Wie helfen DAO Smart Contract Audits bei der Stärkung der Sicherheit? PlatoBlockchain-Datenintelligenz. Vertikale Suche. Ai.

Wie helfen DAO Smart Contract Audits bei der Stärkung der Sicherheit?

Zeitstempel: 24. November 2022, 6:27 Uhr

Lesezeit: 6 Minuten

Die Schaffung von DAO ist einzigartig für web3, das die Kompetenz der Blockchain bei der Steuerung der Protokolle nutzt, ohne zentralisierte Einheiten einzubeziehen.  

DAO konzentriert sich stark auf zwei Facetten – Verschlüsselung und verteilte Speicherung. Dies verleiht ihnen die Fähigkeit, auf der Grundlage der kollektiven Entscheidung der Community-Mitglieder zu laufen.

Wie bei jedem Web3-Protokoll gibt es auch bei DAO-Protokollen Sicherheitsbedenken. 

Dieser Artikel zielt darauf ab, die zugrunde liegende Infrastruktur von DAO und Richtlinien für die Improvisation ihrer intelligenten Vertragssicherheit herauszustellen, um Angriffen standzuhalten.   

Zweck von DAO

Ethereum hat immer den Ruf, die allererste programmierbare Blockchain zu sein. Es spielt eine immense Rolle bei der Erzielung einer echten Dezentralisierung, indem es Entwicklern ermöglicht, mit Code zu spielen.

In dieser Hinsicht, Intelligente DAO-Verträge sollen fördern On-Chain-Governance

On-Chain-Governance ist ein Mittel, mit dem Änderungen an Blockchain-Projekten implementiert werden. Die Regeln sind in den Protokollen codiert, und Entwickler schlagen Änderungen durch Code-Updates vor. Die vorgeschlagene Änderung wird basierend auf den Stimmen der Community-Mitglieder/Teilnehmer durchgeführt.

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>On-Chain-Governance rechtfertigt die Tatsache, dass Communities die Blockchain rein betreiben. 

Genau wie alle anderen Smart Contracts sind DAO-Verträge grundsätzlich darauf ausgelegt, den Prozess zu automatisieren und Aktionen auszuführen, wenn die vordefinierten Bedingungen erfüllt sind. 

Betrachten Sie zur Veranschaulichung einen ERC-20-Token-Vertrag. Es wird basierend auf ERC-20-Standards mit Informationen wie Vertragsadresse, Token-Lieferung, Token-Name, Token-Übertragungsbedingungen usw. erstellt. 

Die Operation des Tokens wird ausgeführt, wenn die festgelegten Regeln erfüllt sind. In ähnlicher Weise ist der DAO-Vertrag so codiert, dass er die Arbeitsweise der Organisation vorschreibt, z. B. die Entscheidung über die Verteilung der Mittel gemäß den Abstimmungsvorschlägen der Mitglieder. 

Zum Beispiel hat DAO eingebaute Schatzkammern. Die Mittel aus diesen werden nach Zustimmung der Gruppe ausgegeben, und keine einzelne Behörde hat Zugriff, um einen Plan auszuführen. 

Die Abstimmungsvorschläge für kritische Entscheidungen im Zusammenhang mit dem Projekt stellen sicher, dass die Stimme jedes Teilnehmers gehört wird, was zu mehr Vertrauen und Transparenz bei Aktivitäten in der Kette führt. 

Die geltenden Rechte an den Aktivitäten der Organisationen variieren von Protokoll zu Protokoll, und es ist rein subjektiv, wie die DAO-Codierung durchgeführt wird. Daher ist es wichtig, auf die geltenden Rechte zu achten, die Benutzer auf das Protokoll haben, bevor sie sich bei DAOs anmelden. 

Schritte zum Einrichten von DAO Smart Contracts

Die Mechanik von On-Chain-Governance

On-Chain-Governance ist ein Mittel, mit dem Änderungen an Blockchain-Projekten implementiert werden. Die Regeln sind in den Protokollen codiert, und Entwickler schlagen Änderungen durch Code-Updates vor. Die vorgeschlagene Änderung wird basierend auf den Stimmen der Community-Mitglieder/Teilnehmer durchgeführt.

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>On-Chain-Governance wird durch eine Reihe von Verträgen ausgeführt – Token, Governor und Timelock . Lassen Sie uns die Rolle von jedem von ihnen herausfinden. 

Token: Token bestimmen das Stimmrecht der Community-Mitglieder, an denen sie teilnehmen On-Chain-Governance

On-Chain-Governance ist ein Mittel, mit dem Änderungen an Blockchain-Projekten implementiert werden. Die Regeln sind in den Protokollen codiert, und Entwickler schlagen Änderungen durch Code-Updates vor. Die vorgeschlagene Änderung wird basierend auf den Stimmen der Community-Mitglieder/Teilnehmer durchgeführt.

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>On-Chain-Governance. Der Token-Vertrag stellt sicher, dass das Gleichgewicht überprüft wird, um die Macht abzurufen und es den Teilnehmern zu ermöglichen, ihre Wahl zu Governance-Vorschlägen zu äußern. 

