Πώς βοηθούν οι έλεγχοι έξυπνων συμβολαίων DAO στην ενίσχυση της ασφάλειας;

Αναδημοσίευση από τον Πλάτωνα

Ακολουθούν: 0

Ώρα ανάγνωσης: 6 πρακτικά

Η δημιουργία του DAO είναι μοναδική για το web3, το οποίο αξιοποιεί την ικανότητα του blockchain στη διαχείριση των πρωτοκόλλων χωρίς τη συμμετοχή κεντρικών οντοτήτων.

Το DAO επικεντρώνεται σε μεγάλο βαθμό σε δύο πτυχές - κρυπτογράφηση και κατανεμημένη αποθήκευση. Αυτό τους δίνει τις δυνατότητες να λειτουργούν με βάση τη συλλογική απόφαση των μελών της κοινότητας.

Όπως συμβαίνει με οποιοδήποτε πρωτόκολλο Web3, οι ανησυχίες για την ασφάλεια εξαρτώνται από τα πρωτόκολλα DAO.

Αυτό το άρθρο στοχεύει να αναδείξει τη βασική υποδομή του DAO και οδηγίες για τον αυτοσχεδιασμό της ασφάλειας των έξυπνων συμβολαίων τους για να αντέχουν σε επιθέσεις.

Σκοπός ΔΑΟ

Το Ethereum έχει πάντα τα εύσημα ως το πρώτο προγραμματιζόμενο blockchain. Έχει τεράστιο ρόλο στην πραγματική αποκέντρωση, επιτρέποντας στους προγραμματιστές να παίζουν με κώδικα.

Με αυτο το ΣΕΒΑΣΜΟ, Έξυπνα συμβόλαια DAO έχουν σχεδιαστεί για να προωθούν Διακυβέρνηση στην αλυσίδα

Η διακυβέρνηση on-chain είναι ένα μέσο με το οποίο εφαρμόζονται αλλαγές σε έργα blockchain. Οι κανόνες κωδικοποιούνται στα πρωτόκολλα και οι προγραμματιστές προτείνουν αλλαγές μέσω ενημερώσεων κώδικα. Η προτεινόμενη αλλαγή εκτελείται με βάση τις ψήφους των μελών της κοινότητας/συμμετεχόντων.

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>διακυβέρνηση στην αλυσίδα που δικαιολογεί το γεγονός ότι οι κοινότητες διαχειρίζονται καθαρά το blockchain.

Όπως κάθε άλλο έξυπνο συμβόλαιο, τα συμβόλαια DAO έχουν βασικά σχεδιαστεί για να αυτοματοποιούν τη διαδικασία και να εκτελούν ενέργειες όταν πληρούνται οι προκαθορισμένες προϋποθέσεις.

Για να το δείξετε με ένα παράδειγμα, εξετάστε ένα συμβόλαιο κουπονιού ERC-20. Δημιουργείται βάσει των προτύπων ERC-20 με πληροφορίες όπως διεύθυνση συμβολαίου, προμήθεια διακριτικού, όνομα μάρκας, συνθήκες μεταφοράς κουπονιών κ.λπ.

Η λειτουργία του διακριτικού εκτελείται όταν πληρούνται οι καθορισμένοι κανόνες. Ομοίως, η σύμβαση DAO είναι κωδικοποιημένη για να υπαγορεύει τη λειτουργία του οργανισμού, όπως η απόφαση για τη διανομή κεφαλαίων σύμφωνα με τις προτάσεις ψηφοφορίας των μελών.

Για παράδειγμα, η DAO έχει ενσωματωμένα ταμεία. Τα κεφάλαια από αυτά δαπανώνται μετά την έγκριση του ομίλου και καμία αρχή δεν έχει πρόσβαση για την εκτέλεση οποιουδήποτε σχεδίου.

Οι προτάσεις ψηφοφορίας για τη λήψη κρίσιμων αποφάσεων σχετικά με το έργο διασφαλίζουν ότι η φωνή κάθε συμμετέχοντα ακούγεται, οδηγώντας σε καλύτερη εμπιστοσύνη και διαφάνεια στις δραστηριότητες της αλυσίδας.

Τα δικαιώματα που διέπουν τις δραστηριότητες των οργανισμών διαφέρουν από πρωτόκολλο σε πρωτόκολλο και είναι καθαρά υποκειμενικά στον τρόπο με τον οποίο γίνεται η κωδικοποίηση DAO. Επομένως, είναι σημαντικό να δώσετε προσοχή στα δικαιώματα που διέπουν οι χρήστες στο πρωτόκολλο πριν εγγραφούν σε οποιοδήποτε DAO.

