Proč jsou audity zabezpečení chytrých smluv tak důležité?

Říct, že žijeme v „éře ICO“, je hrubé podhodnocení.

Vytvořili miliardy dolarů v příjmech a v průběhu procesu se do značné míry staly pojmem. Vzhledem k tomu, že tolik peněz proudí, je třeba věnovat zvláštní pozornost tomu, aby se zajistilo, že inteligentní smlouvy nebudou využívány a že generované peníze budou bezpečné.

Chybné nebo neopatrné kódování může vést k řadě útoků hackerů, jako je útok reentrancy, útok přetečení / podtečení atd. Pamatujte, že v sázce nejsou jen vaše peníze.

Takže když si to řekneme, pojďme pochopit, co jsou inteligentní smlouvy a jaké různé typy smluv existují.

#Crypto ExchangeBenefits

1

Binance
Best exchange


VISIT SITE
  • ? The worlds biggest bitcoin exchange and altcoin crypto exchange in the world by volume.
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

2

Coinbase
Ideal for newbies


Visit SITE
  • Coinbase is the largest U.S.-based cryptocurrency exchange, trading more than 30 cryptocurrencies.
  • Very high liquidity
  • Extremely simple user interface

3

eToro
Crypto + Trading

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

Proč jsou audity zabezpečení inteligentních smluv tak důležité?

Proč jsou audity zabezpečení chytrých smluv tak důležité?

Různé typy inteligentních smluv

Inteligentní smlouvy jsou automatizované smlouvy. Jsou samy provádějící s konkrétními pokyny napsanými na jeho kódu, které se provedou, když jsou splněny určité podmínky.

Proč jsou audity zabezpečení chytrých smluv tak důležité?

#CRYPTO BROKERSBenefits

1

eToro
Best Crypto Broker

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

2

Binance
Cryptocurrency Trading


VISIT SITE
  • ? Your new Favorite App for Cryptocurrency Trading. Buy, sell and trade cryptocurrency on the go
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

#BITCOIN CASINOBenefits

1

Bitstarz
Best Crypto Casino

VISIT SITE
  • 2 BTC + 180 free spins First deposit bonus is 152% up to 2 BTC
  • Accepts both fiat currencies and cryptocurrencies

2

Bitcoincasino.io
Fast money transfers


VISIT SITE
  • Six supported cryptocurrencies.
  • 100% up to 0.1 BTC for the first
  • 50% up to 0.1 BTC for the second

Další informace o inteligentních kontraktech se dozvíte v náš podrobný průvodce zde.

Chytré smlouvy jsou způsoby, jak se věci dělají v ekosystému ethereum. Když někdo chce provést konkrétní úkol v ethereum, zahájí inteligentní smlouvu s jedním nebo více lidmi.

Chytré smlouvy jsou souborem pokynů napsaných pomocí programovacího jazyka „pevnost”, Který funguje na základě Logika IFTTT aka IF-THIS-THEN-THAT logika. V zásadě platí, že pokud je hotová první sada pokynů, proveďte další funkci a poté další a pokračujte v opakování, dokud nedosáhnete konce smlouvy.

Existují tři druhy inteligentních smluv:

  • Plně na řetězových standardních kontraktech, které nemají žádné etherové (ani žádné vyhovující tokeny) převody. Jedná se o ty, které se nejsnadněji auditují, protože se řídí konkrétním standardem. Jelikož jsou zcela na blockchainu a nemají žádné etherové převody, není zranitelný vůči útokům
  • Plně na řetězových standardních kontraktech, které umožnily etherové převody jako ICO. Tyto smlouvy jsou o něco těžší než ty předchozí. Smlouvy, které umožňují ICO, se obvykle řídí šablonami, což usnadňuje audit.
  • Konečně máme smlouvy, které mají mimořetězcové interakce, jako jsou věštci, kanály atd. Je velmi těžké je auditovat, protože zahrnují některé operace, které jsou mimo blockchain. Ve skutečnosti nebude těžké říci, že úplný audit těchto smluv je téměř nemožný.

Dobře, takže teď víme, co jsou inteligentní smlouvy, pojďme se podívat na význam auditu těchto smluv.

Důležitost auditu

Je zbytečné vám říkat o důležitosti auditu, aniž bychom vám řekli o nejslavnějším hacku v krátké historii ICO.

