Hvordan hjælper DAO Smart Contract Audits med at styrke sikkerheden?

Læsetid: 6 minutter

Oprettelsen af ​​DAO er unik for web3, som udnytter blockchains kompetence til at styre protokollerne uden at involvere centraliserede enheder.  

DAO er stærkt centreret omkring to facetter - kryptering og distribueret lagring. Dette giver dem mulighed for at køre baseret på fælles beslutninger fra fællesskabsmedlemmer.

Som med enhver Web3-protokol hænger sikkerhedsproblemer også rundt om DAO-protokoller. 

Denne artikel har til formål at bringe den underliggende infrastruktur af DAO frem og retningslinjer for at improvisere deres smarte kontraktsikkerhed for at modstå angreb.   

Formålet med DAO

Ethereum har altid æren for at være den første programmerbare blockchain nogensinde. Det har en enorm rolle i at bringe ægte decentralisering ved at tillade udviklere at lege med kode.

I den henseende DAO smarte kontrakter er designet til at fostre On-chain governance

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]">styring på kæden, der retfærdiggør det faktum, at fællesskaber udelukkende driver blockchain. 

Ligesom alle andre smarte kontrakter er DAO-kontrakter grundlæggende designet til at automatisere processen og udføre handlinger, når de foruddefinerede betingelser er opfyldt. 

For at illustrere med et eksempel kan du overveje en ERC-20 token-kontrakt. Det er oprettet baseret på ERC-20-standarder med oplysninger som kontraktadresse, token-levering, token-navn, token-overførselsbetingelser osv. 

Funktionen af ​​tokenet udføres, når de fastsatte regler er opfyldt. På samme måde er DAO-kontrakten kodet til at diktere organisationens arbejde, såsom beslutning om fondsfordelingen i henhold til medlemmernes stemmeforslag. 

For eksempel har DAO indbyggede statskasser. Midlerne fra disse bruges efter koncernens godkendelse, og ingen enkelt myndighed har adgang til at eksekvere nogen plan. 

Afstemningsforslagene til at træffe kritiske beslutninger vedrørende projektet sikrer, at hver deltagers stemme bliver hørt, hvilket fører til bedre tillid og gennemsigtighed i on-chain-aktiviteter. 

De styrende rettigheder på organisationernes aktiviteter varierer fra protokol til protokol, og det er rent subjektivt, hvordan DAO-kodning foregår. Så det er vigtigt at være opmærksom på de styrende rettigheder, brugere har på protokollen, før de tilmelder sig nogen DAO'er. 

Trin involveret i opsætning af DAO smarte kontrakter

Mekanikken i On-chain governance

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]">styring på kæden udføres gennem et sæt kontrakter – token, regulator og timelock . Lad os finde ud af hver af dems rolle. 

Token: Tokens bestemmer fællesskabsmedlemmernes stemmestyrke til at deltage i On-chain governance

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]">styring i kæden. Token-kontrakten sikrer, at balancen er verificeret for at hente magten og give deltagerne mulighed for at udtrykke deres valg om styringsforslag. 

Guvernør: Guvernørkontrakten er kodet med betingelser for tildeling af magt til token-indehavere, typen af ​​tokens, der er acceptable, optælling af antallet af stemmer, der kræves til forummet og så videre. Udviklere kan dog kode med funktionsspecifikationerne om, hvordan de ønsker, at kontrakterne skal fungere. 

Desuden inkluderer guvernørkontrakten også afstemningsforsinkelse og afstemningsforslagsspecifikationer i kodeksen. Det tjener det formål at give instruktioner om, hvor længe afstemningsforslaget er åbent for deltagerne til at stemme. 

Timelock: Timelock-aspektet involverer AcessControl-opsætningen for den foreslåede rolle, udførerrolle og administratorrolle. Integrering af timelock-komponenten med styringssystemerne giver deltagerne frihed til at gå væk i tilfælde af uenighed med beslutningen. 

Overblik over sikkerhedsdreads for DAO'er på højt niveau. 

DAOs afhængighed af smarte kontrakter holder dem ansvarlige for afstemninger om ledelse og vedligeholdelse af finansministeriet. Og hvert af disse elementer har sine egne sikkerhedsproblemer; lad os slappe af dem nedenfor. 

Sikkerhedsproblemer i smart kontrakt

Lad os spole lidt tilbage og huske den velkendte 'DAO-undergang'. Den overvejende årsag var fejlen i DAO-koden. Hackeren var i stand til at udnytte sårbarheden og dræne midler fra kontrakten ved at lave Rekursive opkald

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]">rekursive opkald. 

Kontrakten indeholdt 12.7 M Ether, hvoraf hackeren stjal 3.6 M ETH ved at udnytte smuthullet i kontrakten.

Denne hændelse viser tydeligt behovet for mere erfaring og eksperimentering med DAO-sikkerhed. Selvom DAO er meget rost for sin innovation, forårsagede kvaliteten af ​​koden større skade.

Desuden bør kodningen af ​​de smarte kontrakter være fuldstændig gennemsigtig for at sikre, at ingen funktion bliver til en fejl senere. 