Βήματα που εμπλέκονται στη δημιουργία έξυπνων συμβολαίων DAO

Οι μηχανικοί του Διακυβέρνηση στην αλυσίδα

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>η διακυβέρνηση στην αλυσίδα εκτελούνται μέσω ενός συνόλου συμβάσεων – διακριτικό, κυβερνήτης και χρονική κλειδαριά . Ας μάθουμε τον ρόλο του καθενός από αυτούς.

Διακριτικό: Τα διακριτικά καθορίζουν τη δύναμη ψήφου των μελών της κοινότητας στα οποία θα συμμετέχουν Διακυβέρνηση στην αλυσίδα

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>διακυβέρνηση στην αλυσίδα. Το συμβολικό συμβόλαιο διασφαλίζει ότι η ισορροπία επαληθεύεται για την ανάκτηση της δύναμης και τη δυνατότητα των συμμετεχόντων να εκφράσουν την επιλογή τους σχετικά με προτάσεις διακυβέρνησης.

Κυβερνήτης: Το συμβόλαιο του κυβερνήτη κωδικοποιείται με όρους για την κατανομή ισχύος στους κατόχους κουπόνι, τον τύπο των αποδεκτών κουπονιών, τον υπολογισμό στον αριθμό των ψήφων που απαιτούνται για το φόρουμ και ούτω καθεξής. Ωστόσο, οι προγραμματιστές μπορούν να κωδικοποιήσουν με τα χαρακτηριστικά γνωρίσματα σχετικά με τον τρόπο απόδοσης των συμβάσεων.

Εξάλλου, η σύμβαση του κυβερνήτη περιλαμβάνει επίσης καθυστέρηση ψηφοφορίας και λεπτομέρειες πρότασης ψηφοφορίας στον κώδικα. Εξυπηρετεί τον σκοπό της παροχής οδηγιών σχετικά με το χρονικό διάστημα που η πρόταση ψηφοφορίας είναι ανοιχτή για ψηφοφορία από τους συμμετέχοντες.

Χρονοκλείδωμα: Η πτυχή Timelock περιλαμβάνει τη ρύθμιση του AcessControl για τον προτεινόμενο ρόλο, τον ρόλο του εκτελεστή και τον ρόλο διαχειριστή. Η ενσωμάτωση του στοιχείου timelock με τα συστήματα διακυβέρνησης δίνει την ελευθερία στους συμμετέχοντες να απομακρυνθούν σε περίπτωση διαφωνίας με την απόφαση.

Προβολή υψηλού επιπέδου σχετικά με τους φόβους ασφαλείας για DAO.

Η εξάρτηση των DAO σε έξυπνα συμβόλαια τους καθιστά υπεύθυνους για την ψηφοφορία διακυβέρνησης και τη διατήρηση του ταμείου. Και καθένα από αυτά τα στοιχεία έχει τις δικές του ανησυχίες για την ασφάλεια. ας τα ξετυλίξουμε παρακάτω.

Ανησυχίες για την ασφάλεια στο έξυπνο συμβόλαιο

Ας γυρίσουμε λίγο προς τα πίσω και ας θυμηθούμε τη γνωστή «κατάρρευση του DAO». Η κυρίαρχη αιτία ήταν το σφάλμα στον κώδικα DAO. Ο χάκερ μπόρεσε να εκμεταλλευτεί την ευπάθεια και να αποστραγγίσει χρήματα από τη σύμβαση κάνοντας Αναδρομικές κλήσεις

Η αναδρομική κλήση είναι μια συνθήκη που μπορεί να αναφέρεται στον εαυτό της και να τις καλεί ξανά και ξανά σε έναν βρόχο. Η αναδρομική συνάρτηση χρησιμοποιεί περίπτωση βάσης (αν) και επαγωγική περίπτωση (άλλο). Οι επιθέσεις επανεισόδου εκτελούνται με εκμετάλλευση αναδρομικών κλήσεων στον κώδικα.

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>αναδρομικές κλήσεις.

Το συμβόλαιο κατείχε 12.7 εκατομμύρια αιθέρας, εκ των οποίων ο χάκερ έκλεψε 3.6 εκατομμύρια ETH αξιοποιώντας το κενό στη σύμβαση.

Αυτό το περιστατικό απεικονίζει ξεκάθαρα την ανάγκη για περισσότερη εμπειρία και πειραματισμό με την ασφάλεια DAO. Αν και το DAO επαινείται πολύ για την καινοτομία του, η ποιότητα του κώδικα προκάλεσε μεγαλύτερη ζημιά.