DAO aka Decentralizovaná autonomní organizace byla komplexní chytrá smlouva, která měla navždy způsobit revoluci v Ethereum. V zásadě to bude decentralizovaný fond rizikového kapitálu, který bude financovat všechny budoucí DAPPS vyrobené v ekosystému.

Způsob, jakým to fungovalo, byl docela přímočarý. Pokud byste chtěli mít nějaké slovo ve směru DAPPS, které by bylo financováno, pak byste si museli koupit „DAO Tokeny“ za určité množství Etheru. Tokeny DAO byly indikátory, že jste nyní oficiálně součástí systému DAO.

Jak tedy bude DAPPS schválen a postaven? Nejprve se musí dostat na seznam povolených kurátorů, kteří byli v zásadě známými loutkami ve světě ethereum. Po získání razítka schválení budou držiteli tokenů DAO hlasováni. Pokud návrh získá v hlasování 20% souhlas, získá potřebné prostředky, aby mohl začít.

Potenciál DAO a flexibilita, kontrola a úplná transparentnost, které nabízel, byly bezprecedentní; lidé naskočili, aby získali svůj podíl na koláči. Během 28 dnů od svého vzniku nashromáždil ether v hodnotě 150 milionů dolarů v davu. V té době mělo 14% všech dosud vydaných etherových tokenů.

Možná by vás zajímalo, to je všechno dobré, ale jak se dá vyjít z DAO? Co když některý DAPP dostane schválení, jehož nejste velkým fanouškem, jak se potom odhlásíte od DAO? Aby to bylo možné, byly vytvořeny výstupní dveře s názvem „Split Function“. Pomocí této funkce byste získali zpět éter, který jste investovali, a pokud si to přejete, můžete si dokonce vytvořit svůj vlastní „Child DAO“. Ve skutečnosti byste se mohli rozdělit s několika držiteli tokenů DAO a vytvořit si vlastní Child DAO a začít přijímat návrhy.

Ve smlouvě byla jedna podmínka, ale po oddělení od DAO byste se museli držet svého éteru 28 dní, než byste je mohli utratit.

Takže prozatím vše vypadá pěkně a spiffy… až na to, že nastal jeden malý problém. Mnoho lidí vidělo tuto možnou mezeru a poukázalo na to. Tvůrci DAO ujistili, že to nebude velký problém. Jediná věc je, že to byl opravdu velký problém. Právě tato věc vytvořila celou bouři, která rozdělila ethereum na Ethereum a Ethereum Classic.

17. června 2016 někdo využil právě této mezery v DAO a odčerpal jednu třetinu finančních prostředků DAO. To je kolem 50 milionů dolarů. Mezera, kterou hackeři objevili, byla při zpětném pohledu docela přímá.

Pokud si někdo přál opustit DAO, může tak učinit odesláním žádosti. Funkce rozdělení poté provede následující dva kroky:

  • Vraťte uživateli jeho Ether výměnou za jeho tokeny DAO.
  • Zaregistrujte transakci do hlavní knihy a aktualizujte zůstatek interního tokenu.

Hacker udělal to, že v požadavku vytvořili rekurzivní funkci, takže takto fungovala funkce rozdělení:

  • Vezměte od uživatele tokeny DAO a dejte jim požadovaný Ether.
  • Než mohli transakci zaregistrovat, rekurzivní funkce způsobila, že se kód vrátil a přenesl ještě více Etheru za stejné tokeny DAO.
  • Takto to pokračovalo a pokračovalo, dokud nebyl Ether vyjmut a uložen v Child DAO v hodnotě 50 milionů dolarů, a jak byste čekali, pandemonium prošlo celou komunitou ethereum.

Takže shrnout vše.

DAO měl být revoluční dApp, který navždy změní Ethereum. Avšak kvůli jednoduché chybě v inteligentním kontraktním kódu byl hacker schopen odčerpat Ether v hodnotě 50 milionů dolarů. V důsledku toho došlo k následujícímu:

  • DAO se vypnulo
  • Hodnota Etheru klesla
  • Následné drama rozdělilo celou komunitu Ethereum na dvě části, Ethereum a Ethereum Classic.

