چگونه حسابرسی قراردادهای هوشمند DAO به تقویت امنیت کمک می کند؟

بازنشر افلاطون

دنبال: 0

وقت خواندن: 6 دقیقه

ایجاد DAO منحصر به وب 3 است که از صلاحیت بلاک چین در اداره پروتکل ها بدون دخالت نهادهای متمرکز استفاده می کند.

DAO به شدت حول دو جنبه متمرکز است - رمزگذاری و ذخیره سازی توزیع شده. این به آنها توانایی هایی می دهد که بر اساس تصمیم جمعی اعضای جامعه اداره شوند.

مانند هر پروتکل Web3، نگرانی های امنیتی در مورد پروتکل های DAO نیز وجود دارد.

هدف این مقاله ارائه زیرساخت های زیربنایی DAO و دستورالعمل هایی برای ارتقای امنیت قراردادهای هوشمند برای تحمل حملات است.

هدف DAO

اتریوم همیشه اعتبار اولین بلاک چین قابل برنامه ریزی را دارد. با اجازه دادن به توسعه دهندگان برای بازی با کد، نقش بسیار زیادی در ایجاد تمرکززدایی واقعی دارد.

در آن زمینه، قراردادهای هوشمند DAO برای پرورش طراحی شده اند حاکمیت زنجیره ای

حاکمیت روی زنجیره وسیله ای است که از طریق آن تغییراتی در پروژه های بلاک چین اعمال می شود. قوانین در پروتکل ها کدگذاری می شوند و توسعه دهندگان تغییرات را از طریق به روز رسانی کد پیشنهاد می کنند. تغییر پیشنهادی بر اساس رای اعضای جامعه/شرکت کنندگان اجرا می شود.

”data-gt-translate-attributes=”[{“ویژگی”:”data-cmtooltip”, “format”:”html”}]”>حاکمیت روی زنجیره که این واقعیت را توجیه می کند که جوامع صرفاً زنجیره بلوکی را اداره می کنند.

دقیقاً مانند هر قرارداد هوشمند دیگری، قراردادهای DAO اساساً برای خودکارسازی فرآیند و اجرای اقدامات در صورت تحقق شرایط از پیش تعریف شده طراحی شده اند.

برای توضیح با یک مثال، قرارداد توکن ERC-20 را در نظر بگیرید. بر اساس استانداردهای ERC-20 با اطلاعاتی مانند آدرس قرارداد، عرضه توکن، نام توکن، شرایط انتقال توکن و غیره ایجاد شده است.

عملیات توکن زمانی اجرا می شود که قوانین تنظیم شده رعایت شوند. به طور مشابه، قرارداد DAO برای دیکته کردن کار سازمان، مانند تصمیم گیری در مورد توزیع وجوه بر اساس پیشنهادهای رأی گیری اعضا، کدگذاری شده است.

به عنوان مثال، DAO دارای خزانه های داخلی است. وجوه حاصل از آنها پس از تایید گروه هزینه می شود و هیچ مرجع واحدی برای اجرای هیچ طرحی دسترسی ندارد.

پیشنهادهای رأی گیری برای اتخاذ تصمیمات حیاتی مربوط به پروژه تضمین می کند که صدای هر شرکت کننده شنیده می شود و منجر به اعتماد و شفافیت بهتر در فعالیت های زنجیره ای می شود.

حقوق حاکم بر فعالیت‌های سازمان‌ها از پروتکلی به پروتکل دیگر متفاوت است و این کاملاً به نحوه کدگذاری DAO بستگی دارد. بنابراین، توجه به حقوق حاکم بر پروتکل کاربران قبل از ثبت نام در هر DAO مهم است.

مراحل مربوط به تنظیم قراردادهای هوشمند DAO

مکانیک حاکمیت زنجیره ای

”data-gt-translate-attributes=”[{“ویژگی”:”data-cmtooltip”, “format”:”html”}]”>حاکمیت روی زنجیره از طریق مجموعه‌ای از قراردادها – توکن، گاورنر و قفل زمانی اجرا می‌شود. . بیایید نقش هر یک از آنها را دریابیم.

