Zdrojový kód WingRiders prošel auditem od renomované bezpečnostní společnosti CERTIK. Vysvětlíme si, proč je bezpečnostní audit důležitý, jak se provádí a hlavně jaký byl jeho výsledek.
Jak funguje finanční svět
Dnešní finanční svět je centralizovaný a regulovaný. To znamená, že vaše finanční prostředky jsou drženy a provozovány regulovanými institucemi, které jsou přímo zodpovědné za váš majetek. Na tyto komerční instituce dohlížejí státní orgány, které kontrolují procesy, účetnictví nebo úroveň zabezpečení infrastruktury. Bankovní účty jsou často pojištěny, takže pokud banka nečekaně zkrachuje nebo je vykradena, uživatelé o své peníze nepřijdou.
Uživatelé důvěřují třetím stranám, jako jsou banky, a zároveň důvěřují úřadům, že banky důkladně kontrolují. Pokud se banka nechová podle pravidel a uživatelé nejsou spokojeni, mohou si stěžovat úřadům. Bankéři nemohou své klienty jednoduše okrást o peníze, protože to je nezákonné a snadno odhalitelné. V případě větších problémů by úřady bankám odebraly licence potřebné k provozování služby.
Dnešní finanční svět je postaven na důvěře v instituce a právní systém.
Jak funguje důvěra v decentralizovaném světě
Cardano je decentralizovaná síť, takže v zásadě nelze důvěřovat jednomu subjektu. Lidé vkládají důvěru do zdrojového kódu. Váš majetek je primárně chráněn sítí Cardano. Sekundárně inteligentními kontrakty (Plutus scrips), pokud se rozhodnete používat decentralizovanou službu. Současný právní systém zatím nemá pro kryptoměny jasný regulační rámec. I když se to mění a regulace přijdou, současní uživatelé kryptoměn důvěřují především síti Cardano a lidem, kteří se kolektivně starají o její provoz.
Cardano, stejně jako jakákoli jiná blockchainová síť, je technologie. Konkrétně se jedná o síťový protokol, jehož pravidla musí navrhnout a následně implementovat tým. Mluvíme o poměrně složitém procesu vývoje softwaru. Kvalita vývoje se může projekt od projektu výrazně lišit. IOG se zavazuje dodržovat nejvyšší zásady akademické přísnosti a vývoje softwaru založeného na důkazech. IOG buduje vysoce spolehlivou blockchain infrastrukturu. Cardano je budováno jako projekt jehož spolehlivost je kritická (mission-critical project), což znamená, že kvalita zdrojového kódu je srovnatelná s kvalitou softwaru vyvíjeného pro NASA, jaderné elektrárny, letadla atd. To je jeden z důvodů, proč si kryptoměnová komunita Cardano tolik cení a proč této síti důvěřuje. Důvěra je založena na přístupu týmu a kvalitě protokolu.
Zkušenosti týmu a kvalita zdrojového kódu jsou velmi důležité, protože jsou v podstatě tím jediným, co v decentralizovaném světě chrání majetek uživatelů. To platí jak pro síť Cardano, tak pro všechny chytré smlouvy. Cardano je platforma. To znamená, že jakýkoli tým může využít infrastrukturu Cardano k vytvoření vlastní finanční služby. WingRiders je decentralizovaná burza (DEX) s automatickým tvůrcem trhu (AMM). Za WingRiders stojí tým, který nemá nic společného s IOG. WingRiders je samostatný a velmi kvalifikovaný tým, který je zodpovědný pouze za zdrojový kód své decentralizované burzy. Nikoli za zdrojový kód Cardano.
Na jiných platformách jsme v minulosti viděli mnoho hacků v oblasti DeFi. Mnoho lidí přišlo o finanční prostředky. Pokud je chytrá smlouva špatně napsaná a hackerům se podaří ukrást mince, může za to tým, který v aplikaci nechal bezpečnostní díru. Je důležité si uvědomit, že v decentralizovaném světě běžná ochrana majetku nefunguje. Žádná autorita nemůže donutit tým, aby se zodpovídal za jím napsanou chytrou smlouvu a v případě hacknutí vrátil uživatelům peníze. Týmy se mohou pokusit ztrátu dobrovolně pokrýt, ale nemusí mít dostatek prostředků. V takovém případě mají uživatelé jednoduše smůlu.