DAO, více než cokoli jiného, ​​slouží jako připomínka, proč se ICO musí ujistit, že investují do kvalitních auditorských služeb. Skutečně smutnou částí je, že by se tomu dalo zabránit, kdyby byla smlouva předložena dostatečně slušné auditorské službě.

To také zosobňuje hlavní problém, kterému čelí většina moderních inteligentních smluv: over-engineering.

Většinu kontraktů vyvíjí více vývojářů, což nevyhnutelně vede ke zbytečně vysoké úrovni složitosti. Tato vysoká úroveň složitosti vede k vyšší zranitelnosti, která zvyšuje útočnou plochu Dapp.

Podívejme se tedy na základní přístupy, které existují při auditu smluv.

Základní přístupy k auditu

Existují dva základní přístupy k inteligentnímu auditu kontraktů:

  • Ruční analýza kódu
  • Automatická analýza kódu.

Ruční analýza kódu

Ruční analýza by měla být provedena, pokud máte vývojový tým slušné velikosti. V zásadě tým projde a prozkoumá každý řádek kódu a otestuje je z hlediska různých bezpečnostních problémů. I když je samozřejmé, že jde o nejlepší způsob provádění auditů, problém zůstává v tom, že je mimořádně časově náročný. Také, pokud ještě nemáte svůj vlastní vývojový tým, bude vás stát spoustu peněz, abyste si najali požadovaný počet vývojářů, abyste mohli důkladně projít svým kódem.

Automatická analýza kódu

Na druhou stranu automatická analýza kódu vývojářům ušetří spoustu peněz, protože využívají sofistikované penetrační testy, které jim pomáhají najít zranitelná místa. Vývojáři používají software jako Truffle k provádění automatického testování kódu. Mohou také použít Populus, což je rámec založený na pythonu.

I když je tato metoda rychlá a finančně efektivní, má řadu problémů.

Automatické testování může postrádat spoustu zranitelností a také může falešně identifikovat kód jako problematický, i když tomu tak není.

Nejideálnějším řešením tedy bude kombinace důkladnosti ruční analýzy a časové a ekonomické efektivity automatické analýzy. Toho jsme dosáhli s BountyOne.

Brzy vám představíme BountyOne, ale než to uděláme, musíme vám sdělit současný stav odvětví auditu.

Současný stav auditu

Mírně řečeno, současný stav odvětví auditu je rozbitý. Za zmínku stojí dvě věci:

  • Za prvé, nabídka vývojářů, kteří mají dostatečné znalosti, aby mohli procházet různými iteracemi kódu, aby našli chyby zabezpečení, je extrémně nízká. Je to velmi úzká oblast.
  • Zadruhé, poptávka je extrémně vysoká. Stačí se podívat na naprostý počet ICO. Je zřejmé, že všichni chtějí pro své chytré smlouvy řádné auditory.

Z těchto důvodů cena řádného auditu a testování prochází střechou.

Přesné náklady na provedení inteligentního auditu smlouvy skutečně závisí na řadě klíčových faktorů.

Jak jsme již řekli, pokud nemáte vlastní vývojářský tým, budete muset svou smlouvu zadat externě, což výrazně zvýší váš rozpočet.

Jednoduchý inteligentní kontrakt bez obchodní logiky stojí kolem 4000 $. Složitější a pokročilejší inteligentní smlouvy se mohou pohybovat od 50 000 USD až po 100 000 USD.

Navíc, pokud to nestačí. Obvykle existuje 3-4 týdenní čekací listina a poté trvá 8 týdnů, než bude proces auditu dokončen.

Nejenže utrácíte spoustu peněz, ale také ztrácíte spoustu času. Proto jsme zavedli platformu BountyOne pro:

  • Spojte různé vývojáře z celého světa na jedné platformě
  • Zadruhé pomůže tvůrcům projektů ušetřit spoustu času a peněz a přesto dosáhnout nejlepšího možného auditu.

Dobře, tak vám to představím BountyOne.

Co se liší od BountyOne?

Představte si BountyOne jako „Uber“ inteligentních auditorů kontraktů. Každý auditor se může rozhodnout pracovat na jakékoli smlouvě, která je aktuálně aktivní na platformě. Každý z těchto auditorů je důkladně prověřován námi. Procházejí podrobným procesem podávání žádostí, který zajišťuje, že se na naši platformu dostanou pouze ti nejlepší auditoři.