Επιπλέον, η κωδικοποίηση των έξυπνων συμβολαίων θα πρέπει να είναι απολύτως διαφανής για να διασφαλιστεί ότι κανένα χαρακτηριστικό δεν θα μετατραπεί σε σφάλμα αργότερα.

Ανησυχίες για την ασφάλεια στη διακυβέρνηση

Υπάρχουν πολλοί τρόποι με τους οποίους οι χάκερ μπορούν να εισβάλουν στη διακυβέρνηση του πρωτοκόλλου. Αρχικά, οι αποκεντρωμένες ειδοποιήσεις είναι ένας τρόπος όπου, εάν ένας χάκερ μπορεί να αποκλείσει τις ειδοποιήσεις, μπορεί να εισάγει κακόβουλες προτάσεις που περνούν απαρατήρητες από άλλα μέλη του DAO.

Ακολουθεί η πρόταση που απαιτεί συναλλαγές πολλαπλών κλήσεων. Εάν η πρόταση δεν ελεγχθεί ή δεν ελεγχθεί από το DAO, ο εισβολέας μπορεί να τις χρησιμοποιήσει για να παράγει σύνθετα αποτελέσματα.

Τα λανθασμένα όρια και τα ακατάλληλα χρονικά κλείδωμα οδηγούν στην πιθανότητα κακών δραστηριοτήτων. Τα δάνεια φλας είναι ένα άλλο μέλημα για την ασφάλεια της διακυβέρνησης. Οι επιτιθέμενοι μπορούν να δανειστούν ένα τεράστιο ποσό από μάρκες που τους προικίζει με την πλειοψηφία για να προωθήσουν μια πρόταση.

Οι προτάσεις με κακόβουλες προθέσεις εγείρουν α σοβαρές ανησυχίες για την ασφάλεια σχετικά με τις αλλαγές που εφαρμόστηκαν στο πρωτόκολλο. Η AAVE και η Compound έχουν υποφέρει από αυτούς τους τύπους hacks στο παρελθόν.

Ανησυχίες ασφαλείας κατά την εκτέλεση

Το MakerDAO, που κυκλοφόρησε στο δίκτυο Ethereum το 2017, τα πήγαινε καλά. Μέχρι που σημειώθηκε ένα κραχ της αγοράς το 2020, όταν η τιμή του Ether έπεσε έως και 50%. Ήταν η πιο σημαντική ασφάλεια που χρησιμοποιήθηκε στο MakerDAO και το κραχ των τιμών προκάλεσε τεράστια ρευστότητα.

Το MakerDAO δεν σχεδιάστηκε για να χειριστεί μια τόσο τεράστια εκκαθάριση που είχε ως αποτέλεσμα μεγαλύτερη οικονομική ζημία. Αν και η κωδικοποίηση ήταν ισχυρή εδώ, το σφάλμα ήταν στην εκτέλεση του μηχανισμού εκκαθάρισης.

Από τότε, η εκτέλεση του μηχανισμού DAO προστέθηκε επίσης στη λίστα άλλων υπαρχόντων προβλημάτων ασφαλείας.

Λίστα ελέγχου για ελέγχους έξυπνων συμβολαίων DAO

Η ασφάλεια είναι η κυρίαρχη πτυχή Διακυβέρνηση στην αλυσίδα

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>διακυβέρνηση στην αλυσίδα έτσι ώστε να προστατεύεται η εξουσία από το να πέσει σε κακά χέρια. Έτσι, από άποψη ασφάλειας, ας βρούμε τις κατευθυντήριες γραμμές για την ανάπτυξη ισχυρών συμβάσεων DAO.

Κλήσεις χαμηλού επιπέδου: Οι κλήσεις για αυθαίρετες συμβάσεις που συλλέγουν αυθαίρετα δεδομένα πρέπει να αντιμετωπίζονται προσεκτικά.

Ο χειρισμός κλήσεων χαμηλού επιπέδου είναι δύσκολος επειδή μπορεί να ανοίξει την ευκαιρία για φορείς επιθέσεων επανεισόδου. Επομένως, είναι πάντα καλή πρακτική να επαληθεύετε την κατάσταση επιτυχίας των κλήσεων και στη συνέχεια να χειρίζεστε τα επιστρεφόμενα δεδομένα.

Συμμετοχές ETH: Με βάση τα ευρήματα του ελέγχου, υπήρξαν πολλές περιπτώσεις όπου το ETH δεν αντιμετωπίζεται σωστά σε συμβάσεις που σχετίζονται με τη διακυβέρνηση. Έτσι, προτείνεται να εξασφαλιστεί ο τρόπος αποστολής ETH όταν τα συμβόλαια διακυβέρνησης απαιτούν χειρισμό ETH.

