Сегодня большинство централизованных бирж и иных CeFi-платформ, хранят свои средства в проприетарных, то есть частных, базах данных. При этом, утверждение, что 100% активов зарезервированы, проверить достаточно сложно. «В конце концов, мы создаем набор базовых dApps для экосистемы, которая может подключить первый миллиард пользователей блокчейна, а сам Aptos является самым безопасным блокчейном L1 в мире, – говорят разработчики Pontem.
Весь проект собрался всего за 10 дней, представлял собой всего лишь эксперимент, и поэтому команда внедрила Yam Finance без аудита. Ко всеобщему удивлению, всего за один день в протокол влились 400 https://www.xcritical.com/ миллионов долларов TVL. CertiK известен прежде всего своей таблицей лидеров безопасности блокчейнов, где более 3000 проектов оцениваются по их рейтингу доверия.
Означает Ли Подтверждение Резервов, Что Биржа Не Рухнет?
«Наличие отдельного денежного резерва, токена, обеспеченного активами, а лучше и того, и другого, в дополнение к сертификату, подтверждающему резервы, предложило бы инвесторам гораздо лучшее решение. Когда криптобиржа полностью прозрачна, пользователи не должны бояться доверять ей свои активы». После краха FTX, случившегося в результате того, что ныне обанкротившаяся биржа криптовалют использовала средства инвесторов для снижения собственных рисков, у криптобирж возникла необходимость доказать аудитории свою состоятельность. Срочно найденным решением для обеспечения прозрачности стало так называемое доказательство резервов.
Это был не взлом со стороны одного человека, а скорее хаотичная оппортунистическая атака с forty one адреса. В общей сложности было потеряно около 200 миллионов долларов — вся ликвидность, удерживаемая мостом. Quantstamp работал с более чем 250 проектами, обеспечив активы на сумму более 200 миллиардов долларов и заблокировав ликвидность.
Новости Аудита
Смарт-контракты EVM и Solidity трудно отлаживать, и они имеют много проблем с безопасностью. Добавьте к этому доминирование EVM (9 из 10 ведущих блокчейнов по версии DeFi TVL используют EVM), и вы поймете, почему индустрия смарт-контрактов так сосредоточена на Solidity. У него есть как преимущество первопроходца, так и множество уязвимостей, требующих аудита. Децентрализованная биржа Merlin, работающая в экосистеме zkSync, была взломана на сумму более $1 млн сразу после того, как прошла аудит программного кода от экспертов по смарт-контрактам компании Certik. Циммерер подчеркивает, что демонстрация активов без демонстрации пассивов ничего не стоит. «В определенной степени доверять» можно только тем биржам, которые «являются полностью регулируемыми держателями лицензий на осуществление банковских операций и проходят регулярные и полные проверки со стороны известных и независимых фирм».
2) Криптобиржа использует систему холодных кошельков, в которых средства пользователей изолированы. 4) Пользователь в дальнейшем может убедиться, что его активы учтены в общем аудите Proof-of-Reserv. Для этих целей используется индивидуальный идентификатор для поиска по хеш-дереву, чтобы в любой момент видеть, что средства в безопасности.
Инвесторы должны «очень осторожно» относиться к аудитам резервов криптовалютных бирж. Такое мнение высказал исполняющий обязанности главного бухгалтера SEC Пол Мантер в интервью The Wall Street Journal. С другой стороны, децентрализованные приложения на основе Move по-прежнему должны проходить аудит — и пока не так много специалистов по безопасности блокчейнов, которые работают с этим языком. Аудиторы Pontem Wallet OtterSec и Halborn являются одними из первопроходцев, а сам Pontem Wallet является одним из первых децентрализованных приложений Aptos, полностью прошедших аудит. Ключевым методом предотвращения такого эксплойта является аудит кода, предоставленный внешним источником. Давайте посмотрим, как устроен аудит смарт-контрактов, какие уязвимости может найти проверка, какие фирмы работают в этой области и, наконец, как отсутствие аудита может привести к катастрофическим потерям.
Что Такое Аудит Кода Блокчейна?
