Как HashEx разрабатывает новые методы аудита, чтобы перехитрить хакеров, рассказал основатель Дмитрий Мишунин

По мере роста рынка криптовалют росло и количество злоумышленников, стремящихся использовать уязвимые децентрализованные финансы или DeFi, протоколы и проекты для собственной выгоды. Ранее в этом месяце токен-мост Ethereum-Solana Wormhole подвергся крупнейшему взлому в 2022 году: 321 миллион долларов был потерян из-за уязвимости проверки подписи. Такие эксплойты с годами становятся все более изощренными.

Но фирмы по обеспечению безопасности блокчейна, такие как HashEx, не отстают, пока хакеры совершенствуют свою тактику. За последние несколько лет HashEx провел аудит более 700 смарт-контрактов DeFi, которые обеспечивают средства инвесторов на сумму более 2 миллиардов долларов. Одним из примечательных проектов, использующих HashEx, является Trader Joe, популярная децентрализованная биржа на блокчейне Avalanche (AVAX). В эксклюзивном интервью Cointelegraph Дмитрий Мишунин, генеральный директор и основатель HashEx, объясняет, как фирма обновляет свой процесс аудита, чтобы защитить энтузиастов криптовалюты от возможных взломов.

Старомодный метод аудита состоит из ручной проверки и автоматического тестирования базового кода. Как Дмитрий сказал Cointelegraph:

«Традиционно группа аудиторов вручную проверяет логику контрактов; они пытаются представить какие-то входные значения, которые могут нарушить их логику. Это похоже на Олимпийские игры для программистов. Но это хорошо, только если ваш аудитор достаточно опытен».

Иногда, продолжает Дмитрий, «проблемы нельзя придумать, а затем протестировать, так как они возникают не из-за ошибок в логическом потоке кода, а из-за мелких ошибок, таких как в виртуальной машине Ethereum, что происходит довольно часто». Чтобы преодолеть эту ошибку, HashEx разработал новый метод «стохастического (случайного) тестирования». Используя ИИ, его программное обеспечение генерирует от 1000 до 100 000 рандомизированных транзакций с различными тенденциями и параметрами для стресс-тестирования смарт-контракта.

«Со случайными транзакциями это выглядит как симуляция человека с сумасшедшей идеей [обычно описывающей хакеров], создающего что-то, чтобы разорвать контракт».

На вопрос о том, были ли какие-либо нарушения в смарт-контрактах, проверенных HashEx, Дмитрий ответил очень скромно. В 2020 году ни один из проверенных проектов фирмы не подвергся взлому. Но в 2021 году из сотен проектов, которые впоследствии стали безопасными, произошли два незначительных инцидента. Один проект в сети Avalanche имел критическую ошибку в проверенном контракте и потерял около 100 тысяч долларов. Между тем, Дмитрий пояснил, что другой инцидент не был взломом как таковым, так как в контракте была ошибка, которая не позволяла снимать комиссию. «Это реальный мир, иногда мы по нему скучаем», — говорит Дмитрий.