Движок CertiK AutoScan: 53 из 500 топовых токенов по рынку оказались уязвимыми.

in #blockchain6 years ago (edited)

В рамках блокчейн экосистемы токен может служить как хранилищем  стоимости, так и цифровым представлением реальных активов. Постепенно стандартизированная реализация токенов вместе с унифицированными API позволила значительно упростить взаимодействие между токенами и dApps, а  также значительно повысить согласованность процессов, связанных с листингами бирж. На сегодняшний день наиболее распространенным стандартом токенов является ethereum — который обычно называют ERC-20 — усовершенствование, предложенное еще в конце 2015 года. Последние статистические данные показывают, что на Etherscan существует в общей сложности 112446 основанных на ERC-20 токенов, и их число растет с  каждым днем. В настоящее время общая рыночная стоимость 500 лучших токенов Etherscan составляет около 12 миллиардов долларов США.

С самого зарождения блокчейн, было несколько катастрофических взломов смарт-контрактов, которые подчеркнули важность безопасности блокчейн. На сегодняшний день в результате атак на смарт-контракты украдено около 2 миллиардов долларов. В одном из самых известных примеров, взлом крупного краудфандингового проекта, DAO, привел к потерям более 50 миллионов  долларов США. В течение нескольких месяцев подобные взломы продолжались, что привело к снижению доверия в мире блокчейн. Тем не менее, больший акцент на аудиты безопасности и проверки помогли ограничить взломы и восстановить доверие к сообществу. Например, ведущий BlockExplorer Эфириума, Etherscan, имеет 17 рекомендованных поставщиков услуг аудита  безопасности, включая CertiK, который является ведущей платформой аудита смарт-контрактов, созданной некоторыми ведущими учеными мира в области формальной проверки.

CertiK имеет три основных преимущества по сравнению с обычными поставщиками услуг аудита безопасности:

  1. CertiK имеет развитую систему формальной проверки, подкрепленную тщательными  исследованиями, которые могут математически доказать, имеют ли смарт-контракты риски безопасности или ошибки.
  2. CertiK получил высокую оценку не только в области безопасности, но и масштабируемости. Благодаря интеллектуальной маркировке и слоевому  подходу к верификации Платформа способна разделять сложные смарт-контракты на различные модули. Это позволяет проводить проверку распределенным образом, что значительно повышает эффективность и  эластичность.
  3. В отличие от традиционных методов проверки, которые выполняются вручную и  часто отнимают много времени и подвержены ошибкам, CertiK высоко  автоматизирован. CertiK достигает этого через свой запатентованный движок и алгоритм проверки, который переводит исходный код в объекты  доказательства, проверяемые машиной.

В конце августа CertiK объявила о своем последнем обновлении в отрасли, представив запуск высокопроизводительного движка автоматической проверки смарт-контрактов: Certik AutoScan Engine (CASE). После проведения полной проверки контрактов токенов на Etherscan (которая заняла примерно  3 часа), команда выпустила первоначальные, десенсибилизированные результаты сканирования для справки по отрасли. Среди 500 топовых токенов 53 подвержены разной степени серьезности лазеек, с общей  рыночной капитализацией 40 миллионов. Среди них 70% смарт-контрактов имеют проблемы переполнения целых чисел, в то время как 30% имеют проблемы функциональной корректности.

Есть в общей сложности 3 новых типа критических ошибок, 2 новых типа средних  ошибок и многочисленные ошибки с низким приоритетом. Ниже перечислены некоторые из вновь выявленных проблем:

  1. Unlimited Burn
    Серьезность: Критическая
    Признак:  после того, как пользователь A одобрит токен пользователя B 1 в качестве надбавки, пользователь B сможет выгрузить / записать все остальные токены от пользователя A из-за реализации ошибочной функции.
    Общая рыночная капитализация затронутых смарт-контрактов: $ 15,000,000.
  2. Unlimited Mint
    Серьезность: Критическая
    Признак:  владелец контракта может чеканить неограниченное количество токенов.  Это ставит держателей токенов под угрозу, потому что стоимость токенов, которые они держат, может уменьшиться по мере увеличения предложения. Это тонкое и не может быть легко замечено из самого контракта. Это также может привести к мошенничеству.
    Общая рыночная капитализация затронутых смарт-контрактов: $3,000,000.
  3. Token Transfer = Mint
    Серьезность: Критическая
    Признак: владелец контракта может чеканить неограниченное количество токенов  через переполнение целых чисел или во время передачи токенов.
    Общая рыночная капитализация затронутых смарт-контрактов: $16,000,000.
  4. Orphan Token
    Серьезность: Средняя
    Признак:  передача собственности должным образом не внедрена. Контракт может потерять своего владельца, когда право собственности передается и терпит неудачу. В результате контракт может разыграться, и никто не имеет  разрешения на администрирование контракта.
  5. Underflow from Balance Withdrawal
    Серьезность: Средняя
    Признак: пользователь получает меньше токенов, чем он должен, из-за проблемы переполнения целого числа.

Смарт-контракты привлекли значительное внимание хакеров в результате их уникальных  характеристик (т. е. неизменности и прозрачности). Хотя есть способы спасти взломанный проект, такие как хардфорк или техническое обновление, наиболее эффективным средством обеспечения безопасности является бдительное предотвращение распространенных типов атак. Последний продукт  CertiK, “AutoScan”, предоставляет криптовалютным биржам возможность постоянно отслеживать токены, перечисленные на их платформах. Проблемы предотвращаются до развертывания смарт-контрактов в основных сетях.

Из-за  соображений безопасности CertiK не будет идентифицировать имена токенов или местоположения уязвимостей, которые были выявлены в процессе “AutoScan” CertiK. Вместо этого, CertiK будет обращаться к этим проектам напрямую, чтобы помочь полностью исследовать эти смарт-контракты. После того, как эти вопросы будут решены, и с соответствующими разрешениями,  CertiK будет публично раскрывать детали вокруг обнаруженных уязвимостей, процесс расследования, и решение реализовано. Двигаясь вперед, команда CertiK свяжется с криптовалютными биржами для интеграции со своим сервисом “AutoScan’ для регулярного сканирования и мониторинга. Поскольку экосистема блокчейн продолжает развиваться, есть надежда, что вместе, как сообщество, мы сможем достичь более высокого уровня смарт-контрактов и безопасности блокчейн.

О CertiK

В  CertiK, наша миссия состоит в том, чтобы дать людям возможность  доверять, и обеспечить лучшую в мире официальную платформу проверки для  смарт-контрактов. Основанная ведущими экспертами по формальной  верификации и учеными из Йельского университета и Колумбийского  университета, CertiK предоставляет лучшие масштабируемые услуги по  формальной верификации на рынке по самой конкурентоспособной цене.

Чтобы запросить аудит / проверку смарт-контрактов, пожалуйста, отправьте письмо по адресу [email protected] или посетите наш официальный сайт, чтобы связаться с нами уже сегодня!

Этот перевод подготовлен специально для Русского сообщества компании CertiK Foundation, — перевод подготовил @MBGBuzzer — Crypto.Red.Team