Saage targaks – lõpetage krüpto liigne sõltuvus lepingute audititest – The Daily Hodl

HodlXi külalispostitus  Esitage oma postitus

 

Eelmine aasta oli krüpto rullnokk. Oli agressiivseid regulatiivmeetmeid, kõrgetasemelisi kriminaalkorras süüdimõistvaid kohtuotsuseid ja šokeerivaid vargusi.

Ja veel - summa krüptokursuse turg suurtähtede kasutamine tõusis üle $ 1.4 triljonit 2023. aastal aastane kasv üle 70.7%.

Kaasa löövad uued kasutajad ja institutsioonid.

Kogu 2023. aasta jooksul kasvas krüptoinvestorite arv 2.8% kuus ja Goldman Sachs on nimetanud seda aastaks krüpto institutsionaliseeriti.

Sõnnidel ja karudel on mõlemal õigus - turul on praegu tohutult võimalusi, aga ka murettekitav risk.

Risk ei tulene aga ainult turu volatiilsusest ega isegi börsijuhtide jultunud kuritegelikust tegevusest. - iSee on seotud krüptotehingute mehhanismidega.

Nutikad kontaktid ise on häkkerite jaoks haavatav ja ahvatlev sihtmärk ning meie meetodid nende turvamiseks veavad meid alt.

Siin on kiire aabits. Nutikas leping on isetäituv leping, mida kasutatakse plokiahela tehingutes. Tehingu tingimused kirjutatakse otse koodi ridadele.

Need lepingud on mahlane häkkimise sihtmärk - thei, kasutatakse suurte summade ja suure väärtusega žetoonide käsitlemiseks.

Kui saate lepinguga manipuleerida, saate žetoone suunata nii, nagu soovite.

Plokiahela üksused kaitsevad end nutikate lepingute audititega, mille käigus sõltumatud ülevaatajad kontrollivad nutikat lepingut disainivigade, turvaaukude, tõhususe ja muude kodeerimisprobleemide suhtes.

Audiitorid koostavad avaliku aruande, milles loetletakse kõik leitud probleemid ja nende leevendamiseks võetud meetmed.

Siiani nii läbipaistev - aauditid aitavad plokiahela ettevõtetel tagada, et nende nutikad lepingud on turvalised ja aitavad investoritel teha teadlikke otsuseid.

Protsess pole aga kaugeltki lollikindel. Nutikate lepingute kontrollimiseks ei ole laialdaselt kasutusele võetud standardeid ja ükski audit ei saa tõeliselt tagada, et nutikas leping on vigadeta.

Selle tulemusena libiseb läbi pragude palju turvaauke, sageli koos laastavad tulemused.

Siin on mõned näited ainuüksi aastast 2023.

LendHub - 6 miljoni dollari ärakasutamine - jaanuar 2023

LendHub jättis värskenduse ajal oma nutikasse lepingusse IBSV märgi amortiseerunud versiooni. Lepingus olid aktiivsed nii vana kui ka uus versioon sama hinnaga.

Ründajad suutsid osta vana versiooni ja vahetada uue vastu, teenides sellega 6 miljonit dollarit lisaväärtust.

BonqDAO - 120 miljoni dollari ärakasutamine - veebruar 2023

Ründajad suutsid manipuleerida BonqDAO nutika lepingu „hinna värskendamise” funktsiooniga, võimaldades neil muuta AllianceBlocki ALBT-märgi hinda.

Seejärel vermisid ja vahetasid häkkerid suures koguses žetoone, mis viis lõpuks ALBT ulatusliku devalveerimise ja likvideerimiseni.

Euleri rahandus - 197 miljoni dollari ärakasutamine - märtsil 2023

Viga Euler Finance'i nutikas lepingus võimaldas ründajal deponeerida tagatist ja laenata selle vastu ilma esialgset tagatist võtmata.

Nad kasutasid seda viga välklaenu rünnaku läbiviimiseks, mis võimaldas neil hetkega välja võtta peaaegu 200 miljoni dollari väärtuses ETH-põhiseid varasid.

Me ei saa seda verejooksu peatada rohkemate audititega. Euler Finance'i nutikas leping läbis 10 erinevat auditit kuuest erinevast ettevõttest ja langes siiski aasta ühe suurima üksiku häkkimise ohvriks.

Osa probleemist on see, et auditid on tagurpidi suunatud. Nad keskenduvad teadaolevatele haavatavustele, puuduvatele uudsetele ärakasutamisvõimalustele.

Häkkerid on kavalad ja loovad - vajame turvameetmeid, mis suudavad ette näha täiesti uusi lähenemisviise ja neile reageerida.

AI võib olla kasulik nutika lepingu auditiprotsessi pragude tihendamiseks.

In katsed kasutades OpenAI GPT-4, OpenZeppelin suutis kasutada tehisintellekti turvaaukude tuvastamiseks 20-st Ethernauti nutika lepingu häkkimismängu väljakutsest 28-s.

Tõelised nutikad lepingud on aga palju keerukamad ja nende kasutamise võimalused mitmekesisemad kui mis tahes muus kontrollitud keskkonnas, näiteks mängus.

Ja mis veel - c70% haavatavustest ei piisa.

Kui teie võrguturvameeskond suudaks peatada vaid 70% rünnakutest, vallandataks need kõik.

Ootame vähemalt veel ühe põlvkonna, enne kui AI saab arukate lepingute turvalisusele tõsiselt kaasa aidata, ja vajame praegu lahendusi.

Neid lisameetmeid saab jõustada rahakoti tasemel, nii et tehinguid kontrollitakse enne ahelasse saatmist.

Sellised meetmed võivad hõlmata kontrollimist, et takistada petturitel lepinguid täitmast, arukat lepingute ajalugu, mis jälgib lepingumuudatuste päritolu, või ettevõtmist, et peatada kõik kahtlased tehingud enne žetoonide ülekandmist.

Paljud nutika kontakti ärakasutamine sõltuvad kiirusest. Tehes tehingutesse rohkem hõõrdumist, saame muuta need turvalisemaks ja halbade tegijate jaoks vähem atraktiivseks.

2024. aasta sai alguse krüptoga, mis oli viimaste aastate tugevaimal positsioonil, kuid nutikate lepingute haavatavused on heitnud selle arengu varju.

See on pöördepunkt, kus plokiahela lubadus vastab selle riskide tegelikkusele.

Nüüd on meie ülesanne plokiahela tehingute igas etapis turvalisusele tõsiselt suhtuda.

---

Daniel Chong on ettevõtte tegevjuht ja kaasasutaja Harpy, krüptoturbe platvorm. Duke'i ülikoolis matemaatika kraadi omandades töötas Daniel mitmesuguste krüptoettevõtete arendus- ja turvakonsultandina, juhtides auhinnatud projekte võiduni konverentsidel, sealhulgas ETHDenveris. Ta on pühendunud krüptovarguse ohu lõpetamisele ning nutikate lepingute turvaliseks ja kõigile kättesaadavaks muutmisele.

 

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://dailyhodl.com/2024/02/26/get-smart-ending-cryptos-over-reliance-on-contract-audits/