Gouverneur: Der Gouverneursvertrag ist mit Bedingungen für die Zuweisung von Macht an Token-Inhaber, die Art der akzeptablen Token, die Anzahl der für das Forum erforderlichen Stimmen und so weiter kodiert. Entwickler können jedoch mit den Funktionsspezifikationen codieren, wie die Verträge ausgeführt werden sollen. 

Außerdem enthält der Gouverneursvertrag auch Abstimmungsverzögerungen und Einzelheiten zu Abstimmungsvorschlägen im Kodex. Sie dient dazu, Weisungen zu erteilen, wie lange der Abstimmungsvorschlag den Teilnehmern zur Abstimmung offensteht. 

Zeitsperre: Der Timelock-Aspekt beinhaltet das AccessControl-Setup für die vorgeschlagene Rolle, die Executor-Rolle und die Admin-Rolle. Die Integration der Timelock-Komponente in die Governance-Systeme gibt den Teilnehmern die Freiheit, sich zu entfernen, falls sie mit der Entscheidung nicht einverstanden sind. 

Überblick über Sicherheitsdreads für DAOs. 

Die Abhängigkeit von DAOs von Smart Contracts macht sie für Governance-Voting und Treasury-Pflege verantwortlich. Und jedes dieser Elemente hat seine eigenen Sicherheitsbedenken; Lassen Sie uns sie unten abwickeln. 

Sicherheitsbedenken bei Smart Contracts

Spulen wir ein wenig zurück und erinnern uns an den bekannten „DAO-Untergang“. Die vorherrschende Ursache war der Fehler im DAO-Code. Der Hacker konnte die Schwachstelle ausnutzen und Gelder aus dem Vertrag abziehen, indem er Rekursive Aufrufe

Rekursiver Aufruf ist eine Bedingung, die auf sich selbst verweisen und sie in einer Schleife immer wieder aufrufen kann. Die rekursive Funktion verwendet Basisfall (if) und Induktionsfall (else). Wiedereintrittsangriffe werden durchgeführt, indem rekursive Aufrufe im Code ausgenutzt werden.

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>rekursive Aufrufe. 

Der Vertrag enthielt 12.7 Mio. Ether, von denen der Hacker 3.6 Mio. ETH stahl, indem er die Lücke im Vertrag ausnutzte.

Dieser Vorfall zeigt deutlich, dass mehr Erfahrung und Experimente mit der DAO-Sicherheit erforderlich sind. Obwohl DAO für seine Innovation hoch gelobt wird, richtete die Qualität des Codes größeren Schaden an.

Darüber hinaus sollte die Codierung der Smart Contracts vollständig transparent sein, damit später kein Feature zu einem Bug wird. 

Sicherheitsbedenken bei der Governance

Es gibt mehrere Möglichkeiten, wie Hacker in die Governance des Protokolls eindringen können. Zunächst einmal sind dezentrale Benachrichtigungen eine Möglichkeit, bei der ein Hacker, wenn er Benachrichtigungen blockieren kann, böswillige Vorschläge einführen kann, die von anderen DAO-Mitgliedern unbemerkt bleiben. 

Als nächstes folgt der Vorschlag, der Multicall-Transaktionen erfordert. Wenn der Vorschlag nicht von DAO überprüft oder geprüft wird, kann der Angreifer sie verwenden, um komplexe Ergebnisse zu erzielen. 

Falsche Schwellenwerte und unangemessene Zeitsperren führen zu der Möglichkeit schlechter Aktivitäten. Flash-Darlehen sind ein weiteres Problem für die Governance-Sicherheit. Angreifer können sich eine riesige Summe an Token ausleihen, die ihnen die Mehrheitsmacht verleihen, um einen Vorschlag durchzusetzen. 

Die Vorschläge mit böswilliger Absicht erheben a ernsthafte Sicherheitsbedenken über die im Protokoll implementierten Änderungen. AAVE und Compound haben in der Vergangenheit unter solchen Hacks gelitten. 

Sicherheitsbedenken bei der Ausführung

MakerDAO, das 2017 im Ethereum-Netzwerk eingeführt wurde, entwickelte sich gut. Bis es 2020 zu einem Marktcrash kam, als der Preis von Ether um bis zu 50 % fiel. Es war die wichtigste Sicherheit, die im MakerDAO verwendet wurde, und der Preissturz löste massive Liquidität aus.

MakerDAO wurde nicht entwickelt, um eine so große Liquidation zu bewältigen, die zu einem größeren finanziellen Verlust führte. Obwohl die Codierung hier stark war, lag der Fehler in der Ausführung des Liquidationsmechanismus. 

Von da an wurde auch die Ausführung des DAO-Mechanismus in die Liste der anderen bestehenden Sicherheitsbedenken aufgenommen. 

