まとめ
スマート コントラクトのセキュリティ監査では、プロジェクトのスマート コントラクトの詳細な分析も実行できます。これらの措置は、契約に投資された資金を保護するために非常に重要です。ブロックチェーン上のすべてのトランザクションは最終的なものであるため、資金が盗まれると回復することはできません。通常、監査人はスマート コントラクトのコードを検査し、レポートを生成し、そのレポートをプロジェクト チームに渡します。その後、未解決のバグと、パフォーマンスやセキュリティの問題を解決するために行われた作業を詳細に記載した最終レポートが発行されます。
導入
スマートコントラクトのセキュリティ監査は、分散型金融 (DeFi) エコシステムでは一般的です。ブロックチェーン プロジェクトに投資する場合、その決定はスマート コントラクト コードのレビューによって部分的に影響を受ける可能性があります。
ほとんどの人はネットワーク セキュリティの監査の重要性を理解していますが、コードの個々の行を詳しく調べる人はほとんどいません。より多くの情報に基づいた意思決定を行うために、スマート コントラクトのセキュリティ監査で一般的に使用される方法、ツール、結果を見てみましょう。
スマートコントラクト監査とは何ですか?
スマート コントラクトのセキュリティ監査では、プロジェクトのスマート コントラクト コードを検査してコメントします。通常、これらのコントラクトは Solidity プログラミング言語で記述され、GitHub によって提供されます。セキュリティ監査は、DeFi プロジェクトが数百万ドル相当のブロックチェーン トランザクションを処理している場合、または多数の参加者がいる場合に特に価値があります。監査は通常、次の 4 つの手順に従います。
1. 予備分析のためにスマート コントラクトを監査チームに提供します。
2. 監査チームは調査結果をプロジェクト チームに提出し、アクションを依頼します。
3. プロジェクト チームは、発見された問題に基づいて修正を加えます。
4. 監査チームは、最終レポートを発行する前に、新しい改訂と未解決のエラーを考慮します。
多くの暗号通貨ユーザーにとって、新しいDeFiプロジェクトに投資する際にはスマートコントラクトの監査が不可欠です。それは重要なプロジェクトの標準となっています。一部の監査法人は業界のリーダーとなり、投資家から見た監査業務の価値を高めています。
スマートコントラクトの監査が必要な理由は何ですか?
多額の価値がスマートコントラクトを通じて取引されたり、スマートコントラクトに閉じ込められたりするため、ハッカーの格好の標的となります。小さなコーディングエラーでも、巨額の金銭が盗まれる可能性があります。たとえば、イーサリアム ブロックチェーンに対する DAO のハッキングにより、約 6,000 万ドル相当のイーサが奪われ、イーサリアム ネットワークのハード フォークさえも引き起こされました。
ブロックチェーンのトランザクションは元に戻すことができないため、プロジェクトのコードのセキュリティを確保することが重要です。ブロックチェーン技術の高度なセキュリティにより、事後的に資金を回収したり問題を解決したりすることが困難になるため、潜在的な脆弱性を何としても防ぐことが最善です。
スマートコントラクトの監査はどのように機能しますか?
スマート コントラクト監査のプロセスは、監査機関の間では非常に標準的です。各監査人のアプローチは若干異なる場合がありますが、一般的なプロセスは次のようになります。
1. 監査の範囲を決定します。スマート コントラクトとプロジェクトの仕様は、プロジェクト (その意図された目的) と全体的なアーキテクチャによって定義されます。プロジェクトの仕様は、監査チームがコードを作成および使用する際にプロジェクトの目標を理解するのに役立ちます。
2. 必要な作業量に基づいて事前見積りを提出します。
3. テストを実行します。その正確な性質は、監査グループ、その分析ツールおよび方法によって異なります。通常、手動と自動の 2 つのテスト方法が使用されます。
4. 見つかったエラーを含むレポートの初稿を作成し、フィードバックとその後の修正のためにプロジェクト チームに提供します。
5. 提起された問題を解決するためにチームがとった行動を検討し、最終レポートを発行します。
スマートコントラクトの監査
燃料効率
スマート コントラクトの監査は、ブロックチェーンのセキュリティだけでなく、効率と最適化にも焦点を当てています。一部の契約は、複雑な一連のトランザクションを通じて意図された機能を完了します。イーサリアムのようなネットワークではガス料金が比較的高いため、効率的な契約により取引コストを大幅に節約できます。
パフォーマンスの最適化は、開発者のスキルの指標でもあります。非効率的な手順はより多くの障害点を生み出すため、可能な限り回避する必要があります。燃料コストが高い場合、特に低コストの燃料制約を使用している場合、スマート コントラクトは実行に失敗する可能性があります。
契約の抜け穴
