В отличие от традиционных подходов к тестированию, CertiK пытается математически доказать и проверить экосистему блокчейна. Смарт контракты проверяются на устойчивость к атакам хакеров и на содержание ошибок. Ключевые функции CertiK включают подход разложения на основе уровней, подключаемый механизм проверки, проверяемые машиной объекты проверки, сертифицированные библиотеки dApp и интеллектуальную маркировку.
С момента появления технологии блокчейн, произошло несколько катастрофических по своим последствиям взломов смарт контрактов, которые подчеркивали важность обеспечения безопасности блокчейн проектов.
На сегодняшний день более 2 миллиардов долларов было похищено в результате атак на Smart Contracts. В одном из самых известных примеров, взлом крупного краудфандингового проекта, DAO, привел к убыткам в размере более 50 миллионов долларов США. В течение нескольких месяцев подобные взломы продолжались, что привело к снижению доверия в мире блокчейна.
В последнее время, проведение дополнительных тестов и проверок безопасности помогло ограничить количество взломов, и тем самым восстановить доверие к крипто сообществу. Например, ведущий BlockExplorer для Ethereum - Etherscan, имеет 17 рекомендованных поставщиков услуг аудита безопасности, включая CertiK, который является основной платформой для аудита смарт контрактов.
Существует 3 типа критических ошибок, 2 типа ошибок среднего уровня, и множество ошибок с низким приоритетом. Некоторые из недавно выявленных проблем упомянуты ниже:
1.Неподконтрольное сжигание токенов. Последствия - Критические
Симптом: Как только Пользователь A разрешит использование токена B 1, Пользователь B сможет слить/записать все остальные токены от Пользователя A из-за неправильной реализации функции.
2.Неограниченная эмиссия. Последствия - Критические Симптом: Владелец контракта может эмитировать неограниченное количество токенов. Это ставит под угрозу держателей токенов, поскольку стоимость токенов, находящихся в их руках, может уменьшаться по мере увеличения предложения. Эта махинация трудно заметна по смарт контракту. Это также может привести к мошенничеству.
3.Эмиссия при передаче токенов. Последствия - Критические
Симптом: Владелец контракта может эмитировать неограниченное количество токенов через целочисленное переполнение или во время передачи токена.
4.Токен-сирота. Последствия - Средние
Симптом: Передача права собственности осуществляется ненадлежащим образом. Контракт может потерять своего владельца при передаче права собственности. В результате, контракт может стать бесхозным, и никто не имеет разрешения на его администрирование.
5.Недостаточное начисление токенов при снятии средств со счета. Последствия - Средние
Симптом: Пользователь получает при выводе средств меньше токенов, чем следовало бы, из-за проблемы целочисленного переполнения.
CertiK был первым, кто представил технологию DeepSpec (исследованную в сотрудничестве с MIT, Йельским университетом, Принстонским университетом и Пенсильванским университетом), и уже завершил формальные аудиторские проверки смарт-контрактов для нескольких ведущих блокчейн разработчиков. Специалисты проекта создали первую в мире защищенную от хакеров параллельную операционную систему CertiKOS которая запатентована в США и широко используется в различных областях, от научных кругов до корпоративных программ.
Осенью 2018 года проект CertiK получил финансирование в размере нескольких миллионов долларов от Binance Labs.
Binance Labs - площадка, созданная Binance, одной из крупнейших и популярных в мире бирж криптовалюты.
Инвестиции Binance Labs в CertiK свидетельствуют о том как важна формальная верификация в индустрии блокчейн проектов. Это подтверждает признание уникального преимущества CertiK с его проверенной технологией.
Элла Чжан, генеральный директор Binance Labs, сказал: «CertiK математически проверяет безопасность смарт контрактов. Безопасность является критической проблемой, с которой мы сталкиваемся в экосистеме блокчейн. Технологии CertiK позволяют обходить ограничения ручного обнаружения уязвимостей».
Стратегическое партнерство CertiK и IoTeX
CertiK провел аудит безопасности для IoTeX, ведущего разработчика создающего ориентированную на конфиденциальность блокчейн платформу для Интернета вещей (IoT) с высокой масштабируемостью, конфиденциальностью.
Некоторые из основных пунктов аудита:
- Во время автоматического сканирования смарт маркеров исходного кода, в системе не было обнаружено никаких уязвимостей. Это означает, что исходный код был математически доказан как безопасный, иговорит о том, что исходный код имеет высокое качество с точки зрения безопасности.
- Механизм проверки обнаружил, что у некоторых задач, описанных смарт-метками CertiK, есть расхождения с фактической реализацией. Были выявлены некоторые улучшения на уровне продукта, и был достигнут консенсус между командами двух проектов.
- Многие критические компоненты были записаны в смарт контракты, это указывает на то, что команда IoTeX отдает приоритет уменьшению централизации проекта.
IoTeX использовал аудиторские отчеты и технические знания CertiK для улучшения общего дизайна и безопасности своей сети. Полный и подробный аудиторский отчет, предоставленный CertiK, доступен здесь.