为什么智能合约安全审核如此重要?

说我们生活在“ ICO时代”中,这是一种轻描淡写的说法.

他们创造了数十亿美元的收入,并且在此过程中几乎成为家喻户晓的名字。但是,由于有大量资金流转,因此必须格外小心,以确保不会利用智能合约,并且所产生的资金是安全的.

错误或粗心的编码可能会导致黑客发起大量攻击,例如重入攻击,上溢/下溢攻击等。记住,归根结底,这不仅危及您的资金.

如此说来,让我们了解什么是智能合约以及那里存在的不同类型的合约.

为什么智能合约安全审核如此重要?

为什么智能合约安全审核如此重要?

不同类型的智能合约

智能合约是自动化合约。它们使用在其代码上编写的特定指令自行执行,这些指令在满足特定条件时执行.

为什么智能合约安全审核如此重要?

您可以在中了解有关智能合约的更多信息 我们的深入指南.

智能合约是在以太坊生态系统中完成工作的方式。当某人想要在以太坊中完成特定任务时,他们会与一个或多个人启动智能合约.

智能合约是使用编程语言“坚固性”,它基于 IFTTT逻辑 又名 如果此逻辑. 基本上,如果完成了第一组指令,则执行下一个功能,然后执行下一个功能,并继续重复执行,直到合同到期为止.

共有三种智能合约:

  • 完全符合链标准的合同,无以太(或任何合规代币)转让。这些是遵循特定标准最易于审核的。由于它们完全在区块链上并且没有以太坊转移,因此它不容易受到攻击
  • 完全符合链标准的合同已启用以太坊等ICO转移。这些合同比以前的合同难审核。话虽如此,启用ICO的合同通常遵循模板,这使得审核更加容易.
  • 最后,我们拥有的合同具有脱链交互,如Oracle,渠道等。由于涉及区块链之外的某些操作,因此这些合同极难审核。实际上,可以说完全不可能对这些合同进行完全审计.

好了,现在我们知道了智能合约是什么,让我们看看审核这些合约的重要性.

审计的重要性

告诉您审计的重要性而又不告诉您ICO短历史上最著名的黑客攻击是徒劳的.

DAO又名去中心化自治组织,是一个复杂的智能合约,它将永远改变以太坊。它基本上是去中心化的风险投资基金,它将资助生态系统中所有未来的DAPPS.

它的工作方式非常简单。如果您想对将要获得资助的DAPPS进行发言,那么您将必须购买一定数量的以太币的“ DAO代币”。 DAO代币是您现在已正式加入DAO系统的指示器.

那么,DAPPS如何获得批准和构建?好吧,首先,他们需要被策展人列入白名单,这些策展人基本上是以太坊世界中的知名人物。获得批准印章后,他们将被DAO代币持有人投票。如果提案在投票中获得20%的批准,那么他们将获得启动所需的资金.

DAO的潜力及其提供的灵活性,控制性和完全透明性是前所未有的;人们跃跃欲试,分享自己的蛋糕。在其成立后的28天内,它通过众筹积累了价值超过1.5亿美元的以太币。当时,它已发行了所有以太币的14%.

您可能想知道,这一切都很好,但是一个人如何脱离DAO?如果某些DAPP被批准您不喜欢它怎么办,那么您如何选择退出DAO?为此,创建了一个称为“拆分功能”的出口门。使用此功能,您将取回已投资的以太币,并且,如果您愿意,甚至可以创建自己的“ Child DAO”。实际上,您可以拆分多个DAO令牌持有者,创建自己的子DAO,然后开始接受提案.

合同中有一个条件,但是,从DAO分离后,您必须坚持使用以太币28天,然后才能使用它们.

因此,现在一切看起来都不错,很漂亮……。除了,有一个小问题。很多人看到了这个可能的漏洞并指出了这一点。 DAO的创建者保证这将不是一个大问题。唯一的是,这确实是一个大问题。这件事造就了将以太坊分为以太坊和以太坊经典的整个风暴.

2016年6月17日,有人利用DAO的漏洞,抽走了DAO三分之一的资金。那大约是五千万美元。事后看来,黑客发现的漏洞非常简单.

如果希望退出DAO,则可以通过发送请求来退出。然后,拆分功能将遵循以下两个步骤:

  • 退还用户以太币以换取其DAO令牌.
  • 在分类账中注册交易并更新内部代币余额.

黑客所做的是他们在请求中创建了一个递归函数,因此拆分函数的运行方式如下:

  • 从用户那里获取DAO令牌并给他们以太币.
  • 在他们注册事务之前,递归函数使代码返回并为相同的DAO令牌转移更多的以太币.
  • 一直持续到价值5000万美元的以太币被拿出并存储在Child DAO中为止,正如您所期望的那样,pandemonium遍及整个以太坊社区.

所以,总结一切.

