Источник: https://link.medium.com/45gdwZRyxqb
Защита смарт-контрактов от рисков остается сложной задачей. Неустраненные уязвимости безопасности легко превращаются в существующие угрозы жизнеспособности вашего токена. Итак, как предоставители активов могут предотвратить уязвимости смарт-контрактов, приводящие к реальным финансовым потерям в сетях токенов?
Защитите токены пользователей и сети токенов от злоумышленников, обучая разработчиков писать смарт-контракты и разрабатывать надежные тесты на основе этого списка рисков реализации ERC-20.
В результате метаанализа нескольких сотен отчетов о безопасности токенов Solidify был составлен список наиболее частых и серьезных рисков, основанный на потенциальном влиянии на безопасность сети токенов.
Десять основных рисков смарт-контрактов (SCR) делятся на три категории:
- Операционные риски — функции авторизации, которые взламываются, когда управление сетью токенов является недостаточным или ошибочным.
- Риски реализации — внутренние ошибки, приводящие к непреднамеренному поведению смарт-контракта.
- Риски проектирования — принятые системные функции, которые используются для изменения предполагаемого поведения смарт-контракта.
ОПЕРАЦИОННЫЕ РИСКИ
SCR-1: Учетная запись суперпользователя или управление привилегиями
Смарт-контракт реализует функции, которые позволяют привилегированной роли в одностороннем порядке и произвольно изменять функциональность актива.
SCR-2: Черный список и функции записи
Смарт-контракт реализует функции, которые позволяют привилегированной роли запрещать определенному адресу выполнять важные функции.
SCR-3: Логика контракта или конфигурация актива могут быть изменены произвольно
Смарт-контракт реализует функции, которые позволяют обладателю привилегированной роли в одностороннем и произвольном порядке изменять функциональность актива.
SCR-4: Функции самоуничтожения
Смарт-контракт реализует функцию, которая позволяет привилегированной роли удалить контракт токена из блокчейна и уничтожить все токены, созданные контрактом.
SCR-5: Функции минтинга
Смарт-контракт реализует функцию, которая позволяет привилегированной роли увеличивать количество токенов в обращении и/или баланс произвольной учетной записи.
РИСКИ РЕАЛИЗАЦИИ
SCR-6: Создание собственной криптовалюты и уникальная логика контракта
Смарт-контракт реализует функции, которые позволяют обладателю привилегированной роли в одностороннем и произвольном порядке изменять функциональность актива.
SCR-7: Несанкционированные переводы
Смарт-контракт содержит функции, позволяющие обойти стандартные шаблоны авторизации для отправки токенов с учетной записи.
SCR-8: Неправильная реализация подписи или арифметики
Смарт-контракт содержит операции, которые могут привести к неожиданным состояниям контракта или остаткам на счетах.
РИСКИ ПРОЕКТИРОВАНИЯ
SCR-9: Ненадежный поток управления
Смарт-контракт вызывает функции в разных смарт-контрактах, чтобы активировать функции, не определенные в самом контракте.
SCR-10: Зависимость порядка транзакции
Смарт-контракт допускает асинхронную обработку транзакций, которую можно использовать для получения прибыли или корректности протокола посредством переупорядочивания транзакций мемпула.
Не является индивидуальной инвестиционной рекомендацией