Exclusivo | Cómo leer el caso real de cada nivel de riesgo en el informe de auditoría

Anteriormente, presentamos la clasificación de niveles de riesgo de Fairyproof Tech. Algunos lectores tendrán curiosidad: ¿cómo es cada riesgo?

En este artículo, damos algunos casos específicos para cada nivel de riesgo para ilustrar qué es el riesgo fatal, el riesgo alto, el riesgo moderado y el riesgo bajo.

El riesgo fatal es el mayor y más peligroso de todos los riesgos, y debe ser resuelto inmediatamente por la parte del proyecto sin demora.

El riesgo más común de este tipo son algunos lugares en el contrato que obviamente pueden causar que la compilación falle, o donde errores obvios en la lógica impiden que el código ejecute la lógica para completarse correctamente. Si no se aborda este riesgo, es casi imposible que el contrato de la parte del proyecto se compile y ejecute o se ejecute normalmente.

Por ejemplo, en la implementación del contrato, la falta de coincidencia de los tipos de asignación de variables, los problemas de compilación causados ​​por las definiciones de la versión del compilador, etc., son todos esos riesgos.

Dado que Fairyproof Tech rara vez escribe tales riesgos en los informes posteriores, pero requiere que la parte del proyecto los resuelva de inmediato una vez que se descubren, es difícil ver directamente dichos riesgos en nuestros informes posteriores.

Los riesgos de alto riesgo son superados solo por los riesgos fatales en términos de peligro. Es muy probable que traigan serios problemas al proyecto y deben ser resueltos por la parte del proyecto.

Tanto las billeteras de ballenas XRP como los pagos del libro mayor general aumentaron en el primer trimestre: Jinse Finance informó que, según el informe del primer trimestre de Ripple, la cantidad de billeteras de ballenas XRP (con un saldo de al menos 10 millones de XRP) aumentó de 308 en el cuarto trimestre del año pasado. tener entre 1 millón y 10 millones de XRP también aumentó de 1125 a 1196 en el primer trimestre de este año a 319. Además, la cantidad de billeteras XRPL activas también ha aumentado con el aumento de las operaciones en la cuenta. Además, los pagos del libro mayor totalizaron $ 62,300 millones en el primer trimestre de este año en comparación con el cuarto trimestre del año pasado, un aumento del 23 %, y las direcciones de billetera del libro mayor general aumentaron un 15 % de 2,35 millones a 2,7 millones. En noticias anteriores, el informe trimestral de Ripple mostró que las ventas de XRP aumentaron un 97 % en el primer trimestre de este año. [2021/5/8 21:36:00]

El riesgo más común de este tipo son los errores lógicos en la ejecución del contrato, como los errores de cálculo.

Por ejemplo, staking mining es una función en muchos contratos DeFi. La lógica básica de staking mining es que el usuario hipoteca un determinado activo digital en el grupo de minería, y luego el contrato calculará la cantidad de acuerdo con la proporción de los activos hipotecados del usuario. al total de los activos hipotecados Calcular cuántas recompensas debe obtener el usuario. Si esta proporción se calcula mal o se implementa incorrectamente, los usuarios no podrán obtener las recompensas correctas, lo que afectará seriamente la reputación del proyecto.

Los desarrolladores construyen un nuevo puente entre Avalanche y Ethereum: los grupos de desarrollo de blockchain ChainSafe, Protofire, Hashquark, POANetwork, Avascan y Meter.io construyeron conjuntamente un nuevo puente entre Avalanche y la red blockchain de Ethereum. El mecanismo puente permitirá a los usuarios de las herramientas DeFi transferir sus activos entre los dos ecosistemas. Su creación también significa que los desarrolladores de proyectos DeFi en Ethereum podrán ofrecer a los usuarios una plataforma comercial alternativa. (El Bloque)[2021/2/9 19:16:45]

Rara vez enumeramos los riesgos de alto riesgo en el informe ahora, pero una vez que los descubramos, le pediremos a la parte del proyecto que los corrija de inmediato. Los lectores pueden ver ejemplos detallados de tales riesgos en nuestros informes anteriores.

El riesgo moderado es un nivel más bajo que el nivel de riesgo alto, puede traer problemas potenciales al proyecto, y la parte del proyecto debe finalmente resolverlo.

Este tipo de riesgo es más común con el problema del control de autoridad del administrador.

Por ejemplo, los protocolos DeFi suelen tener la función de emitir tokens. La dirección que suele controlar la emisión de tokens es la del administrador, por lo que en este tipo de contrato, la autoridad del administrador es bastante grande. En algunas implementaciones de código, debido a las funciones complejas del proyecto y las necesidades de operación y mantenimiento, el administrador no solo tiene el derecho de decidir si emite tokens, sino que también tiene el poder de decidir si otorga a otras direcciones el poder de emitir fichas.