DAO被认为是革命性的dApp,它将永远改变以太坊。但是,由于智能合约代码中的一个简单漏洞,黑客得以窃取了价值5000万美元的以太币。结果,发生了以下情况:

  • DAO关闭
  • 以太币的价值暴跌
  • 随后发生的戏剧将整个以太坊社区分为两个,以太坊和经典的以太坊.

DAO最重要的是提醒人们为什么ICO必须确保他们在质量审核服务上进行投资。真正可悲的是,如果将合同提交给足够体面的审计服务机构,这本可以避免.

这也体现了大多数现代智能合约面临的主要问题:过度设计.

大多数合同是由多个开发人员开发的,这不可避免地导致不必要的高复杂性。这种高度的复杂性导致更高的漏洞,从而增加了Dapp的攻击面.

因此,让我们来看一下合同审核的基本方法.

审计的基本方法

两种基本方法 进行智能合约审核:

  • 手动代码分析
  • 自动代码分析.

手动代码分析

如果您有一个不错的开发团队,则应该进行手动分析。基本上,团队将检查并检查每一行代码,并针对不同的安全问题对其进行测试。不用说这是进行审核的最佳方法,但问题仍然在于这非常耗时。另外,如果您还没有自己的开发团队,将需要大量金钱来雇用所需数量的开发人员来深入研究代码。.

自动代码分析

另一方面,自动代码分析为开发人员节省了很多钱,因为他们可以使用复杂的渗透测试来帮助他们发现漏洞。开发人员使用Truffle之类的软件来进行自动代码测试。他们还可以使用Populus,这是一个基于python的框架.

尽管此方法快速且经济高效,但存在许多问题.

自动测试可能会遗漏很多漏洞,并且即使没有,也可能错误地将代码识别为有问题的代码.

因此,最理想的解决方案将是手动分析的彻底性与自动分析的时间和经济效率的结合。这就是我们通过BountyOne实现的目标.

我们将很快向您介绍BountyOne,但是在此之前,我们需要向您介绍审计行业的现状。.

审计现状

好吧,坦率地说,审计行业的现状已经破裂。有两件事需要注意:

  • 首先,有足够知识的开发人员可以运行不同的代码迭代来查找漏洞,而他们的供应量非常少。这是一个高度利基的地区.
  • 其次,需求非常高。只需看看那里的ICO数量之多即可。显然,他们都希望有合适的审计师来执行智能合约.

由于这些原因,进行适当的审核和测试的代价不菲.

进行智能合同审核的确切成本实际上取决于许多关键因素.

正如我们之前所说,如果您没有自己的开发团队,那么您将需要将合同外包,这将大大增加预算.

话虽如此,没有业务逻辑的简单智能合约的成本约为4000美元。更复杂,更高级的智能合约可以从50,000美元一路攀升至100,000美元.

另外,如果这还不够的话。通常会有3-4周的等待清单,然后需要8周才能完成审核过程.

因此,您不仅要花很多钱,而且也在浪费很多时间。这就是为什么我们引入BountyOne平台的原因:

  • 在一个平台上聚集来自世界各地的不同开发人员
  • 其次,它将帮助项目创建者节省大量时间和金钱,并且仍然可以实现最佳审核.

好了,让我们介绍一下 赏金.

BountyOne有什么不同?

将BountyOne视为智能合约审核员的“优步”。任何审核员都可以选择处理平台上当前有效的任何合同。我们对这些审核员中的每一位进行了广泛的审查。他们经过详细的申请流程,以确保只有最好的审核员才能进入我们的平台.

整个审核过程分为三个阶段:

  • 阶段1:审核员处理合同并提交其版本
  • 第二阶段:高级审核员然后查看审核员已完成的工作,并将其标记为0-10
  • 第三阶段:社区检查高级审核员和审核员已完成的工作,以查看是否一切就绪.

这项“三重沟审核”可确保每个人的工作都得到双重检查,而不仅仅是三重检查。因此,既然我们已经了解了一般概述,那么让我们详细介绍一下.

阶段1:审核

为什么智能合约安全审核如此重要?

合同提供者提交了一份合同,并为其分配了特定数量的以太。赏金将像各种公告板一样在平台上列出。合同将列为“进行中”.

为什么智能合约安全审核如此重要?

现在,任何被BountyOne批准的审核员都可以选择处理此合同。他们启动它的方式是将一些以太押入合同中。保证金的原因很简单,以确保按时完成工作.

当前的智能合约审计服务的最大问题之一是它非常消耗。就像我们之前提到的,可能需要 >正常合同的审核需要50天.

在BountyOne中,我们让审计师签订了对时间敏感的合同,以确保时机优先。基本上,如果他们没有在给定的时间内完成工作,那么他们将失去赌注.

一次有10位审核员可以从事一个项目.

阶段2:评分

为什么智能合约安全审核如此重要?

现在是过程的第二阶段.

审计员已经创建并提交了合同的版本,那么,现在,我们如何公平地选择最佳合同?为此,需要选择一个陪审团.