Он взял быстрые кредиты на Uniswap, SushiSwap и Aave, заняв около 1 миллиарда долларов в DAI, USDC, USDT и BEAN, и поместил эту ликвидность в пулы BEAN на Curve, получив достаточно токенов LP, чтобы дать им большинство голосов в Beanstalk DAO. Это одна из немногих фирм, занимающихся аудитом блокчейна, которая работает с новым языком программирования Move, используемым Aptos и Sui. Так, OtterSec провела первый аудит кошелька Pontem для Aptos, а также кошелька Hippo. Hacken работает с самыми разными блокчейнами, включая EVM, Solana, NEAR, Cosmos, Polkadot. Циммерер также отмечает, что Kraken, еще одна биржа, зарегистрированная в США, проводит регулярные проверки, результаты которых публикует и доводит до сведения общественности. Многие в криптосообществе утверждали, что биржи занимали активы, чтобы показать здоровую финансовую книгу, только чтобы вернуть их обратно сразу после снимка.
«Инвесторы не должны слишком доверять заявлениям фирмы, что она прошла аудит», — подчеркнул Мантер. По всем этим причинам аудиторские соглашения и отчеты всегда включают заявление об отказе от ответственности. С точки зрения Что такое аудит криптовалютных бирж команды dApp, лучший способ минимизировать эти риски — пройти несколько независимых аудитов — если хотите, иметь «избыточность аудита». 17 апреля 2022 года хакер воспользовался ошибкой в коде управления Beanstalk.
Что Такое Аудит Смарт-контрактов И Почему Это Важно?
Первый взлом привел к потере около 4000 биткоинов, второй лишил биржу 17% всех активов и привел к закрытию. NiceHash, площадка для покупки, продажи и аренды майнингового оборудования, была взломана в начале декабря 2017 года, общая сумма ущерба — $80 млн. Популярную японскую криптобиржу Coincheck в конце января 2018 года навестили злоумышленники, которым удалось перевести на свои электронные кошельки 523 млн токенов криптовалюты NEM, стоивших на тот момент, примерно $534 млн. А были еще кейсы с биржами Bithumb, Mt. Gox — cписок можно продолжать, как говорят американцы, you name it.
- У OtterSec также есть отличный блог с экспертными советами по безопасности смарт-контрактов, особенно на Solana.
- В конце декабря стало известно, что в Южной Корее рассматриваются шесть законопроектов о регулировании криптовалют.
- Нам нужно информировать рынок и сообщество не только о том, как использовать эти инструменты, но и о преимуществах этих инструментов.
- «Количество атак на криптовалютные биржи резко возросло как раз в тот момент, когда сами цифровые валюты начали расти в цене.
Пользователям важно понять, почему децентрализация действительно является неотъемлемой частью не только криптоэкосистемы, но и будущего финансового и Web3». Эта практика, которую недавно одобрил генеральный директор Binance Чанпэн Чжао, предлагает биржам способ продемонстрировать прозрачность для пользователей при отсутствии четких правил. В конце декабря стало известно, что в Южной Корее рассматриваются шесть законопроектов о регулировании криптовалют. Один из них направлен на защиту прав владельцев криптовалют и на обеспечение безопасности и надежности криптовалютных транзакций. После предыдущей проверки 21 бирже были даны рекомендации по улучшению определенных мер безопасности. С тех пор семь из них внесли необходимые улучшения и выполнили все 85 пунктов контрольного списка инспекторов.
Нестабильность ряда цифровых финансовых систем, таких как Celsius, Terra, а теперь и FTX, ставших причиной медвежьего рынка, требует от тех платформ, которые остаются на рынке, еще большей прозрачности при осуществлении своей деятельности. Proof-of-Reserve Merkle-Tree обеспечивает такую гарантию и должен стать золотым стандартом надежности в криптоиндустрии. 1) Изначально независимый финансовый аудитор делает снимок всех балансов пользователей, хранящихся на криптобирже, и преобразует эти данные в дерево Меркла. После падения биржи FTX криптосообщество задалось вопросом, как проверить, что активы, которые пользователи держат на бирже, на 100 percent обеспечены резервами.
Утром 26 апреля злоумышленники вывели из Merlin стейблкоины USD Coin (USDC) на сумму около $850 тыс. Данные в блокчейне свидетельствуют о том, что средства смог вывести некий субъект, контролирующий пул ликвидности биржи. Это может говорить о том, что атака не была технически изощренной, а сама кража могла быть делом рук инсайдера проекта. «Даже если аудит PoR реализован в самой добросовестной интерпретации, он все равно не может доказать исключительное владение закрытыми ключами или обнаружить какие-либо средства, которые были заимствованы для манипулирования результатами аудита. Как правило, эта практика заслуживает доверия ровно настолько, насколько вообще можно доверять бирже и аудиторам, и никогда не будет 100% доказательством чего-либо».
