Gli audit di sicurezza dei contratti intelligenti ti aiutano a identificare potenziali vulnerabilità di sicurezza nel tuo sistema. Ti consentono di affrontare queste vulnerabilità prima che una parte malintenzionata ne approfitti e rovini la tua piattaforma.
Tuttavia, con una tale nuova tecnologia, potresti chiederti cos'è un audit del contratto intelligente, perché un audit del contratto intelligente è importante e se hai davvero bisogno di un audit del contratto intelligente comunque.
Che cos'è un audit di contratto intelligente?
Un audit del contratto intelligente è un'ispezione e un'analisi sistematiche e approfondite del codice utilizzato da un contratto intelligente per interagire con una criptovaluta o blockchain. Questo processo viene utilizzato per trovare bug, problemi tecnici e falle di sicurezza nel codice. Con questo, gli esperti di audit dei contratti intelligenti possono consigliare soluzioni e apportare modifiche. Gli audit dei contratti intelligenti sono in genere necessari perché la maggior parte dei contratti riguarda oggetti di valore e risorse finanziarie.
Un audit del contratto intelligente non fornisce una garanzia al 100% che il contratto sarà privo di errori o vulnerabilità. Tuttavia, garantisce che lo smart contract sia sicuro, essendo stato valutato da un esperto di tecnologia.
Attacchi informatici su Blockchain e Smart Contract
Spetta agli sviluppatori blockchain trovare le vulnerabilità della sicurezza e risolverle prima che gli exploit vengano utilizzati negli attacchi del mondo reale.
Le entità dannose utilizzano due metodi principali per lanciare un attacco riuscito: Baiting e l'attacco Reentrancy. Il primo si basa su trucchi di ingegneria sociale come persuadere una vittima a inviare criptovaluta al portafoglio dell'attaccante; la seconda e più complicata strategia richiede una comprensione completa degli smart contract blockchain ed elementi correlati come portafogli side-chain e cross-chain, oltre a una conoscenza di diversi protocolli.
Ecco tre attacchi blockchain degni di nota.
Wormhole
L'hacking di Wormhole Bridge è il secondo più grande attacco di criptovaluta fino ad oggi. Wormhole, un popolare ponte che collega le blockchain di Ethereum e Solana, ha perso circa 320 milioni di dollari a causa di un hack. L'attaccante ha approfittato di una scappatoia sul ponte per rubare 120k Wrapped Ether per un valore di 323 milioni di dollari.
L'attaccante è stato in grado di coniare circa 20.000 wETH, un equivalente di Ethereum sulla blockchain di Solana, del valore di 325 milioni di dollari al momento dell'incidente. Lo hanno fatto falsificando una firma valida per una transazione senza fornire alcuna garanzia.
Crema Finanziaria
Gli hacker hanno sottratto circa 130 milioni di dollari in token Ethereum sfruttando un bug nel contratto di prestito flash di Cream Finance. La tecnologia Cream Oracle e il suo metodo di calcolo dei prezzi degli asset presentano limitazioni significative.
L'attaccante ha sfruttato le limitazioni nei calcoli dei prezzi effettuati dagli smart contract utilizzati da CREAM piattaforma finanziaria e modificato il prezzo del pool yUSD utilizzato come garanzia, facendo diventare una quota di 1 yUSD $2.
Di conseguenza, il deposito originale dell'attaccante di $ 1,5 miliardi in yUSD, secondo Cream Finance, è raddoppiato. L'hacker ha quindi convertito il suo deposito in yUSD su Cream Finance in $ 3 miliardi e ha utilizzato il profitto di $ 1 miliardo per drenare la liquidità totale del progetto.
Finanza inversa
Innanzitutto, l'attaccante ha ritirato 901 ETH da Tornado Cash, un mixer di Ethereum. Quindi l'attaccante ha utilizzato i pool di liquidità INV/WETH e INV/DOLA di SushiSwap per scambiarli con INV. Successivamente, hanno gonfiato il prezzo di INV utilizzando entrambi i pool registrati dall'oracolo dei prezzi Keep3r, che ha monitorato il prezzo di INV. Ciò ha consentito all'attaccante di gonfiare il prezzo di INV presso Inverse Finance e sottrarre un prestito di 15,6 milioni di dollari INV-backed in ETH, WBTC, YFI e DOLA.
L'importanza di un audit di sicurezza degli Smart Contract
Uno smart contract vulnerabile riflette più di un semplice tentativo di programmazione imperfetto. Può offuscare l'immagine di uno sviluppatore e rovinare progetti che hanno richiesto mesi o anni per essere lanciati. Di conseguenza, il controllo dei contratti intelligenti è ora uno dei le fasi di sviluppo eseguite dai programmatori per ogni nuovo progetto. Il processo offre i seguenti incredibili vantaggi:
- Protezione migliorata contro gli hacker
- Previene costosi errori di codice del contratto intelligente
- Prodotti finanziari decentralizzati più sicuri
- Maggiore fiducia nel progetto e nell'intero settore
- Maggiore credibilità in un settore che sta diventando più competitivo
La capacità degli sviluppatori di svolgere un lavoro migliore e più duraturo, che si traduce in prodotti e applicazioni più sicuri, è resa possibile da questo audit del contratto intelligente. Inoltre, il rapporto di audit funge da timbro di approvazione di un esperto di terze parti per un nuovo progetto, su cui gli investitori e gli utenti possono fare affidamento.