Esto crea un riesgo de seguridad: si se roba la autoridad del administrador del proyecto o si el administrador mismo tiene un riesgo moral y abusa de este poder, la emisión de tokens estará fuera de control.

Este tipo de riesgo lo introduce la lógica del contrato, pero la implementación de la lógica tiene que ser así y, a veces, en la etapa inicial de implementación del contrato, para permitir que el proyecto funcione de manera eficiente, es necesario mantener este administrador. autoridad por un período de tiempo, lo que trae Aquí viene el riesgo potencial.

El partido del proyecto también es cauteloso al operar con este riesgo, que camina sobre una fina capa de hielo, que pende sobre las cabezas del partido del proyecto y de los usuarios como una espada de Damocles, y existe el riesgo de caer en cualquier momento.

Para tales riesgos, recomendamos enfáticamente que la parte del proyecto transfiera los derechos de administrador a la comunidad (como DAO) o billeteras de múltiples firmas después de un período de operación para evitar tales riesgos.

El riesgo bajo es el nivel más bajo de todos los riesgos. Por lo general, se manifiesta como algunos problemas detallados, mensajes de advertencia, etc. Por el momento, los problemas de este nivel no se pueden resolver, pero la parte del proyecto finalmente los resolverá en un nuevo versión en el futuro.

Los detalles y las cuestiones específicas involucradas en este tipo de riesgo son relativamente dispersos y triviales. A menudo tenemos problemas con la función o la denominación de variables.

Los nombres de funciones o variables generalmente no son percibidos por los usuarios comunes, pero en algunos casos causará algunos problemas para que la parte del proyecto mantenga el código u otros contratos (como terceros) para llamar a estas funciones.

Por lo general, el problema con la denominación de funciones o comandos es que "la palabra no transmite el significado", es decir, la denominación es diferente del papel lógico que realmente juega en el contrato. Por ejemplo, si una función debe establecer el valor de una variable, generalmente nombramos esta función como "setXXX" (establecer XXX), pero debido a un error tipográfico u otras razones, la parte del proyecto la denominó "getXXX" (leer XXX), lo que hace que el nombre de la función se lea diferente de su función real.

Dichos códigos se han utilizado durante mucho tiempo. Cuando la parte del proyecto vuelve a mantenerlos o modificarlos, si no miran el código detenidamente, malinterpretarán la función de la función y la llamarán por error.

Por lo tanto, Fairyproof Tech también recomienda que la parte del proyecto revise en un momento conveniente para tales riesgos.

Autor:

Tan Yuefei, CEO de Fairyproof Tech

Maestría en Ingeniería Industrial de Virginia Tech, Blacksburg, VA, EE. UU. Solía ​​ser ingeniero de software de AIBT Inc (San José, CA, EUA), una compañía de semiconductores de Silicon Valley en los Estados Unidos, responsable del desarrollo del sistema de control subyacente, la implementación del programa del proceso de fabricación del equipo y la diseño del algoritmo, y fue responsable del acoplamiento técnico general y la comunicación con TSMC. Desde 2011, se ha dedicado a la investigación de tecnología integrada, Internet y blockchain, profesor del curso "Introducción a Blockchain" del Entrepreneurship College de la Universidad de Shenzhen, investigador visitante del Blockchain and Intelligence Center de la Universidad Sun Yat-sen, y director ejecutivo de la Asociación de Investigación de Innovación Financiera de Guangdong . Posee personalmente 4 patentes relacionadas con blockchain y 3 trabajos publicados.

Acerca de la tecnología a prueba de hadas:

Fairyproof Tech Technology Co., Ltd. es una empresa que se centra en la seguridad ecológica de blockchain. Fairyproof Tech ha servido a muchos proyectos emergentes y conocidos principalmente a través de la solución integral integrada de "detección de riesgo de código + detección de riesgo lógico". La empresa se estableció en enero de 2021 y el equipo fue creado por un equipo con amplia experiencia en programación de contratos inteligentes y seguridad de red.

Los miembros del equipo participaron en la iniciación y presentación de una serie de borradores estándar en el campo de Ethereum, incluidos ERC-1646, ERC-2569 y ERC-2794, entre los cuales ERC-2569 fue aceptado oficialmente por el equipo de Ethereum.

El equipo participó en el inicio y la construcción de varios proyectos de Ethereum, incluidas plataformas de cadena de bloques, organizaciones de DAO, almacenamiento de datos en cadena, intercambios descentralizados y otros proyectos, y participó en las auditorías de seguridad de varios proyectos. Gracias a la rica experiencia del equipo, se ha construido un sistema completo de seguimiento de vulnerabilidades y prevención de seguridad.

Tags：

Precio de Etéreo