三名高级审计师可以通过将以太坊押入合同中,选择担任特定审计案件的陪审员。基本上,高级审核员是在BountyOne生态系统中至少进行了3次成功审核的审核员。因此,这些高级审核员可以将每个审核员的工作分别从0-10排名,0是最低的,而10是例外.

想象一下,我们有一个假设的智能合约A,并且只有两个审核员在处理它,即Alice和Bob。想象一下,三位高级审计师这样标记爱丽丝和鲍勃:

为什么智能合约安全审核如此重要?

好的,事实证明,爱丽丝做得很好,鲍勃做得很糟糕。至少这是我们的陪审团决定的.

但是,还需要进行另一级检查。还记得我们曾说过每个高级审计师需要投入自己的以太坊以成为陪审团成员吗?这就是赌注发挥作用的地方.

阶段3:验证

为什么智能合约安全审核如此重要?

审核的最后阶段是社区检查。 BountyOne的整个审核员社区将致力于以下方面:

  • 提供给审核的原始合同
  • 审计师提交的所有审计合同
  • 高级审计师对已审计合同的标记

社区检查利用“人群的智慧”来确保高级审计师公平地标记了已审计的合同.

为此,他们将检查每份经审核的合同,并查看与原始提交的合同相比有多大改进。之后,他们将检查高级审核员给出的标记,看是否公平。.

如果社区没有发现任何错误,那就很好。但是,假设他们发现了一些明显的差异。假设他们检查了鲍勃的审核,并且认为鲍勃的工作做得非常好,而2/10对他来说得分太低了。如果发生这种情况,那么他们将发出一个红旗.

这也相反.

假设一名高级审核员对低于平均水平的审核给予了很好的评价。然后,社区将对审核进行标记,并取消审核员已收到的标记.

阶段3B:红旗(可选)

如果社区举起了一个危险信号,那么只有第二个陪审团由高级审核员组成。参加原陪审团的高级审计师将无法参加.

如果该陪审团发现某些高级审核员未在原陪审团中正确完成工作,则他们的股份将被立即撤走。因此,高级审核员总是有经济动机来确保他们正确地标记审核.

阶段4:奖励

为什么智能合约安全审核如此重要?

好了,现在我们知道了整个流程的工作原理,让我们更深入地研究奖励机制。 BountyOne平台如何奖励参与者,以确保每个人都能获得应有的回报?

分解工作如下:

  • 以太币奖励总额的70%用于审核员
  • 全部以太币的20%分配给Senor Auditors.
  • 如果社区发现审计或高级审核员的工作有任何问题,那么他们可以提出一个危险信号,并将由新的高级审核员评审委员会进行检查。如果检查成功,那么社区和第二个高级审核员评审团将获得以太坊总数的10%.
  • 但是,如果社区发现绝对没有错,那么全部以太币的额外10%将返还给审核员。因此,在这种情况下,他们总共获得80%
  • 审核员将按照他们获得的分数比例获得报酬.

让我们举一个例子,看看奖励细分将如何进行.

假设我们有一个奖励价格为10 ETH的合同。假设只有两位审核员Alice和Bob在工作,在审核过程中,社区 没有 必须发挥作用.

因此,爱丽丝和鲍勃将获得以太总奖励价格的80%,即8 ETH.

现在,让我们假设高级审核员对Alice和Bob的评分如下:

为什么智能合约安全审核如此重要?

收到的总成绩是:9 + 10 + 9 + 3 + 3 + 2 = 36

其中,爱丽丝的份额为:9 + 10 + 9 = 36(28分之28),即28/36 * 100 = 77.78%

鲍勃的份额是:36中3 + 3 + 2 = 8,其中8/36 * 100 = 22.22%

因此,在审核之后,爱丽丝将获得6.24 ETH(占87.7%),鲍勃将获得1.76 ETH.

您可以查看 信息图 BountyOne中所有流程的全部.

为什么BountyOne超越其他平台?

那么,为什么要选择BountyOne而不是其他审核平台?好吧,让我们看一下:

  • 这样做比较便宜,因为我们没有专职审核员,所以我们必须支付数十万美元才能保留。他们还有其他的开发工作,就像Uber司机一样.
  • 我们根据性能向他们付款,而不仅仅是说他们阅读了代码。这就是为什么在经济上激励审核员尽最大努力的原因.
  • 如果审计师做得不好并且不按时提交工作,他们就有可能失去所有的抵押资金。这样可以确保没有不必要的延迟.
  • 此外,社区(包括其他审核员)可以通过反驳他人所做的工作来赚取大量金钱.

所有这些因素共同确保您获得的最终产品是对智能合约的最佳审核.

结论

因此,您就拥有了。分散的赏金市场BountyOne。我们认为,这种利用经济激励措施和更人性化的环境的模型将有助于将一些急需的订单带入高度混乱和破碎的空间,即智能合同审计.

如果您想了解更多关于我们的信息,那么您可以 从这里开始

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me