Il processo di audit sulla sicurezza degli Smart Contract
Un audit del contratto intelligente segue un processo ampiamente standard tra i fornitori di audit. Sebbene ciascun revisore possa adottare un approccio leggermente diverso, la procedura standard è la seguente:
1. Definire l'ambito dell'audit
Il progetto (e la sua destinazione d'uso) e l'architettura complessiva definiscono lo smart contract e le specifiche del progetto. Una specifica consente al team di audit di comprendere gli obiettivi del progetto durante la scrittura e l'esecuzione del codice.
La specifica del contratto intelligente e altra documentazione correlata forniscono descrizioni dettagliate dell'architettura del progetto, del processo di costruzione e delle decisioni di progettazione. Di solito, il file README per il progetto contiene una descrizione della specifica.
2. Test unitario
In questo caso, la responsabilità dello sviluppatore è scrivere casi di test unitari. Durante l'esecuzione dei test unitari, l'auditor verifica se lo smart contract funziona come previsto. A questo punto, i revisori dei contratti intelligenti utilizzano testnet e strumenti di auditing per garantire che gli unit test coprano tutti i rischi rilevanti.
Inoltre, i test forniscono ai revisori dei contratti intelligenti l'accesso a documentazione non ufficiale che fornisce dettagli aggiuntivi sulla funzionalità del progetto pianificato.
3. Audit manuale
La parte più importante del processo di auditing. L'auditor controlla ogni riga del codice per individuare eventuali errori.
4. Audit automatizzato
Dopo il controllo manuale, l'auditor esegue un controllo dettagliato del codice utilizzando strumenti di controllo come Slither, Scribble, Mythril e MythX. I revisori raccomandano un audit del contratto intelligente basato sulle vulnerabilità identificate e sull'ottimizzazione del codice.
5. Segnalazione iniziale
L'auditor redige una bozza iniziale del rapporto, compresi gli errori rilevati, e quindi lo invia al team di sviluppo del progetto per un feedback e correzioni pertinenti.
6. Rapporto finale
La fase finale del processo di audit del contratto intelligente è la stesura finale di un rapporto di audit. Gli auditor devono completare i test ei processi di analisi manuali e automatici prima di produrre un rapporto di audit dettagliato. Pubblicano il rapporto finale dopo aver preso in considerazione tutti i passaggi adottati dal team per risolvere i problemi segnalati.
Test di penetrazione per Smart Contract
Conducendo test di penetrazione, puoi prevenire catastrofi legate alla sicurezza informatica che potrebbero danneggiare la reputazione della tua azienda e comportare una grande perdita finanziaria. Sfruttare efficacemente le vulnerabilità degli smart contract consentirà sia il rilevamento di gravi vulnerabilità di sicurezza sia l'identificazione di potenziali punti di ingresso nei sistemi informativi.
Puoi eseguire un test di penetrazione degli smart contract in tre modi.
Prova della scatola nera
In test della scatola nera, un penetration tester che testa uno smart contract in una "scatola nera" lo fa senza sapere come funziona internamente. Un tester inserisce i dati e monitora l'output generato dallo smart contract sottoposto al test. Ciò consente di identificare i tempi di risposta del contratto intelligente, i problemi di usabilità e affidabilità e il modo in cui il contratto risponde alle attività dell'utente impreviste e previste.
Test della scatola grigia
Il test della scatola grigia è un metodo di test degli smart contract utilizzato per testare uno smart contract conoscendo solo una parte della sua struttura interna. Il test della scatola grigia cerca e individua le vulnerabilità causate da una struttura o dall'uso del codice di contratti intelligenti scadenti.
Prova della scatola bianca
Test della scatola bianca analizza le strutture interne di un contratto intelligente rispetto a testare la funzionalità di un contratto intelligente. Viene anche indicato come test della scatola trasparente, test della scatola trasparente, test della scatola di vetro e test strutturale.
Lo scopo di questo test è quello di analizzare a fondo l'intero sistema. Determina la portata e la capacità di danno di una squadra attaccante.
Gli audit di sicurezza degli smart contract sono vitali per i progetti DeFi e NFT
In conclusione, diversi progetti di alto profilo che hanno perso fondi sono serviti da esempio e hanno reso tutti consapevoli dell'urgenza di un buon audit degli smart contract. Tuttavia, anche se esegui un audit dello smart contract, non vi è alcuna garanzia che lo smart contract sia sempre immune agli attacchi.