Как проводить аудит платформ DeFi?
20 апреля 2022 г.Безопасность средств пользователей в DeFi не гарантируется денежными властями.
Огромные хранилища и вооруженная охрана тоже не спешат вам на помощь. Все зависит от надежности кода.
Плохая практика. Плохая практика повсюду.
Пространство DeFi довольно часто запускает продукты в спешке, а затем пытается исправлять и настраивать их, как только они выходят.
В криптомире пользователи полагаются на платформы и код, а не на людей, принимающих решения.
Необходим герметичный код.
Прохождение многих аудитов должно быть по умолчанию, а не для протоколов Web3. Независимо от расхода.
В этой части я подчеркну важность аудита DeFi. Мы также рассмотрим, как выглядят идеальные сценарии, и поразмышляем о личном опыте Fringe Finance по проведению двойного аудита.
Аудит 101: Вы БУДЕТЕ страдать, но оно того стоит!
В аудите участвуют десятки людей с подтвержденным опытом в области кибербезопасности.
Их работа заключается в тщательном изучении каждой строки кода для выявления критических уязвимостей, потенциальных точек отказа, избыточной централизации и даже простоты вашего интерфейса.
Аудит – отличный способ:
- Избегайте туннельного зрения.
- Получите свежий взгляд.
- Заложите основы проекта, который затем сможет масштабироваться быстрее.
Они обязательны для любого проекта или платформы, которые заботятся о безопасности средств пользователей и их долгосрочном успехе.
Достаточно один раз быть взломанным, чтобы навсегда потерять доверие публики. Не следует недооценивать важность того, чтобы оставаться в живых дольше, чем ваши конкуренты DeFi.
Для Fringe беспроблемный запуск платформы первичного кредитования имеет важное значение для достижения нашей цели по привлечению состоятельных людей, финансовых учреждений и сообществ, окружающих сотни проектов DeFi. Итак, мы пообещали себе, что пройдем столько раундов одитинга, сколько потребуется.
Кстати о раундах…
Фраза «==пройти столько раундов, сколько необходимо==» подразумевает, что каждая исправленная уязвимость должна быть повторно протестирована для забвение.
Вот как это работает:
Когда вы начинаете аудит, вам необходимо установить объем процесса. Вы сами решаете, какие контракты аудиторская фирма тщательно изучает и в какой степени. В идеале вы должны проверить весь протокол, а не несколько контрактов.
Каждый контракт, включенный в аудит, делает его все более трудоемким и дорогостоящим. Некоторые проекты берут в качестве стимула срезать углы. Мы решили найти решения для протокола, которые сводят к минимуму использование контрактов и максимально используют их. Стратегия - это название игры!
Эксперты аудиторской фирмы изучают вашу кодовую базу. Они запускают инструменты автоматического тестирования, применяют широкий спектр известных эксплойтов и вручную проверяют наличие уязвимостей. Этот процесс генерирует отчет, на основании которого команда будет действовать, исправляя уязвимости. От наиболее к наименее критичным.
После исправления вы должны повторно отправить свой код в аудиторскую фирму. Они повторно тестируют все ранее выявленные уязвимости и ищут новые. Проект должен повторять этот процесс туда и обратно до тех пор, пока аудиторы не перестанут находить какие-либо постоянные уязвимости.
Двойной аудит во время войны
Я подчеркивал важность повторных проверок. «Одитинг» следует воспринимать с нюансами во всех случаях. Прохождение однократной проверки не считается аудитом, как и устранение уязвимостей без повторных проверок.
Можно даже сказать, что «стремление к консенсусу нескольких фирм может быть единственным способом достижения настоящей безопасности». Поскольку каждая аудиторская фирма имеет внутреннюю культуру и фиксированные процедуры, которые могут помешать проведению настоящего аудита.
Привет с другой стороны
Наличие аудиторского сертификата выглядит хорошо на бумаге, но вы не получите его, если не будете усердны, что, безусловно, является тяжелой работой. В целом, неожиданный вывод заключается в том, как многому можно научиться, внимательно изучая лучших в своем деле. Все участники теперь могут с гордостью сказать, что мы стали более квалифицированными в своей работе и знаем то, чего раньше не знали.
Аудит неожиданно позволил нам обнаружить множество возможностей для настройки и возможных реализаций. Одним словом, это сделало нас сильнее. Мы многое узнали о нашем собственном протоколе, предубеждениях и идеях. Мы придумали несколько замечательных концепций, которые помогут сделать протокол более привлекательным для пользователей, которым нужны как инновации, так и безопасность.
DeFi и Web3 молоды. И если бы мне пришлось сделать только один вывод из этого процесса, я бы сказал, что мы, как экосистема, можем совершенствоваться, только сотрудничая. DeFi для всех, но и для всех.
Оригинал