[翻訳] 監査するまでデプロイしないでください！究極のスマートコントラクトチェックリスト

Last updated at 2024-07-10Posted at 2024-05-15

免責事項: これはセキュリティアドバイスではありません。セキュリティの決定をする前に、必ず独自の調査を行ってください。

スマートコントラクトの構築は、複雑な機械を作り上げることに似ています。刺激的で革新的ですが、リスクも伴います。ロケットを厳密にチェックせずに打ち上げることはしないように、実際のお金や資産とのやり取りを行う前に、スマートコントラクトを徹底的に監査する必要があります。

監査は、悪意のある行為者が悪用する可能性のあるバグ、脆弱性、抜け穴をコードのセキュリティチームが検査することと考えてください。単なるチェックボックスを埋めるだけではありません。あなたやユーザーに大きな損失をもたらす可能性のある隠れた欠陥を見つけることが重要です。

以下は、簡単な言葉で説明された究極のスマートコントラクト監査チェックリストです。

監査前:

コードを整理する: コードを行ごとに確認し、既知のエラーを修正し、適切にドキュメント化されて理解しやすいことを確認してください。Slither、Mythril、またはBunzz Audit（近日公開予定）などのツールを使用して、コードを自動的に脆弱性のスキャンを行うこともできます。また、コード内に明確なコメントと説明を書くことも忘れないでください。
範囲を定義する: コントラクトにはどのような機能がありますか？攻撃の可能性のある箇所（悪用のリスクが高い領域）はどこですか？目標と懸念を明確にすることは、監査プロセスに役立ちます。

範囲を定義する別の方法は、資金の取り扱い、アクセス制御、および重要な操作を行うコードの箇所を強調することです。最後のヒントとして、ハッカーのように考え、誰かがあなたのコントラクトを悪用する方法を考えてみてください。

脆弱性を修正する: 識別された問題を真剣に受け止め、迅速に修正してください。STRIDE や PASTA などのツールを使用して、潜在的な脅威を体系的に特定することができます。警告を無視しないでください。些細な欠陥でも大きな被害をもたらす可能性があります。
必要に応じてテストと再監査を行う: 各機能ごとに個別のテストを作成し、それらが期待どおりに動作し、コントラクトの異なる部分が互いにどのように相互作用するかを確認してください。sFuzzなどのツールを使用して、入力をランダムに生成し、コントラクトをストレステストすることができます。

警戒心を持ち、再監査を行う: セキュリティは一度きりの修正ではなく、継続的なプロセスです。見つけた脅威のレベルに応じて、再監査が必要になる場合があります。コントラクトを最新の状態に保ち、その活動を監視し、新たな脅威に対応する準備をしておいてください。
継続的なモニタリング: セキュリティは継続的なプロセスです。デプロイされたコントラクトを不審な活動に対して積極的に監視し、新たな脅威や脆弱性について最新情報を把握してください。

監査されていないスマートコントラクトをデプロイすることは、ユーザーの信頼と評判を危険にさらすことです。リスクを冒さないでください！このチェックリストに従い、セキュリティを真剣に考えてください。DYOR（自分自身で調査を行う）を忘れずに、次のことを覚えておいてください：

必要な手順を踏み、スマートコントラクトが成功の物語となるようにすることができます。警戒心を持ち、計画をしっかりと立て、自信を持って監査を行ってください。

Bunzz Audit のオープンベータ版が利用可能です！無料のスマートコントラクト監査をこちらでリクエストできます。

【Bunzz とは】
Bunzz はアジア最大級の DApps 開発インフラを運営する、web3×LLM におけるリーディングカンパニーです。「公共財としてのスマートコントラクト」の実現に向けて、各種 web3 インフラやサービスを開発・提供しております。

【Our Projects】

【Social Links】

【お問合せ】
web3 開発・コンサルティングのご相談はこちらから 👉Google Form

Bunzz R&D エンジニア荒巻さんの著書『スマートコントラクトの仕組みと法律』が好評発売中です 📕