Celý proces auditu prochází třemi fázemi:

  • Fáze 1: Auditoři pracují na smlouvě a předkládají jejich verze
  • Fáze 2: Starší auditoři se poté podívají na práci, kterou provedli auditoři, a označí ji od 0 do 10
  • Fáze 3: Komunita kontroluje práci, kterou odvedli starší auditoři a auditoři, aby zjistili, zda je vše na svém místě.

Tento „audit trojitého příkopu“ zajišťuje, že práce každého bude nejen zdvojnásobena, ale také trojitě zkontrolována. Nyní tedy, když víme obecný přehled, pojďme do podrobností.

Fáze 1: Auditování

Proč jsou audity zabezpečení chytrých smluv tak důležité?

Zadavatel smlouvy předloží smlouvu a přidělí jí určité množství etheru. Odměny budou na platformě uvedeny jako vývěska. Smlouvy budou uvedeny jako „Probíhá“.

Proč jsou audity zabezpečení chytrých smluv tak důležité?

Nyní se každý auditor, který byl schválen společností BountyOne, může rozhodnout pracovat na této smlouvě. Způsob, jakým to iniciují, je vložením části svého éteru do smlouvy. Odůvodnění této sázky je jednoduché, aby se zajistilo, že se věci stihnou včas.

Jedním z největších problémů současných služeb inteligentního auditu kontraktů je to, že jsou extrémně náročné. Jak jsme již zmínili, může to trvat >50 dní na audit normální smlouvy.

V BountyOne se ujistíme, že načasování je prioritou tím, že necháme naše auditory uzavřít smlouvu citlivou na čas. V zásadě platí, že pokud nedokončí svou práci v daném čase, ztratí svůj podíl.

Na projektu může pracovat 10 auditorů najednou.

Fáze 2: Hodnocení

Proč jsou audity zabezpečení chytrých smluv tak důležité?

Nyní přichází druhá fáze procesu.

Auditoři vytvořili a předložili své verze smlouvy, jak nyní můžeme vybrat nejlepší smlouvu spravedlivým způsobem? K tomu je třeba vybrat porotu.

Tři vyšší auditoři si mohou zvolit, že se stanou porotci pro konkrétní případ auditu tím, že do smlouvy vloží ethereum. Senior auditor je v zásadě auditor, který provedl alespoň 3 úspěšné audity v ekosystému BountyOne. Tito starší auditoři tedy mohou hodnotit práci každého auditora individuálně od 0 do 10, přičemž 0 je nejnižší a 10 výjimečných.

Představte si, že máme hypotetickou inteligentní smlouvu A a pracují na ní pouze dva auditoři, Alice a Bob. Představte si, že tři starší auditoři takto označují Alici a Boba:

Proč jsou audity zabezpečení chytrých smluv tak důležité?

Dobře, ukázalo se, že Alice odvedla skvělou práci a Bob odvedl strašnou práci. Alespoň tak rozhodla naše porota.

Je však třeba provést ještě jednu úroveň kontroly. Vzpomínáte si, jak jsme říkali, že každý starší auditor potřebuje, aby se stal členem poroty? To je místo, kde tato sázka vstupuje do hry.

Fáze 3: Ověření

Proč jsou audity zabezpečení chytrých smluv tak důležité?

Konečnou fází auditu je kontrola komunity. Celá komunita auditorů společnosti BountyOne dostane do rukou následující:

  • Původní smlouva, která byla dána na audit
  • Všechny kontrolované smlouvy, které předložili auditoři
  • Známky, které dali auditovaným smlouvám vyšší auditoři

Komunitní kontrola využívá „moudrosti davu“, aby se ujistil, že vyšší auditoři spravedlivě označili auditované smlouvy.

Za tímto účelem zkontrolují každou kontrolovanou smlouvu a uvidí, o kolik je zlepšení oproti původní předložené smlouvě. Poté se chystají zkontrolovat známky dané Sr. Auditorem a zjistit, zda je to spravedlivé nebo ne.

Pokud komunita nenajde žádné chyby, pak dobře a dobře. Předpokládejme však, že najdou nějaké do očí bijící nesrovnalosti. Předpokládejme, že zkontrolovali Bobovy audity a myslí si, že odvedl opravdu dobrou práci a 2/10 pro něj znamená příliš nízké skóre. Pokud k tomu dojde, zvednou červenou vlajku.