Sikkerhedsbekymringer vedrørende regeringsførelse

Der er flere måder, hvorpå hackere kan trænge ind i protokollens styring. Til at starte med er decentraliserede meddelelser én måde, hvor en hacker kan blokere meddelelser, kan introducere ondsindede forslag, der går ubemærket hen af ​​andre DAO-medlemmer. 

Dernæst er forslaget, der kræver multiopkaldstransaktioner. Hvis forslaget ikke bliver gennemgået eller revideret af DAO, kan angriberen bruge dem til at producere komplekse resultater. 

Forkerte tærskler og uhensigtsmæssige tidslåse fører til muligheden for dårlige aktiviteter. Flash-lån er en anden bekymring for styringssikkerhed. Angribere kan låne en enorm sum af tokens, der giver dem flertalsmagten til at presse et forslag igennem. 

Forslagene med ondsindede hensigter rejser en alvorlige sikkerhedsproblemer over ændringerne implementeret i protokollen. AAVE og Compound har tidligere lidt under disse typer hacks. 

Sikkerhedsbekymringer ved udførelse

MakerDAO, der blev lanceret i Ethereum-netværket i 2017, klarede sig godt. Indtil et markedskrak ramte i 2020, hvor prisen på Ether faldt så lavt som 50 %. Det var den vigtigste sikkerhed, der blev brugt i MakerDAO, og kurskrakket udløste massiv likviditet.

MakerDAO var ikke designet til at håndtere en så stor likvidation, der resulterede i et større økonomisk tab. Selvom kodningen var stærk her, var fejlen i udførelsen af ​​likvidationsmekanismen. 

Fra da blev udførelsen af ​​DAO-mekanismen også tilføjet til listen over andre eksisterende sikkerhedsproblemer. 

Tjekliste til DAO smart kontraktrevision

Sikkerhed er det fremherskende aspekt i On-chain governance

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]">styring på kæden for at beskytte magten mod at falde i dårlige hænder. Så fra et sikkerhedssynspunkt, lad os finde retningslinjerne for udvikling af robuste DAO-kontrakter.

Opkald på lavt niveau: Opkald til vilkårlige kontrakter, der henter vilkårlige data, skal behandles omhyggeligt. 

Det er vanskeligt at håndtere opkald på lavt niveau, fordi det kan åbne mulighed for genindtræden af ​​angrebsvektorer. Så det er altid god praksis at verificere succestilstanden for opkaldene og derefter håndtere de returnerede data. 

ETH beholdninger: Baseret på revisionsresultaterne har der været mange tilfælde, hvor ETH ikke håndteres korrekt i styringsrelaterede kontrakter. Så det foreslås at sikre måden at sende ETH på, når styringskontrakterne kræver håndtering af ETH.

En anden forholdsregel at observere er, mens du bruger msg.value, der tillader batch-opkald. Chancerne er, at dette mønster kan gå galt. 

Afstå fra udnyttelse af Flash-lån: Flash-lån er påberåbt af udbyttere, der ønsker at påvirke regeringsbeslutningerne og iværksætte et angreb. De tager flashlån og sikrer regeringstemmerne gennem tokenbeholdninger for at manipulere en regeringsbeslutning. 

Derfor kan du undgå at måle stemmestyrken ved den aktuelle blok, da flashlånet, der tages for at opnå styringsmagt, sætter systemet i fare. 

Regelmæssige opdateringer: Selvom der ikke nødvendigvis er nogen fejl i kontrakten, bør du altid tjekke markedet for governance-tokens og justere tærsklen i overensstemmelse hermed. Ellers ville det give ondsindede aktører mulighed for at overtage beslutningerne.

Sørg for, at du er opmærksom på detaljerne, mens du migrerer og opgraderer styringssystemet. Der har været tilfælde som det, der skete med Uniswap. Dens migrering til guvernør Bravo initialiserede en kontraktfejl, der midlertidigt stoppede beslutninger om ledelse. 

Inkluder forsinkelser ved brug af timelock-kontrakt: Tidsforsinkede handlinger gør det muligt for samfundet at gennemgå ændringerne af protokollen, før de træder i kraft. Disse tidsforsinkelser kan implementeres via Timelock-kontrakter. 

Protokolrelaterede sårbarheder: Softwaren, der bruges til at kode en protokol, fungerer på specifik forretningslogik, der kan variere fra hinanden. Det samme gør de problemer, der opstår, når du udfører ændringer i det pågældende system. 

Faktisk led Compound-protokollen et problem på grund af godkendelsen af ​​et manipulerende fællesskabsforslag. Derfor er det altid godt at få en grundig gennemgang af kodekset af peers og uafhængige parter for at sikre kontraktens styrke og forsvarlighed.

QuillAudits Eminence In DAO Smart Contract Auditing

I nutidens tid er mange projekter ved at finde ud af, hvordan de skal indlejres, for at et system skal være rent selvfungerende On-chain governance

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]">styring i kæden. Så feltet udvikler sig hurtigt og blomstrer i henhold til deres samfundsbehov. 

Angrebene bliver også komplicerede, hvilket både er udfordrende og koster tungt. Derfor er det nødvendigt at sikre, at processerne er på plads, og at koden følges nøje. QuillAudits udfører omfattende undersøgelser og auditerer koden for at udelukke potentielle faldgruber og sikre projektet mod ondsindede aktiviteter.

16 Views