Kontrak Cerdas Audit Mandiri dengan ChatGPT

Ketika mengaudit kontrak cerdas, berbagai macam masalah perlu dicakup untuk memastikan bahwa kodenya aman. Pertanyaan-pertanyaan ini mencakup berbagai aspek termasuk kontrol akses, manajemen aset, manajemen data, asumsi, ketergantungan, dan daftar periksa keamanan. Di bawah ini kami menyediakan daftar periksa terperinci dan instruksi untuk pertanyaan ChatGPT untuk memandu Anda melalui proses audit smart contract.

Jika Anda ingin menyelidiki sendiri smart contract untuk kerentanan dan teknik penipuan tersembunyi, langkah pertama yang harus Anda lakukan adalah membuat pertanyaan ChatGPT dengan benar.

Sebuah pertanyaan yang berguna untuk ChatGPT adalah perintah berikut ini:

Sediakan sebuah daftar lengkap semua masalah dan kerentanan pada smart contract berikut ini. Jelaskan masalah dan kemungkinan kerentanan secara detail. Berikan satu skenario eksploitasi untuk setiap kerentanan. Keluarkan sebagai tabel yang valid dalam format penurunan harga dengan daftar objek, masing-masing dengan kolom 'deskripsi', 'tindakan', 'tingkat keparahan', 'aktor', 'skenario', 'jenis', dan 'baris'. 'tipe' di mana dapat berupa 'kegunaan', 'kerentanan', 'pengoptimalan', atau 'saran'. 'actors' adalah daftar aktor yang terlibat. 'severity' dapat berupa 'rendah', 'sedang', atau 'tinggi'. 'row' adalah nomor baris dari masalah. Pastikan semua kolom dalam tabel telah terisi.

Kemudian gunakan pertanyaan-pertanyaan berikut untuk mengeksplorasi kontrak pintar secara lebih mendalam.

Skenario Pemanfaatan:

1. Siapa saja aktor yang ada di dalam sistem?


2. Apa saja tindakan yang dimiliki oleh sistem?


3. Apa saja batasan dari sistem?


4. Apa saja cara potensial untuk merusak sistem?


5. Apa saja pertahanan yang digunakan untuk menghadapi serangan?


6. Jelaskan, berdasarkan batasan yang ada, perubahan status dari setiap fungsi.


7. Sediakan informasi tentang templat Solidity dan DeFi yang digunakan.


8. Tuliskan aksioma positif dan negatif berdasarkan informasi tentang sistem.


9. Daftar cara-cara untuk mengoptimalkan dan memodifikasi kode agar lebih andal (dengan cuplikan kode).


10. Daftar metode penipuan tersembunyi yang digunakan dalam kode (dengan cuplikan kode).

Tip: Representasi visual data sering kali memberikan pemahaman yang lebih jelas tentang operasi sistem. Ketika bekerja dengan ChatGPT, Anda disarankan untuk meminta visualisasi data keluaran, seperti modifikasi status dalam bentuk diagram karakter ASCII. Meskipun tidak semua visualisasi masuk akal, beberapa dapat memberikan wawasan yang sangat berharga ke dalam pengoperasian kontrak pintar.

Faktanya, meskipun ChatGPT tidak dapat menggantikan auditor manusia, ChatGPT secara signifikan melengkapi proses pengauditan dengan memberikan pemahaman yang lebih jelas tentang transisi status protokol, batasan, invarian, dan kompatibilitas. Alat ini sangat efektif untuk memahami transisi status protokol dan kendala.

Tip: Sebelum memulai audit, memberikan dokumentasi kepada chatbot tentang protokol yang sedang diaudit dapat sangat meningkatkan keakuratan dan relevansi tanggapan. Cukup sebutkan, "Ini adalah dokumentasi yang memberikan konteks terbaik untuk 'nama_protokol' yang sedang saya audit," dan masukkan dokumen tersebut.

Dapat dikatakan bahwa ChatGPT adalah asisten yang kuat untuk auditor, memberikan pendekatan terstruktur dan mendalam untuk mengaudit kontrak pintar. Namun, perlu diingat bahwa ChatGTP (dan layanan serupa) hanyalah interpretasi kompleks dari analisis mesin yang bekerja dengan probabilitas, sehingga sering kali menghasilkan kesalahan dan ketidakakuratan. Oleh karena itu, hasil ChatGPT tidak dapat sepenuhnya diandalkan - ini hanya alat yang baik di tangan yang tepat dan "titik awal" dalam penelitian kontrak pintar.