Funguje to také opačně.

Předpokládejme, že starší auditor dal podprůměrnému auditu opravdu dobré známky. Komunita poté označí tento audit a zruší známky, které auditor obdržel.

Fáze 3B: Označení červeně (volitelně)

Pokud komunita zvedne rudou vlajku, pak a teprve potom se vytvoří tato druhá porotní skupina vyšších auditorů. Starší auditoři, kteří se zúčastnili původní poroty, se této nebudou moci zúčastnit.

Pokud tato porota zjistí, že někteří starší auditoři neodváděli svou práci správně v původní porotě, je jejich podíl okamžitě odebrán. Vyšší auditoři jako takoví vždy mají ekonomickou pobídku, aby se ujistili, že audity řádně označují.

Fáze 4: Odměna

Proč jsou audity zabezpečení chytrých smluv tak důležité?

Dobře, takže teď, když víme, jak celý proces funguje, se podívejme hlouběji na mechanismus odměn. Jak platforma BountyOne odměňuje své účastníky, aby zajistili, že každý dostane své spravedlivé odměny?

Rozdělení funguje takto:

  • 70% z celkové odměny etheru připadne auditorům
  • 20% z celkového množství etheru připadne auditorům Senor.
  • POKUD komunita zjistí něco špatného na auditech nebo práci vrchního auditora, pak může upozornit červenou vlajkou, kterou zkontroluje nová porota vrchních auditorů. Pokud se to vyzkouší, pak komunita a tato druhá porota vyšších auditorů získá 10% z celkového etheru.
  • Pokud však komunita nenajde absolutně nic špatného, ​​dalších 10% celkového etheru se vrátí zpět auditorům. V tomto případě tedy dostanou celkem 80%
  • Auditoři dostanou výplatu v poměru k známkám, které obdrželi.

Uveďme si příklad a podívejme se, jak projde rozpis odměn.

Předpokládejme, že máme smlouvu s cenou odměny 10 ETH. Předpokládejme, že na tom pracovali pouze dva auditoři, Alice a Bob, a během procesu auditu komunita ne musí vstoupit do hry.

Alice a Bob tedy obdrží 80% z celkové ceny odměny Ether, což je 8 ETH.

Předpokládejme, že starší auditoři bodovali Alice a Boba takto:

Proč jsou audity zabezpečení chytrých smluv tak důležité?

Celkové obdržené skóre je: 9 + 10 + 9 + 3 + 3 + 2 = 36

Z toho je Alicin podíl: 9 + 10 + 9 = 28 z 36, což je 28/36 * 100 = 77,78%

Bobův podíl je: 3 + 3 + 2 = 8 z 36, což 8/36 * 100 = 22,22%

Po auditu tedy Alice získá 6,24 ETH (77,78% z 8) a Bob dostane 1,76 ETH.

Můžete se podívat na infografika všech procesů v BountyOne právě tady.

Proč BountyOne přes jiné platformy?

Proč byste si tedy měli vybrat BountyOne přes jiné auditovací platformy? Pojďme se podívat:

  • Je to levnější, protože nemáme auditory na plný úvazek, za které musíme platit stovky tisíc dolarů. Mají další pracovní místa pro vývoj solidnosti a dělají to na straně jako řidič Uberu.
  • Platíme jim na základě výkonu, nejen za to, že přečetli kód. To je důvod, proč jsou auditoři ekonomicky motivováni k co nejlepší práci.
  • Auditoři riskují ztrátu všech svých vsazených peněz, pokud nedělají dobrou práci a neodevzdají svou práci včas. Tím je zajištěno, že nedochází ke zbytečným zpožděním.
  • Komunita (včetně dalších auditorů) může také vydělat značné množství peněz vyvrácením prací, které udělali ostatní.

Všechny tyto faktory společně zajišťují, že konečný produkt, který získáte, je nejlepším možným auditem vaší chytré smlouvy.

Závěr

Takže, tady to máte. BountyOne, decentralizované tržiště Bounty. Věříme, že tento model, který využívá ekonomické pobídky a uživatelsky přívětivější prostředí, pomůže přivést potřebnou objednávku do vysoce chaotického a rozbitého prostoru, tj. Inteligentního auditu kontraktů.

Pokud se o nás chcete dozvědět více, možná ano začněte zde

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map