Μια άλλη προφύλαξη που πρέπει να τηρείτε είναι όταν χρησιμοποιείτε το msg.value που επιτρέπει ομαδικές κλήσεις. Οι πιθανότητες είναι ότι αυτό το μοτίβο μπορεί να πάει στραβά.

Αποφύγετε τις εκμεταλλεύσεις Flash-loan: Τα φλας-δάνεια βασίζονται από εκμεταλλευτές που θέλουν να επηρεάσουν τις αποφάσεις διακυβέρνησης και να εξαπολύσουν επίθεση. Λαμβάνουν έκτακτα δάνεια και εξασφαλίζουν τις ψήφους διακυβέρνησης μέσω συμβολικών συμμετοχών για να χειραγωγήσουν μια απόφαση διακυβέρνησης.

Επομένως, μπορείτε να αποφύγετε τη μέτρηση της δύναμης ψήφου στο τρέχον μπλοκ, καθώς το δάνειο που λαμβάνεται για την απόκτηση εξουσίας διακυβέρνησης θέτει το σύστημα σε κίνδυνο.

Τακτικές ενημερώσεις: Ακόμα κι αν δεν υπάρχουν απαραίτητα ελαττώματα στο συμβόλαιο, θα πρέπει πάντα να ελέγχετε την αγορά των διακριτικών διακυβέρνησης και να προσαρμόζετε ανάλογα το όριο. Διαφορετικά, θα επέτρεπε σε κακόβουλους παράγοντες να αναλάβουν τις αποφάσεις.

Βεβαιωθείτε ότι δίνετε προσοχή στις ιδιαιτερότητες κατά τη μετανάστευση και την αναβάθμιση του συστήματος διακυβέρνησης. Υπήρξαν περιπτώσεις όπως αυτή που συνέβη με το Uniswap. Η μετεγκατάστασή του στον Κυβερνήτη Μπράβο ξεκίνησε ένα ελάττωμα του συμβολαίου που σταμάτησε προσωρινά τις αποφάσεις διακυβέρνησης.

Συμπεριλάβετε καθυστερήσεις χρησιμοποιώντας το συμβόλαιο χρονικού κλειδώματος: Οι ενέργειες με χρονική καθυστέρηση επιτρέπουν στην κοινότητα να επανεξετάσει τις αλλαγές στο πρωτόκολλο πριν τεθούν σε ισχύ. Αυτές οι χρονικές καθυστερήσεις μπορούν να υλοποιηθούν μέσω συμβάσεων Timelock.

Ευπάθειες που σχετίζονται με το πρωτόκολλο: Το λογισμικό που χρησιμοποιείται για την κωδικοποίηση ενός πρωτοκόλλου λειτουργεί με συγκεκριμένη επιχειρηματική λογική που μπορεί να διαφέρει μεταξύ τους. Το ίδιο και τα ζητήματα που προκύπτουν κατά την εκτέλεση αλλαγών σε αυτό το σύστημα.

Στην πραγματικότητα, το πρωτόκολλο Compound υπέστη πρόβλημα λόγω της έγκρισης μιας χειραγώγησης κοινοτικής πρότασης. Επομένως, είναι πάντα καλό να γίνεται ενδελεχής επανεξέταση του κώδικα από ομοτίμους και ανεξάρτητα μέρη για να διασφαλιστεί η ισχύς και η ευρωστία της σύμβασης.

QuillAudits Eminence In DAO Smart Contract Auditing

Στη σημερινή εποχή, προκειμένου ένα σύστημα να είναι καθαρά αυτόνομο, πολλά έργα βρίσκουν τον τρόπο να ενσωματωθούν Διακυβέρνηση στην αλυσίδα

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>διακυβέρνηση στην αλυσίδα. Έτσι, το πεδίο εξελίσσεται γρήγορα και ανθίζει σύμφωνα με τις ανάγκες της κοινότητάς τους.

Οι επιθέσεις γίνονται επίσης περίπλοκες, κάτι που είναι τόσο δύσκολο όσο και βαρύ κόστος. Ως εκ τούτου, είναι απαραίτητο να διασφαλιστεί ότι οι διαδικασίες είναι σε ισχύ και ότι ο κώδικας ακολουθείται στενά. QuillAudits εκτελεί εκτεταμένη μελέτη και ελέγχει τον κώδικα για να αποκλείσει τυχόν πιθανές παγίδες και να προστατεύσει το έργο από κακόβουλες δραστηριότητες.

16 Προβολές

Σφραγίδα ώρας: Νοέμβριος 24, 2022Νοέμβριος 24, 2022