監査の作業の多くには、セキュリティ上の脆弱性がないか契約をチェックすることが含まれます。いくつかの問題は簡単に確認できますが、多くのエクスプロイトでは資金を枯渇させるために高度な技術と戦略が使用されています。たとえば、市場操作と弱いスマート コントラクトを組み合わせて、フラッシュ ローン攻撃を実行することができます。これらの問題を明らかにするために、監査人はスマートコントラクトに対する悪意のある攻撃をシミュレートする解読テストプロセスを開始します。一般的な脆弱性には次のようなものがあります。
1. 再入可能の問題: 影響が解決される前に、スマート コントラクトが別の外部コントラクトに対して外部呼び出しを行う場合。その後、元のコントラクトの残高が更新されていないため、外部コントラクトは元のスマート コントラクトを再帰的に呼び出し、本来行われない方法でスマート コントラクトと対話する可能性があります。
2. 整数のオーバーフローとアンダーフロー: スマート コントラクトが算術演算を実行するが、出力がストレージ容量 (通常は小数点以下 18 桁) を超える場合。金額の計算に誤りが生じる可能性がございます。
先制取引の機会: コードの構造が不十分だと、市場での売買の早期警告が得られる可能性があります。これにより、他の人が自分の利益のためにこの情報を使用して取引を行うことが可能になります。
プラットフォームのセキュリティの脆弱性
ほとんどの監査には、契約をホストしているネットワークや、DApp との対話に使用される API の調査も含まれます。プロジェクトが DDoS 攻撃に対して潜在的に脆弱である場合、または Web サイト UI が侵害されている場合、これはユーザーが実際にウォレットを悪意のあるブロックチェーン アプリケーションに接続していることを意味します。
監査報告書とは何ですか?
監査報告書は、監査の終了時に発行される報告書です。透明性を高めるために、プロジェクト チームは調査結果をコミュニティと共有する必要があります。ほとんどのレポートでは、重大、重大、軽度などの重大度別に問題が分類されています。最終レポートがリリースされるまでプロジェクトには問題を解決する時間がまだあるため、レポートには問題のステータスもリストされています。
標準レポートには、概要に加えて、推奨事項、冗長コード例、コーディング エラーが発生した場所の完全な詳細が含まれます。プロジェクトには、最終バージョンがリリースされる前に、レポートの調査結果に基づいて行動する時間があります。
スマートコントラクト監査はどこで利用できますか?
多くのスマート コントラクト監査サービス代理店は、優れたサービスで評判を確立しています。 2 つは特に人気があり、監査を受けるには事前の見積もりと引き渡し情報の提供が必要です。
証明書
CertiK は、スマート コントラクト監査に関して業界のリーダーです。何百ものプロジェクトがスマートコントラクトを通じて監査を受けてきました。 BSC最大の自動マーケットメーカー(AMM)であるPancakeSwapはその一例です。以下は、Certik が PancakeSwap に対して行った監査のスクリーンショットです。
さらに、Binance Labs がサポートするプロジェクトの大部分は、CertiK を通じて契約を監査されています。 CertiK は、セキュリティ スコアを備えた監査プロジェクトのランキングを公開しているので、各プロジェクトを比較できます。イーサリアムに加えて、CertiK は BSC および Polygon プロジェクトも請け負っていることに注意してください。
ConsenSys デューデリジェンス
イーサリアムの共同創設者ジョセフ・ルービンが運営するコンセンシスは、ブロックチェーン開発における仮想通貨業界の最大手の1つです。 ConsenSys Diligence では、イーサリアム スマート コントラクトの監査を提供しています。また、イーサリアム仮想マシン (EVM) コントラクトの一般的なエラーをチェックする自動サービスも提供します。
スマートコントラクトの監査にはどれくらいの費用がかかりますか?
正確な監査料金は、チェックする必要があるスマートコントラクトの数によって異なります。通常、監査費用は数千ドルに達します。特定の大規模プロジェクトでは、コストが 10,000 ドルを軽く超えることがあります。監査を行う監査法人とその評判も、支払う金額に影響します。
要約する
投資家とユーザーにとって幸いなことに、スマート コントラクトの監査はゴールド スタンダードになりました。ただし、すべてのプロジェクトにスマート コントラクト監査があれば、それは単なる価値の指標ではなくなります。だからこそ、監査を自分で読む方法を学ぶことが重要です。技術的な知識が不足している場合でも、レビューと潜在的な問題の重大度を確認することが役立つ場合があります。
監査に遭遇したとき、少なくとも監査の内容を理解しやすくなるはずです。いつものように、投資を決定する際には、全体像を見てすべての情報を考慮することが重要です。