Oleh karena itu, untuk melindungi diri Anda dari risiko yang mungkin terjadi, smart contract harus diperiksa dengan lebih cermat untuk mengetahui kemungkinan adanya kerentanan dan skema penipuan.

Bagaimana cara melakukan audit smart contract yang mendalam? 100 permintaan teratas ke ChatGPT

Di atas kami telah mempertimbangkan permintaan umum (prompt) ke ChatGPT, yang darinya Anda dapat mulai menganalisis smart contract. Namun, tentu saja, analisis terperinci tidak terbatas pada permintaan pengantar.

Penipu terus meningkatkan taktik mereka, jadi Anda perlu mendapat informasi dan berhati-hati dalam banyak aspek - ini adalah strategi penting untuk melindungi investasi token Anda.

Mari kita lihat daftar 100 permintaan teratas yang akan memberi Anda pendekatan profesional untuk audit kontrak pintar:

1. Apakah kode berhasil dikompilasi?
2. Apakah versi Solidity yang digunakan dalam kode tersebut? Apakah versi stabil saat ini?
3. Apakah ada komentar yang jelas yang menjelaskan tujuan fungsi dan variabel yang ada?
4. Apakah kontrak menggunakan skema "Dapat Dimiliki"? Jika ya, untuk fungsi yang mana?
5. Apakah variabel status dialokasikan dengan benar menggunakan pengubah visibilitas?
6. Apakah peristiwa digunakan untuk pencatatan yang tepat?
7. Apakah pesan kesalahan yang mudah digunakan disediakan?
8. Apakah nilai kembalian dari pemanggilan tingkat rendah dicentang?
9. Apakah ada skenario di mana pemilik dapat memberi otorisasi kepada diri mereka sendiri yang dapat menyebabkan penarikan karpet?
10. Siapa yang memiliki kontrol atas akun istimewa dan apa mekanisme kontrolnya?
11. Mekanisme tata kelola apa yang ada di dalam kontrak, dan apakah tata kelola tersebut sepenuhnya terbuka atau terbatas?
12. Apakah ada kontrak lain yang digunakan di dalam sistem dan peran apa yang mereka penuhi (mis. kontrak proksi)
13. Apakah terdapat mekanisme penguncian waktu dan apakah dapat dilewati?
14. Apakah tersedia dokumentasi yang memadai?
15. Apakah terdapat potensi kerentanan terhadap serangan DoS atau serangan masuk kembali dalam kode?
16. Apakah semua fungsi bersifat internal kecuali fungsi-fungsi yang secara eksplisit diharuskan untuk bersifat publik/eksternal?
17. Apakah tidak terdapat overflow/kekurangan aritmatika pada operasi-operasi matematika?
18. Apakah pustaka OpenZeppelin yang aman digunakan?
19. Ether atau token tidak dapat secara tidak sengaja dikirim ke alamat nol (0x0)?
20. Kondisi diperiksa dengan memerlukan sebelum operasi dan perubahan status?
21. Apakah status ditetapkan sebelum dan selama pelaksanaan tindakan?
22. Apakah perlindungan terhadap serangan masuk kembali (masuk kembali) (A memanggil B memanggil A) digunakan?
23. Apakah antarmuka ERC20 diimplementasikan dengan benar?
24. Apakah pengubah digunakan di beberapa tempat hanya jika benar-benar diperlukan?
25. Apakah semua tipe ditetapkan secara eksplisit (misalnya uint256 digunakan sebagai pengganti uint)?
26. Apakah semua metode dan siklus berada dalam batas gas maksimum yang diijinkan?
27. Tidak ada inisialisasi yang tidak perlu dalam konstruktor (ingat nilai default yang ditetapkan)?
28. Ada cakupan pengujian yang lengkap: setiap metode smart contract dan semua tipe data input yang mungkin diuji?
29. Apakah pengujian fuzz telah dilakukan dengan menggunakan input acak?
30. Apakah semua keadaan yang mungkin terjadi pada sebuah kontrak telah diuji?
31. Jumlah default eter dan token ditentukan dalam satuan wei?
32. Apakah blok/waktu akhir crowdsale terjadi setelah blok/waktu awal (memulai/mengaktifkan perdagangan)?
33. Apakah nilai tukar/konversi token crowdsale ditetapkan dengan benar?
