Безопасность смарт-контрактов
Что такое Безопасность смарт-контрактов?
Безопасность смарт-контрактовПрактика проектирования, проверки и эксплуатации программ on-chain так, чтобы их нельзя было использовать для кражи средств или нарушения бизнес-правил.
Смарт-контракты — это неизменяемые программы, хранящие ценность в блокчейнах вроде Ethereum, BNB Chain, Solana. Безопасность смарт-контрактов анализирует код (Solidity, Vyper, Rust, Move) и экономические стимулы на наличие таких уязвимостей, как реентрантность, переполнение целых, ошибки контроля доступа, небезопасный delegatecall, зависимость от оракулов и MEV. Поскольку развёрнутые контракты, как правило, нельзя обновить, защита строится на безопасных по умолчанию библиотеках (OpenZeppelin), моделировании угроз, формальной верификации, фаззинге, ручных аудитах, мультисиг-управлении, обновлениях с timelock, аварийных выключателях и постоянном мониторинге с оповещениями on-chain.
● Примеры
- 01
Инцидент The DAO (2016) эксплуатировал реентрантность Solidity и вывел около 3,6 млн ETH.
- 02
Эксплойт моста Nomad (август 2022) привёл к потере около 190 миллионов долларов из-за ошибки проверки сообщений.
● Частые вопросы
Что такое Безопасность смарт-контрактов?
Практика проектирования, проверки и эксплуатации программ on-chain так, чтобы их нельзя было использовать для кражи средств или нарушения бизнес-правил. Относится к категории Web3 и блокчейн в кибербезопасности.
Что означает Безопасность смарт-контрактов?
Практика проектирования, проверки и эксплуатации программ on-chain так, чтобы их нельзя было использовать для кражи средств или нарушения бизнес-правил.
Как работает Безопасность смарт-контрактов?
Смарт-контракты — это неизменяемые программы, хранящие ценность в блокчейнах вроде Ethereum, BNB Chain, Solana. Безопасность смарт-контрактов анализирует код (Solidity, Vyper, Rust, Move) и экономические стимулы на наличие таких уязвимостей, как реентрантность, переполнение целых, ошибки контроля доступа, небезопасный delegatecall, зависимость от оракулов и MEV. Поскольку развёрнутые контракты, как правило, нельзя обновить, защита строится на безопасных по умолчанию библиотеках (OpenZeppelin), моделировании угроз, формальной верификации, фаззинге, ручных аудитах, мультисиг-управлении, обновлениях с timelock, аварийных выключателях и постоянном мониторинге с оповещениями on-chain.
Как защититься от Безопасность смарт-контрактов?
Защита от Безопасность смарт-контрактов обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Безопасность смарт-контрактов?
Распространённые альтернативные названия: Безопасность DeFi.
● Связанные термины
- web3№ 1055
Аудит смарт-контрактов
Независимая проверка исходного кода смарт-контракта, конфигурации деплоя и экономической модели перед запуском или обновлением.
- web3№ 910
Атака повторного входа (Reentrancy)
Эксплойт смарт-контракта, в котором внешний вызов позволяет атакующему рекурсивно повторно входить в функцию до обновления состояния и опустошать средства.
- web3№ 424
Атака с использованием flash-кредита
Эксплойт DeFi, при котором атакующий в одной транзакции берёт огромный беззалоговый flash-кредит, чтобы манипулировать ценами или управлением и вывести средства до возврата.
- web3№ 765
Манипуляция оракулом
Атака, искажающая цену или поток данных, на которые опирается смарт-контракт, чтобы он принимал неверные решения о кредитах, ликвидациях и расчётах.
- web3№ 106
Безопасность блокчейна
Направление, защищающее распределённые реестры, их механизмы консенсуса, смарт-контракты и связанную инфраструктуру от компрометации, мошенничества и хищений.
- web3№ 952
Rug Pull
Мошенничество с выходом, при котором разработчики криптотокена, NFT-коллекции или DeFi-протокола выводят ликвидность или казну и исчезают, оставляя держателей с обесцененными активами.