 + 2 = 8 36: sta, mikä 8/36 * 100 = 22,22%

Joten tarkastuksen jälkeen Alice saa 6,24 ETH (77,78% kahdeksasta) ja Bob 1,76 ETH.

Voit tarkistaa infografinen kaikki BountyOne-prosessit täällä.

Miksi BountyOne muihin alustoihin verrattuna?

Joten miksi sinun pitäisi valita BountyOne muiden tilintarkastusalustojen joukosta? Katsotaanpa:

  • Se on halvempaa, koska meillä ei ole kokopäiväisiä tilintarkastajia, joiden pitämisestä meidän on maksettava satoja tuhansia dollareita. Heillä on muita vakauden kehittämistä koskevia työpaikkoja, ja he tekevät tämän vain puolella kuin Uber-kuljettaja.
  • Maksamme heille suorituksen perusteella eikä vain sanomalla, että he lukevat koodin. Tämän vuoksi tilintarkastajia kannustetaan taloudellisesti tekemään parhaan mahdollisen työn.
  • Tilintarkastajat voivat menettää kaiken sidotun rahansa, jos he eivät tee hyvää työtä eivätkä lähetä töitä ajoissa. Tämä varmistaa, ettei tarpeettomia viivästyksiä ole.
  • Lisäksi yhteisö (mukaan lukien muut tilintarkastajat) voi ansaita huomattavan määrän rahaa kumoamalla muiden tekemät työt.

Kaikki nämä tekijät yhdessä varmistavat, että saamasi lopputuote on paras mahdollinen tarkastus älykkäästä sopimuksestasi.

Johtopäätös

Joten, sinulla on se. BountyOne, hajautettu Bounty-markkinapaikka. Uskomme, että tämä malli, joka käyttää taloudellisia kannustimia ja käyttäjäystävällisempää ympäristöä, auttaa tuomaan kaivattua tilausta erittäin kaoottiseen ja rikki tilaan, ts. Älykkääseen sopimusvalvontaan.

Jos haluat oppia lisää meistä, niin voit Aloita täällä

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map