34. Apakah ada batas soft/hard crowdsale yang ditetapkan?
35. Apakah kontribusi minimum/maksimum yang diijinkan untuk crowdsale telah ditetapkan dan diuji?
36. Apakah fungsionalitas daftar putih crowdsale telah diuji?
37. Apakah logika pengembalian dana crowdsale telah diverifikasi?
38. Apakah peserta crowdsale menerima jumlah token yang proporsional atau dapatkah mereka mengklaim kontribusinya?
39. Apakah durasi setiap tahap crowdsale (mis, pra-penjualan, penjualan publik) telah dikonfigurasi dengan benar?
40. Apakah itu menentukan fungsi mana yang hanya boleh dikontrol oleh pemilik (mis, menjeda crowdsale, pindah ke tahap lain dari crowdsale, mengaktifkan distribusi token, dll.)?
41. Apakah logika vesting (rompi) crowdsale sudah diperiksa?
42. Crowdsale memiliki mode gagal-aman yang, jika diaktifkan oleh pemiliknya, akan membatasi pemanggilan fitur dan menyertakan fitur pengembalian dana?
43. Crowdsale memiliki fitur fallback jika masuk akal.
44. Apakah pustaka yang diimpor sudah diperiksa sebelumnya dan tidak mengandung bagian yang tidak diinginkan yang dapat diganti di versi yang akan datang dan dapat digunakan untuk tujuan jahat.
45. Metode transfer token (transfer) yang dibungkus dengan require.
46. Apakah require dan assert digunakan dengan benar? Metode assert hanya digunakan untuk hal-hal yang seharusnya tidak pernah terjadi, biasanya digunakan untuk memeriksa status setelah perubahan dilakukan.
47. Apakah ada pertahanan terhadap serangan pemanggilan rekursif?
48. Apakah panjang string sembarang pada masukan dibatasi?
49. Jika memungkinkan, hindari penggunaan array dan gunakan pemetaan sebagai gantinya?
50. Apakah block hash tidak digunakan untuk menangani nilai acak (penambang dapat memengaruhi hal ini)?
51. Jangan gunakan tx.origin di mana pun?
52. Elemen larik digeser ke bawah saat sebuah elemen dihapus agar tidak meninggalkan celah?
53. Apakah mengembalikan digunakan sebagai pengganti lemparan?
54. Fungsi segera diakhiri jika kondisi tidak terpenuhi?
55. Apakah peringatan kompiler telah diselesaikan?
56. Apakah pustaka SafeMath digunakan dalam perhitungan?
57. Apakah ada slot memori (slot penyimpanan) yang dibaca lebih dari satu kali?
58. Apakah ada perulangan / array tak terbatas yang digunakan yang dapat menyebabkan DoS?
59. Apakah block.timestamp hanya digunakan untuk interval yang lama?
60. Tidak menggunakan block. untuk menghitung waktu yang telah berlalu?
61. Apakah pemanggilan delegatecall dihindari, terutama untuk kontrak eksternal (meskipun tepercaya)?
62. Apakah panjang larik tidak diperbarui ketika melakukan iterasi?
63. Apakah tanda tangan dilindungi dari pemutaran ulang dengan nonce dan block.chainid?
64. Pastikan bahwa semua tanda tangan menggunakan EIP-712?
65. Keluaran dari abi.encodePacked() tidak boleh di-hash jika lebih dari 2 tipe dinamis digunakan. Secara umum, lebih baik menggunakan abi.encode().
66. Periksa dengan hati-hati penyisipan kode perakitan.
67. Hindari konsumsi gas yang tidak mencukupi (duka cita gas).
68. Apakah semua data privat benar-benar privat?
69. Memperbaharui struktur/larik di memori (memori) tidak akan mengubahnya di penyimpanan (stage)?
70. Apakah variabel stage dibayangi?
71. Apakah menghitung nilai variabel dengan cepat lebih murah daripada menyimpannya?
72. Apakah semua variabel state dibaca dari kontrak yang benar (master vs klon)?
73. Apakah operator pembanding (>, <, >=, <=) digunakan dengan benar, terutama untuk mencegah kesalahan satu per satu?
74. Apakah operator logika (==, ! =, &&, ||, !) digunakan dengan benar, terutama untuk mencegah kesalahan di luar satu per satu?
