Slimme contract risico's

Slimme contracten zijn programma's die leven op een gedeelde virtuele machine en regels handhaven zonder tussenpersonen. Ze zijn geschreven als wet in code. Ze houden waarde vast en beheersen de stromen van activa. Deze kracht maakt ze een doelwit voor slimme aanvallers. Leer de veelvoorkomende risico's om je fondsen veiliger te houden. Re-entrancy is een spook dat een aanvaller toestaat om een contract opnieuw aan te roepen voordat de eerste oproep is voltooid en fondsen te nemen die vergrendeld hadden moeten zijn. Integer overflow en underflow treden op wanneer wiskunde omklapt omdat getallen hun limieten overschrijden of onder nul vallen. Handtekeningmalleabiliteit staat alternatieve geldige handtekeningen toe om hetzelfde bericht voor te stellen en naieve herhalingscontroles te omzeilen. Fouten in toegangscontrole doen zich voor wanneer bevoegde functies worden blootgesteld of wanneer admin-machten te breed zijn. De virtuele machine ondersteunt geen decimalen, dus precisieverlies verschijnt bij deling wanneer ontwikkelaars vergeten basisunits of vastkomma-wiskunde te gebruiken. Proxy-upgradepatronen laten ontwikkelaars de logica die een contract gebruikt verwisselen door naar een nieuw adres te wijzen en dit verleent upgradebaarheid. Deze upgradebaarheid kan later fouten verhelpen, maar het verwijdert ook de garantie van onveranderlijkheid en geeft iemand de sleutels om gedrag te wijzigen. Om een slim contract te analyseren, begin je met te controleren of het is onderzocht door onafhankelijke auditors en of bevindingen van hoge ernst zijn opgelost. Lees de audit samenvatting en zoek naar uitleg over hoe problemen zijn verholpen. Als je geen code kunt lezen, controleer dan de leeftijd van het contract op het netwerk en de hoeveelheid waarde die het in de loop van de tijd beheert, omdat langlevende contracten die vele pogingen overleven vaak beter getest zijn. Gebruik eenvoudige heuristieken bij het interageren met onbekende contracten. Beperk blootstelling door portemonnees met minimale fondsen te gebruiken en vermijd het goedkeuren van onbeperkte toelagen. Geef de voorkeur aan interacties via hardware- of koude portemonnees voor operaties met hoge waarde. Er bestaan tools die statische analyse, fuzz-testing en formele bewijzen uitvoeren om logische fouten te vinden, en goed gecontroleerde standaardbibliotheken verminderen de kans op basisfouten. Ontwikkelaars moeten best practices aannemen zoals het controleren van de volgorde van effecten en interacties om re-entrancy te voorkomen, nonces gebruiken om handtekeningherhalingen te voorkomen, strikte toegangscontrole afdwingen, rekenen met veilige wiskunde en upgradebaarheid zorgvuldig ontwerpen met transparant bestuur. Slimme contracten bieden een nieuwe manier om vertrouwen te automatiseren, maar de code is ook een kaart voor aanvallers. Leer het terrein, inspecteer de tekens en beweeg voorzichtig als de schaduwen rondom een contract nog onbekend zijn.