スマートコントラクト監査関連情報まとめ
Ethereumの大きな動き
2015年:Ethereum β版 ローンチ
2016年:The DAO事件、約360万ETH(流通総額0.04%)
監査の重要性が出てきた
2017年 ~ 2018年 : ICOバブル
2020年:DeFiバブル
スマコンを利用した詐欺プロジェクトも横行したので、監査を受けてないプロジェクトは信用を得るのが難しくなった
2021年 : NFTバブル
代表的なDappの歴史
2016年
The DAO
MakerDAO
2017
Bancor
CryptoKitties
2018
Compound
Uniswap v1
2019
Balancer
UniswapV2
Synthetix
yearn
2020
Aave (former ETHLend 2017)
Balancer
Uniswap V2
2021
Sushi swap
Curve Finance
スマコンの数の推移
ICOバブル、DeFiバブル、NFTバブルで一気にコントラクト数が増えている印象
2022年暮れからも伸びている、特にトークン発行を多くやってそう
なぜコントラクトのデプロイ、トークン発行が増えているかは追加分析が必要そう
チェーン別の推移も出してみたい
監査会社リスト
ConsenSys Diligence
設立:ConsenSys自体は2015、Diligenceはわからない
主要プロジェクト:Aave, 0x, omiseGO
その他:この図は良い
Trail of Bits:
過去監査レポート:https://github.com/trailofbits/publications/tree/master/reviews
設立:2012年設立で2015-2016あたりにスマコン監査を始める
主要プロジェクト:UniswapV3Core, Liquity, DFINITY, Balancer
その他:
Quantstamp:
過去監査レポート:https://certificate.quantstamp.com/
主要プロジェクト:Curve, Maker, Compound
設立: 2017
その他:2017-2018のICOブームで多く監査した
OpenZeppelin:
設立:2015
主要プロジェクト:Compound, Forta, Optimism, Bancor
その他:
ChainSafe:
過去監査レポート:https://chainsafe.io/audits
設立:
主要プロジェクト:Ribbon Finance, The Graph, 1inch
その他:
Certik:
過去監査レポート:なし
設立:2018
主要プロジェクト:
その他:監査したものがよくハッキングを受けている
PeckShield:
過去監査レポート:https://github.com/peckshield/publications/tree/master/audit_reports
設立:2019年あたり
主要プロジェクト:AaveV3, LooksRare, PanckakeSwap,
その他:
Runtime Verification
過去監査レポート:https://github.com/runtimeverification/publications
設立:2018年あたり
主要プロジェクト:UniswapV1, GnosisSafe,
その他:スマートコントラクト以外にもプロトコルの監査も行う
ハッキングの時系列表
2021年から増え始め2022年はかなり多い
2022年はハッキングの量も多いけど額も大きい
2016 : Jun / TheDAO $60
2021 : Sep / Compound $147M, Oct / Cream $130M
2022 : Feb / Wormhole $326M, Mar / Ronin $624M, Apr / Beanstalk $181, Aug / Nomad $190M, Oct / BinanceBridge $570M
2023 : Mar / Euler $197M
スマートコントラクトの脆弱性でよくあるパターン
0x00…や0などのデフォルト値のvalidationの考慮ミス
state管理と実際の保有トークンの相違
特にETHをコントラクトで扱う場合のmsg.valueの扱い
reentrancy
管理権限者のオペレーションミス
監査会社選定でよくみる記事
11 Best Smart Contract Auditing Companies
Smart contract auditing services
The Best Smart Contract Auditors: Ranked
List of 'Audit' companies
https://www.blockdata.tech/markets/use-cases/audit
solidity 監査に役立つリンク
チェックリスト
solidityを書く際に気をつけること
solidityのversion
https://github.com/crytic/slither/wiki/Detector-Documentation#incorrect-versions-of-solidity
ハッキングの実例
ハッキングの事例分析まとめ
ハッキングを学ぶ
https://immunefi.medium.com/
ツール
この記事が気に入ったらサポートをしてみませんか?