Checkliste für DAO Smart Contract Audits

Sicherheit ist der vorherrschende Aspekt in On-Chain-Governance

On-Chain-Governance ist ein Mittel, mit dem Änderungen an Blockchain-Projekten implementiert werden. Die Regeln sind in den Protokollen codiert, und Entwickler schlagen Änderungen durch Code-Updates vor. Die vorgeschlagene Änderung wird basierend auf den Stimmen der Community-Mitglieder/Teilnehmer durchgeführt.

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>On-Chain-Governance, um die Macht davor zu schützen, in schlechte Hände zu geraten. Lassen Sie uns also aus Sicherheitsgründen die Richtlinien für die Entwicklung robuster DAO-Verträge finden.

Low-Level-Anrufe: Aufrufe zu beliebigen Verträgen, die beliebige Daten abrufen, müssen sorgfältig behandelt werden. 

Die Handhabung von Low-Level-Anrufen ist schwierig, da dies die Chance für Reentrancy-Angriffsvektoren eröffnen kann. Daher empfiehlt es sich immer, die Erfolgsbedingung der Aufrufe zu überprüfen und dann die zurückgegebenen Daten zu verarbeiten. 

ETH-Bestand: Basierend auf den Prüfungsfeststellungen gab es viele Fälle, in denen die ETH in Governance-bezogenen Verträgen nicht ordnungsgemäß behandelt wurde. Es wird daher empfohlen, die Art und Weise des Sendens von ETH sicherzustellen, wenn die Governance-Verträge den Umgang mit ETH erfordern.

Eine weitere zu beachtende Vorsichtsmaßnahme ist die Verwendung von msg.value, die Stapelaufrufe zulässt. Es besteht die Möglichkeit, dass dieses Muster schief geht. 

Unterlassen Sie Flash-Darlehen-Exploits: Auf Flash-Darlehen verlassen sich Exploiter, die die Governance-Entscheidungen beeinflussen und einen Angriff starten wollen. Sie nehmen Flash-Darlehen und sichern sich die Governance-Stimmen durch Token-Bestände, um eine Governance-Entscheidung zu manipulieren. 

Daher können Sie es vermeiden, die Stimmrechte im aktuellen Block zu messen, da der Blitzkredit, der zur Erlangung von Governance-Macht aufgenommen wurde, das System gefährdet. 

Regelmäßige Updates: Auch wenn der Vertrag nicht unbedingt Mängel aufweisen sollte, sollten Sie sich immer auf dem Markt der Governance-Token umschauen und die Schwelle entsprechend anpassen. Andernfalls würde es böswilligen Akteuren ermöglichen, die Entscheidungen zu übernehmen.

Stellen Sie sicher, dass Sie bei der Migration und Aktualisierung des Governance-Systems auf Besonderheiten achten. Es gab Fälle wie den mit Uniswap. Seine Migration zu Gouverneur Bravo löste einen Vertragsfehler aus, der Regierungsentscheidungen vorübergehend stoppte. 

Verzögerungen mit Timelock-Vertrag einbeziehen: Zeitverzögerte Aktionen ermöglichen es der Community, die Änderungen am Protokoll zu überprüfen, bevor sie in Kraft treten. Diese Zeitverzögerungen können über Timelock-Verträge implementiert werden. 

Protokollbezogene Schwachstellen: Die zum Codieren eines Protokolls verwendete Software arbeitet mit einer bestimmten Geschäftslogik, die sich voneinander unterscheiden kann. Dies gilt auch für die Probleme, die beim Ausführen von Änderungen in diesem System auftreten. 

Tatsächlich hatte das Compound-Protokoll ein Problem aufgrund der Genehmigung eines manipulativen Community-Vorschlags. Daher ist es immer gut, den Kodex von Kollegen und unabhängigen Parteien gründlich überprüfen zu lassen, um die Stärke und Solidität des Vertrags sicherzustellen.

QuillAudits Eminenz in DAO Smart Contract Auditing

In der heutigen Zeit, in der ein System rein selbstfunktionierend sein soll, finden viele Projekte ihren Weg zur Einbettung On-Chain-Governance

On-Chain-Governance ist ein Mittel, mit dem Änderungen an Blockchain-Projekten implementiert werden. Die Regeln sind in den Protokollen codiert, und Entwickler schlagen Änderungen durch Code-Updates vor. Die vorgeschlagene Änderung wird basierend auf den Stimmen der Community-Mitglieder/Teilnehmer durchgeführt.

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>On-Chain-Governance. Das Feld entwickelt sich also schnell und gedeiht gemäß den Bedürfnissen der Gemeinschaft. 

Die Angriffe werden auch immer komplizierter, was sowohl herausfordernd als auch teuer ist. Daher ist es notwendig sicherzustellen, dass die Prozesse vorhanden sind und der Kodex genau befolgt wird. QuillAudits führt umfangreiche Studien durch und prüft den Code, um potenzielle Fallstricke auszuschließen und das Projekt vor böswilligen Aktivitäten zu schützen.

16 Views

Zeitstempel:

Mehr von Quillhash