Bliv smart – Slut med Cryptos overdreven afhængighed af kontraktrevisioner – The Daily Hodl

HodlX gæstepost  Indsend dit indlæg

 

Sidste år var en rutsjebane for krypto. Der var aggressive reguleringshandlinger, højprofilerede straffedomme og chokerende tyverier.

Og stadigvæk - det samlede beløb kryptocurrency marked kapitalisering steg til over $ 1.4 billioner i 2023, en år-til-år vækst på over 70.7 %.

Nye brugere og institutioner bliver involveret.

I løbet af 2023 voksede antallet af kryptoinvestorer med 2.8 % om måneden, og Goldman Sachs har kaldt det for årets krypto blev institutionaliseret.

Tyrene og bjørnene har begge ret - der er enorme muligheder på markedet lige nu, men også en alarmerende risiko.

Risikoen er dog ikke kun rodfæstet i markedsvolatilitet, eller endda børschefernes frekke kriminelle handlinger - jegDet er bagt ind i selve mekanismerne for kryptotransaktioner.

Smarte kontakter er i sig selv et sårbart og lokkende mål for hackere, og vores metoder til at sikre dem svigter os.

Her er en hurtig primer. En smart kontrakt er en selvudførende kontrakt, der bruges i blockchain-transaktioner. Betingelserne for transaktionen er skrevet direkte ind i linjerne i koden.

Disse kontrakter er et saftigt hackingmål - thej er vant til at håndtere store summer og værdifulde tokens.

Hvis du kan manipulere kontrakten, kan du dirigere tokens, som du vil.

Blockchain-enheder beskytter sig selv med smart kontraktrevision, hvor uafhængige anmeldere inspicerer den smarte kontrakt for designfejl, sikkerhedssårbarheder, effektivitet og andre kodningsproblemer.

Revisorerne udsender en offentlig rapport, der viser alle de fundne problemer og de foranstaltninger, der er taget for at afbøde dem.

Indtil videre så gennemsigtigt - Enudits hjælper blockchain-virksomheder med at sikre, at deres smarte kontrakter er sikre og hjælper investorer med at træffe informerede beslutninger.

Processen er dog langt fra idiotsikker. Der er ingen udbredte standarder for smart kontraktverifikation, og ingen revision kan virkelig garantere, at en smart kontrakt er fejlfri.

Som følge heraf glider masser af sårbarheder gennem sprækkerne, ofte med ødelæggende resultater.

Her er et par eksempler fra 2023 alene.

LendHub - $6 millioner udnyttelse - Januar 2023

LendHub efterlod en afskrevet version af IBSV-tokenet i sin smarte kontrakt under en opdatering. Både den gamle og den nye version var aktive i kontrakten til samme pris.

Angribere var i stand til at købe den gamle version og bytte med den nye, hvilket fik 6 millioner dollars i ekstra værdi.

BonqDAO - $120 millioner udnyttelse - februar 2023

Angribere var i stand til at manipulere 'update price'-funktionen i BonqDAO's smarte kontrakt, så de kunne ændre prisen på AllianceBlock's ALBT-token.

Hackerne prægede og byttede derefter store mængder tokens, hvilket til sidst førte til den brede devaluering og likvidation af ALBT.

Euler Finans - $197 millioner udnyttelse - Marts 2023

En fejl i Euler Finances smarte kontrakt tillod en angriber at indsætte sikkerhed og låne mod den uden at trække den oprindelige sikkerhed.

De brugte denne fejl til at udføre et flashlånsangreb, der gjorde det muligt for dem at hæve næsten 200 millioner dollars i ETH-baserede aktiver på et øjeblik.

Vi kan ikke standse denne blødning med flere revisioner. Euler Finances smarte kontrakt undergik 10 forskellige revisioner fra seks forskellige firmaer og blev stadig offer for et af årets største enkelthacks.

En del af problemet er, at revisioner er bagudvendte. De fokuserer på kendte sårbarheder, manglende nye udnyttelser.

Hackere er luskede og kreative - vi har brug for sikkerhedsforanstaltninger, der kan foregribe og reagere på helt nye tilgange.

AI kan være nyttig til at lukke sprækkerne i den smarte kontraktrevisionsproces.

In eksperimenter ved hjælp af OpenAI's GPT-4, OpenZeppelin var i stand til at bruge AI til at identificere sårbarheder i 20 ud af 28 udfordringer fra Ethernaut smart kontrakt hacking-spillet.

Men rigtige smarte kontrakter er langt mere komplekse, og mulighederne for at udnytte dem mere varierede end noget andet i et kontrolleret miljø som et spil.

Og hvad mere er - cat hæfte 70 % af sårbarhederne er ikke nær nok.

Hvis dit netværkssikkerhedsteam kun kunne stoppe 70 % af angrebene, ville de alle blive affyret.

Vi kommer til at vente mindst en generation til, før AI for alvor kan hjælpe med smart kontraktsikkerhed, og vi har brug for løsninger nu.

Disse yderligere foranstaltninger kan håndhæves på tegnebogsniveau, så transaktioner kontrolleres, før de sendes ud i kæden.

Sådanne foranstaltninger kunne omfatte adressering af inspektion for at forhindre useriøse aktører i at udføre kontrakter, smart kontrakthistorik, der sporer eventuelle kontraktændringer til deres oprindelse eller frontløb for at stoppe eventuelle mistænkelige transaktioner, før tokens overføres.

Mange smarte kontaktudnyttelser er afhængige af hastighed. Ved at bygge mere friktion i transaktioner kan vi gøre dem mere sikre og mindre attraktive for dårlige aktører.

2024 startede med krypto i den stærkeste position, den har indtaget i årevis, men sårbarheder i intelligente kontrakter har kastet en skygge over dette fremskridt.

Dette er et vendepunkt, hvor løftet om blockchain opfylder realiteterne i dets risici.

Nu er vores opgave at gøre alvor af sikkerheden i alle faser af blockchain-transaktioner.

---

Daniel Chong er administrerende direktør og medstifter af Harpy, kryptosikkerhedsplatformen. Mens han forfulgte en matematikuddannelse på Duke University, arbejdede Daniel som udviklings- og sikkerhedskonsulent for en række kryptovirksomheder, og førte prisvindende projekter til sejr på konferencer, herunder ETHDenver. Han er dedikeret til at stoppe truslen om kryptotyveri og gøre smarte kontrakter sikre og tilgængelige for alle.

 

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://dailyhodl.com/2024/02/26/get-smart-ending-cryptos-over-reliance-on-contract-audits/