Význam bezpečnostního auditu
Každý tým, který vytváří decentralizovanou aplikaci, chce napsat co nejkvalitnější chytré smlouvy. Tým musí aplikaci hned na začátku dobře navrhnout. Poté je možné ji implementovat. Kvalitní a rozsáhlé testování po napsání zdrojového kódu je nesmírně důležité. Tým ověří, zda se aplikace chová přesně podle zadání. Zkušený tým se snaží hacknout vlastní aplikaci, aby se ujistil, že to někdo jiný nedokáže. Nové chytré kontrakty je rozumné nejprve otestovat v testovací síti Cardano. Test-nety používají tokeny, které nemají žádnou skutečnou hodnotu. V případě problému nedochází k žádné finanční ztrátě. Přeskočení této fáze lze považovat za varovný signál (pověstnou červenou vlajku). Týmy mohou chtít rychle dodat svou aplikaci do main-netu, aby měly konkurenční výhodu. Přeskočení fáze testování se však nemusí vyplatit.
Tým WingRiders je velmi zkušený a chce se vyhnout případným problémům. Fázi testování berou opravdu vážně a každý má možnost vyzkoušet si DEX v test-netu Cardano. Může tým udělat ještě něco dalšího? Ano, může. Může požádat třetí nezávislou stranu, aby provedla bezpečnostní audit zdrojového kódu. Tímto způsobem může tým uživatelům dokázat, že WingRiders je bezpečná burza a že se nemusí obávat ji používat. Připomeňme, že klíčové části protokolu Cardano rovněž prošly bezpečnostním auditem. Tým WingRiders ctí dobré bezpečnostní standardy v ekosystému Cardano.
CERTIK potvrdil, že WingRiders je bezpečná DEX
Tým se může snažit sebevíc, ale může přehlédnout něco důležitého. Na trhu existují firmy, které se specializují na bezpečnostní audity chytrých kontraktů. Tyto společnosti zaměstnávají bezpečnostní experty, kteří jsou schopni podrobně prověřit zdrojový kód chytrých smluv a hledat potenciální zranitelnosti. Jedná se o formu revize, která probíhá poté, co tým WingRiders provedl vlastní revizi a aplikaci otestoval.
Tým WingRiders nechal chytré smlouvy prověřit společností CERTIK. Tu v roce 2018 založil profesor z univerzit Yale a Columbia. Společnost CERTIK je průkopníkem v oblasti bezpečnosti blockchainů, dále v zabezpečení a monitorování blockchainů, chytrých smluv a aplikací Web3. CERTIK používá v dané oblasti nejlepší technologie formální verifikace a umělou inteligenci.
Odborníci společnosti CERTIK identifikují chyby a potenciální rizika zneužití. Poté vydávají zprávu, ve které jsou zranitelnosti seřazeny podle závažnosti. Nejzávažnější chyby jsou označeny jako kritické a závažné, a pokud aplikace takové chyby obsahuje, rozhodně není připravena pro main-net. Zdrojový kód může obsahovat i méně kritické chyby označené jako střední a menší. Tyto chyby by měly být rovněž opraveny. Poslední dvě úrovně chyb jsou informačního a diskusního charakteru. Tyto chyby nejsou závažné a často se jedná o drobné chyby, které nemají kritický vliv na funkčnost programu.
Při auditu se věnovala zvláštní pozornost následujícím aspektům:
- Testování chytrých smluv proti běžným i neobvyklým vektorům útoku.
- Posouzení kódu s cílem zajistit soulad s aktuálními osvědčenými postupy a průmyslovými standardy.
- Zajištění toho, aby logika kontraktu odpovídala specifikaci a záměrům klienta.
- Křížové porovnání struktury a implementace smlouvy s podobnými chytrými smlouvami vytvořenými špičkami v oboru.
- Důkladné ruční přezkoumání kódu řádek po řádku odborníky z oboru.
Bezpečnostní audit dopadl pro burzu WingRiders velmi pozitivně. CERTIK našel pouze 5 zranitelností s informační závažností. Tým chyby akceptoval a opravil. Jednalo se o chyby na úrovni stylu kódování, logického problému a nekonzistence. Tyto typy chyb lze velmi snadno opravit. CERTIK formálně ověřil několik základních funkcí. Verifikace prokázala, že základní funkce byznys logiky splňují důležité vlastnosti a invarianty, což je pro uživatele důležitý důkaz, že logika programu je správná.
Jinými slovy, můžeme říci, že WingRiders je v podstatě připraven k provozu v hlavní síti Cardano.
Závěr
Nic neověřuje zdrojový kód tak jako čas. Čím déle je služba používána, tím větší jistotu mají uživatelé, že nebude hacknuta. Nové DeFi služby tento komfort nemají a chtějí hned od začátku přilákat velké množství uživatelů. Uživatelé nechtějí riskovat ztrátu svých mincí a tokenů. Na začátku nemusí být důvěra ve službu vysoká. WingRiders se snaží uživatelům dokázat, že mohou decentralizovanou burzu používat bez obav. V testovací síti se nevyskytly žádné významné problémy a bezpečnostní audit provedený společností CERTIK rovněž dokazuje, že na WingRiders můžete tokeny směňovat bezpečně.