一家開發公司在初步市場調查中報價30 萬美元用於安全審計,讓外行人感到震驚。然而,熟悉區塊鏈世界來龍去脈的人對高昂的價格一點也不感到驚訝。許多因素導致了高昂的成本,包括極度缺乏具備所需專業知識的審計團隊。
區塊鏈審計既耗時又高度複雜。 Atom加速器 最近進行了一項RFP,最終為Zellic 提供了44 萬美元的贈款,讓其在兩年內擔任Cosmos Hub 的審計合作夥伴。 Zellic 已多次對Cosmos Hub 進行審核,包括非活動驗證器集、無許可ICS 和Liquid Stake 模組(由Atom Accelerator 參與)。非活動驗證器集涉及對同名程式碼庫的第三方審核。 Zellic 進行了審計 兩週內總要價為59,500 美元,其中包括Simply Stake 作為中介的費用。該實體還對無需許可的ICS 第三方審計進行調解,使任何人都可以在沒有治理提案的情況下創建可選的消費者鏈,旨在更快、更少摩擦地啟動鏈。 Zellic 的報價為90,000 美元,並有25% 的價格緩衝,以考慮投票期間ATOM 代幣的波動性。總價(包括Simply Stake 的費用)為121,500 美元。在過去的一年半中,Cosmos Hub 在一次性功能審核上花費了327,000 美元,每週審核的平均費用為26,000 美元。這筆補助金根據20 週審計週的合約聘用Zellic,由於Atom Accelerator 的努力,每週的費用比Cosmos Hub 支付的費用低16%。
智能合約審核可能需要長達一個月的時間
專案的規模和複雜性是決定智慧合約審核所需時間的主要因素。雖然審核單一代幣合約需要幾天的時間,但對於具有複雜代幣經濟學的去中心化應用程式來說,這個過程最多需要一周的時間。更高級的智能合約安全審核最多需要一個月的時間。長度還取決於開發團隊是否需要完整的安全審核或僅需要中期報告。一般來說,審計已部署的智慧合約是一個更好的主意,而不是GitHub 上的智慧合約。它最大限度地減少了程式碼攪動和惡意最後一刻錯誤的風險,並向用戶社群傳達了透明的訊息。
審核的持續時間也受到手動或自動的影響。手動檢查程式碼中的各個函數非常耗時。然而,手動審核效率更高,因為它們可以降低虛假報告的風險。它們涉及逐行檢查程式碼,以幫助識別其架構和邏輯中隱藏的問題。
二進制分析和密碼演算法驗證
智慧合約稽核員執行二進位分析,以確保程式碼沒有後門,也就是攻擊者用來在未經身份驗證的情況下存取系統的隱藏機制。為此,團隊確保沒有未經授權的實體獲得管理存取權限,並檢查參與者之間的轉碼和綁定協議。它還驗證加密貨幣演算法並增強整體安全基礎設施。
產品安全審核需要深入了解程式語言
大多數軟體產品都整合了使用者介面。智能合約經常與DeFi 和Web3 中的後端伺服器交互,其程式碼可以是專有的或開源的。該介面與後端伺服器通信,並使用Metamask 或其他本地錢包來驗證用戶並簽署交易。通常至少有一個資料庫,例如PostgreSQL 或MongoDB,以及AWS Cognito、Auth0 或其他OAuth2 驗證服務。
產品安全審核員驗證所有組件是否按預期相互交互、每個組件正確執行其功能、不可能發生資訊外洩、系統部署程序遵循最佳實踐,並且防止未經授權的存取。這些任務需要對大型軟體專案架構有深入的了解,並且能夠導航用不同程式語言編寫的程式碼庫。通常,前端是用ReactJS 編寫的,而後端是Golang、NodeJS、Python 等的混合體。智能合約是用Rust 或Solidity 編寫的。涉及廣泛的工具,包括區塊鏈節點和Docker容器管理技術。
滲透測試人員精通網路協定和架構
滲透測試重點在於Web2 後端服務提供的外部API 端點。測試審核員透過意外語法呼叫其中一些API 來取得特權存取權限,從而緩解安全漏洞。這是一種常見的攻擊媒介,網路犯罪分子會誘騙系統洩漏私人資料或執行其他未經授權的操作。審核員精通TCP/IP、HTTP/HTTPS、UDP、DNS 和SMTP 等網路協議,以及防火牆、路由器、交易所等架構及其配置。還需要熟悉子網路和IP 尋址(CIDR、NAT、VLAN 和VPN)以及Wireshark 等用於分析封包的工具。了解命令列熟練程度、權限和配置使審核員能夠收取高額費用。
規避審計的風險
未能識別智能合約缺陷或錯誤可能會導致被利用,從而導致資金損失。跳過審核也可能導致違反KYC/AML 法律,從而導致罰款或法律訴訟。
如果沒有審計,智能合約、共識機製或加密貨幣協議中的漏洞可能會被忽略。它還表明缺乏盡職調查,導致用戶和合作夥伴產生懷疑。
違反信任或資金可能會導致區塊鏈網路中用戶或參與者的流失。如果沒有審計,程式碼效率低下可能會導致交易成本增加或網路效能下跌。
最後,審計員通常會提供提高效能、安全性和合規性的建議。由於這些和許多其他原因,他們的服務對於區塊鏈運營是不可或缺的,並且非常值得巨額補償。
資訊來源:由0x資訊編譯自THECRYPTOBASIC。版權歸作者Albert Brown所有,未經許可,不得轉載
