Audited by Certik...

Intro

Почти каждую неделю скамиться очередной ноунейм проект. Обычно это какие-то небольшие DEX, которые построенны на новых хайповых сетях Arbitrum, zkSync и так далее. На этих сетях они собственно очень активно паразитируют и всячески используют их в маркетинговых целях. Наиболее часто - заимствуя их имя.

Самый свежий пример - DEX Swaprum, которая не только позаимствовала часть названия у Arbitrum, но и запустила аирдроп токенов $ARB в маркетинговых целях, на что тут же налетели тысячи халявщиков. Спустя какое-то время - скам на $3 млн. Создатели биржи просто слили все средства и скрылись в закате.

К сожалению, данный проект успели прорекламировать и мы, но в целом нам за это не стыдно по ряду причин. Во-первых, получение дропа токенов было бесплатным, и не требовало никаких транзакций.

Хранить деньги на биржах, а тем более таких ненадежных могут только идиоты, у которых собственно эти 3 млн. и утащили. В любом случае, впредь будем более внимательны с этим моментом.

Но куда более важная вторая причина, а именно - невозможность заранее определить скам проект. Сомнительных проектов с мутными названиями и непроработанной бизнес моделью тысячи. Взять те же мемкоины. Так что, либо априрори расценивать их все как скам, либо осознанно идти на риски.

Вы возразите! Но должны ведь быть способы отсеять неблагонадежный проект. Они есть, но проблема в том, что они не работают. Вернее не на 100%. Вы уже не раз видели строчку - проект прошел аудит у Certik. Об этом и будет наша сегодняшняя статья.

Сertik

CertiK - это платформа для верификации и аудита смарт-контрактов и блокчейн-протоколов. Она была создана с целью повышения безопасности в области блокчейна и криптовалют.

Одной из основных задач CertiK является предотвращение уязвимостей и ошибок в смарт-контрактах, которые могут привести к потере средств или нарушению функционирования блокчейн-протоколов. CertiK предоставляет инструменты и методологии для формальной верификации кода смарт-контрактов, позволяя проверять его на наличие уязвимостей и ошибок до его запуска.

Одной из ключевых особенностей CertiK является комбинация использования математических доказательств и машинного обучения для обеспечения высокой степени точности и надежности проверки смарт-контрактов. Это позволяет выявить сложные уязвимости, которые могут быть упущены при использовании только ручного аудита.

Кроме того, CertiK разрабатывает и поддерживает наборы стандартов безопасности для блокчейн-протоколов, чтобы обеспечить единые и надежные принципы разработки и эксплуатации блокчейн-приложений.

Проект CertiK имеет команду экспертов по криптографии, формальной верификации и блокчейн-технологиям, которые работают в тесном сотрудничестве с сообществом разработчиков и проектами, чтобы обеспечить безопасность и надежность в блокчейн-сфере.

Аудит Certik

Процесс проверки каждого криптовалютного проекта довольно комплексный, состоит из 5-ти этапов и выглядит примерно так:

1. Исследование и анализ кода: Эксперты CertiK анализируют исходный код смарт-контракта или блокчейн-протокола, изучают его структуру, логику и функциональность. Они ищут потенциально опасные конструкции, слабые места и уязвимости.
2. Формальная верификация: CertiK использует формальные методы верификации, которые основаны на математических доказательствах. Это позволяет доказать формальные свойства смарт-контрактов, такие как отсутствие ошибок выполнения, отсутствие доступа к недопустимым данным и другие критически важные свойства.
3. Динамический анализ и тестирование: CertiK проводит динамический анализ смарт-контрактов, запуская их в среде исполнения и моделируя различные сценарии и входные данные. Это позволяет обнаружить потенциальные уязвимости и ошибки, которые могут проявиться только при выполнении контракта.
4. Машинное обучение и анализ угроз: CertiK использует методы машинного обучения для анализа кода смарт-контрактов и идентификации известных угроз безопасности. Это помогает выявить скрытые уязвимости и защитить контракты от распространенных атак.
5. Отчет и рекомендации: По завершении аудита CertiK предоставляет детальный отчет о найденных уязвимостях, ошибках и проблемах безопасности. Отчет содержит рекомендации по устранению обнаруженных проблем и улучшению безопасности контракта или протокола.

Платформа

Но для нас, простых обывателей, самый важный и крутой продукт от Certik - это их нативная платформа Skynet, на которой можно узнать о состоянии безопасности абсолютно любого криптовалютного проекта.

Рейтинг тут как у кредитного агентства Moody's. От "ААА" до "D". Короче, все по-серьезному, и как вы понимаете, на проекты ниже "А" нет смысла даже смотреть.

Тем не менее смотреть нужно только за теми проектами, которые прошли полный аудит от Certik, так что включаем тумблер.

И вот теперь то можно найти кучу всего интересного. А если конкретнее, то детальный аудит кода. Посмотреть и потрогать все уязвимости, от критических до минорных, а также разобраться, в чем их суть.

Заценим страницу того же Swaprum. Тут нас втречает табличка скам. Но появилась она тут отнюдь недавно, ведь проект проходил аудит и все было нормально (скринов с оценкой не нашли).

Да, у проекта было 3 ключевых проблемы, связанных с централизацией. Но аналогичные проблемы есть у огромного количества других, и вроде как пока нормальных проектов. Sandbox, к примеру.

Почему не помогает?

Как вы уже могли понять, толку от аудита Certik не то чтобы много. Он безусловно есть, ведь аудит кода - штука довольно точная и однозначно полезная. Если у проекта проблемы с кодом, то на нем по-любому стоит ставить крест.

Проблема в том, что сегодняшние мошенники вполне себе способны создать хороший и надежный код, а вот каков их истинный замысел мы заранее никогда не узнаем.

У основателей проекта, особенно если они анонимны, в любом случае будет вариант совершить exit scam. Тут уж все зависит лишь от потенциальных последствий (привет До Квону). А вот человеческий фактор Certik раскусить пока что, к сожалению, не по силам.

Но возможно дьявол кроется в деталях и есть определенные уязвимости, которые напрямую указывают на скам? Если в чате есть знатоки, то отпишитесь!

Summary

Аудит Certik, безусловно, классная штука, которая вносит огромную лепту в обеспечение безопасности криптосообщества. Вам однозначно стоит проверять через Skynet проекты, в которые вы собираетесь инвестировать. Проблема в том, что он не является панацеей и не защищает от скама на 100%.

ыТак что если основатели проекта анонимны, сам проект небольшой и с мутным названием, то пусть он даже 10 аудитов прошел, вкладываться в него не стоит.