75. Apakah perkalian selalu dilakukan sebelum pembagian (kecuali jika perkalian dapat melimpah)?
76. Apakah angka ajaib diganti dengan konstanta dengan nama yang intuitif?
77. Jika penerima ETH memiliki fungsi fallback (pengembalian) yang dapat dikembalikan, dapatkah hal ini menyebabkan DoS?
78. Apakah standar SafeERC20 digunakan dan apakah nilai yang dikembalikan diperiksa dengan cara yang aman?
79. Apakah diasumsikan bahwa pengirim msg. pengirim selalu merupakan pengguna yang relevan?
80. Apakah tx.origin tidak digunakan untuk otorisasi?
81. Apakah address.transfer() atau address.send() tidak digunakan sebagai pengganti .call.value()?
82. Ketika menggunakan panggilan tingkat rendah, pastikan bahwa kontrak sudah ada sebelum panggilan.
83. Apakah kode rakitan digunakan untuk mengakses chainid atau kode kontrak/ukuran/hash alih-alih sintaks Solidity?
84. Apakah kata kunci hapus digunakan saat menetapkan variabel ke nilai nol (0, false, "", dll.)?
85. Ekspresi yang diteruskan ke operator logika/perbandingan (&&/||/>=/==/dll) tidak boleh memiliki efek samping.
86. Ketika berurusan dengan beberapa alamat, tanyakan pada diri sendiri apa yang terjadi jika alamat tersebut sama?
87. Seberapa baik kodenya didokumentasikan? Apakah komentar dan contoh disediakan di mana pun kode non-standar digunakan?
88. Jika Panggilan Eksternal digunakan, pastikan bahwa pemanggilan kontrak eksternal benar-benar diperlukan?
89. Apakah hasil Panggilan Eksternal diperiksa dan apakah kesalahan ditangani?
90. Apa yang terjadi jika Panggilan Eksternal menggunakan semua gas yang disediakan?
91. Jika Panggilan Eksternal memanggil fungsi tertentu, pastikan bahwa fungsi tersebut benar-benar ada (fungsi bayangan).
92. Pastikan tidak ada panggilan eksternal yang digunakan dalam pengubah (modifier)
93. Apakah event dikeluarkan untuk setiap fungsi yang memodifikasi penyimpanan?
94. Periksa asumsi Anda tentang apa yang dilakukan dan dikembalikan oleh kontrak eksternal yang digunakan di utama.
95. Perhatikan token yang menggunakan terlalu banyak atau terlalu sedikit desimal. Pastikan bahwa nilai maksimum dan minimum yang didukung didokumentasikan.
96. Apakah otoritas yang terkait dengan peran didokumentasikan.
97. Apa risiko jika hak akses dilanggar dan bagaimana hal ini dapat memengaruhi berbagai komponen sistem.
98. Bisakah pemilik memanipulasi token dan ETH di dalam kontrak.
99. Bagaimana cara mengatur alamat Oracle (Oracle) dan bagaimana proses di baliknya? Apakah ada oracle cadangan untuk cadangan?
100. Bagaimana fungsi serupa diimplementasikan dalam proyek lain, apakah praktik terbaik sudah diperhitungkan?

Daftar periksa ini akan membantu Anda untuk memastikan bahwa Anda melakukan audit keamanan yang menyeluruh pada smart contract Solidity. Daftar ini mencakup berbagai aspek penting untuk mengidentifikasi dan memitigasi potensi kerentanan dan risiko dalam kode dan sistem terkait.

 

Kami harap contoh-contoh ini dapat membantu Anda untuk lebih memahami metodologi audit smart contract.

 

Karena semua informasi dalam blockchain bersifat terbuka (asalkan, tentu saja, kode sumber kontrak diverifikasi), berbekal pengetahuan ini, Anda dapat secara mandiri mempelajari smart contract dan mengidentifikasi berbagai skema scam.

Namun, kami telah melakukan semuanya untuk Anda! Daftar untuk berlangganan premium dan dapatkan akses ke filter eksklusif pada fitur-fitur kontrak pintar dan analisis terbaru. Tingkatkan peluang Anda untuk berhasil berinvestasi dalam token yang menguntungkan.

Salam, tim Lotus Market./b>

All posts