رمز: توکن ها قدرت رای دادن اعضای جامعه برای شرکت در آن را تعیین می کنند حاکمیت زنجیره ای

” data-gt-translate-attributes=”[{“خصیصه”:”data-cmtooltip”, “format”:”html”}]”>حکومت روی زنجیره. قرارداد توکن تضمین می کند که تعادل برای بازیابی قدرت تأیید شده است و به شرکت کنندگان اجازه می دهد تا انتخاب خود را در مورد پیشنهادهای حاکمیتی بیان کنند.

فرماندار: قرارداد گاورنر با شرایط تخصیص قدرت به دارندگان توکن، نوع توکن های قابل قبول، شمارش تعداد آرای مورد نیاز برای انجمن و غیره کدگذاری شده است. با این حال، توسعه‌دهندگان می‌توانند با ویژگی‌های خاص در مورد نحوه اجرای قراردادها کدنویسی کنند.

علاوه بر این، قرارداد فرماندار همچنین شامل تاخیر در رای گیری و مشخصات پیشنهادی رای گیری در آیین نامه است. هدف از ارائه دستورالعمل در مورد مدت زمان باز بودن پیشنهاد رأی گیری برای شرکت کنندگان برای رأی دادن است.

قفل زمانی: جنبه Timelock شامل تنظیمات AcessControl برای نقش پیشنهادی، نقش مجری و نقش مدیر است. ادغام مولفه قفل زمانی با سیستم های حاکمیتی به شرکت کنندگان این آزادی را می دهد که در صورت عدم موافقت با تصمیم، کنار بروند.

نمای سطح بالا در مورد ترس از امنیت برای DAO.

اتکای DAOها به قراردادهای هوشمند، آنها را در قبال رأی‌دهی حاکمیتی و نگهداری خزانه مسئول می‌داند. و هر یک از این عناصر نگرانی های امنیتی خاص خود را دارند. بیایید آنها را در زیر باز کنیم.

نگرانی های امنیتی در قرارداد هوشمند

بیایید کمی به عقب برگردیم و "سقوط DAO" معروف را به خاطر بیاوریم. علت اصلی، اشکال در کد DAO بود. هکر توانست از این آسیب‌پذیری سوء استفاده کند و با ساختن وجوه قرارداد را تخلیه کند تماس های بازگشتی

فراخوانی بازگشتی شرایطی است که می تواند به خود اشاره کند و آنها را بارها و بارها در یک حلقه دوباره فراخوانی کند. تابع بازگشتی از حالت پایه (اگر) و حالت القایی (دیگر) استفاده می کند. حملات ورود مجدد با بهره برداری از تماس های بازگشتی در کد انجام می شود.

” data-gt-translate-attributes=”[{“ویژگی”:”data-cmtooltip”, “format”:”html”}]”>تماس های بازگشتی.

این قرارداد دارای 12.7 میلیون اتر بود که هکر 3.6 میلیون ETH را با استفاده از حفره موجود در قرارداد به سرقت برد.

این حادثه به وضوح نیاز به تجربه و آزمایش بیشتر با امنیت DAO را نشان می دهد. اگرچه DAO به دلیل نوآوری خود بسیار تحسین شده است، اما کیفیت کد باعث آسیب بیشتر شد.

علاوه بر این، کدگذاری قراردادهای هوشمند باید کاملاً شفاف باشد تا اطمینان حاصل شود که هیچ ویژگی بعداً به باگ تبدیل نمی شود.

نگرانی های امنیتی در مورد حکومت

راه های متعددی وجود دارد که در آن هکرها می توانند در حاکمیت پروتکل نفوذ کنند. برای شروع، اعلان‌های غیرمتمرکز یکی از راه‌هایی است که اگر هکر بتواند اعلان‌ها را مسدود کند، می‌تواند پیشنهادات مخربی را معرفی کند که توسط سایر اعضای DAO مورد توجه قرار نمی‌گیرد.

بعد پیشنهادی است که به تراکنش های چند تماسی نیاز دارد. اگر پیشنهاد توسط DAO بررسی یا ممیزی نشود، مهاجم می تواند از آنها برای ایجاد نتایج پیچیده استفاده کند.

آستانه های اشتباه و قفل های زمانی نامناسب منجر به امکان فعالیت های بد می شود. وام های فلش یکی دیگر از نگرانی های امنیت حاکمیتی است. مهاجمان می‌توانند مقدار زیادی از توکن‌ها را قرض بگیرند که به آنها قدرت اکثریت را می‌دهد تا یک پیشنهاد را انجام دهند.

پیشنهادهایی که با نیت بدخواهانه انجام می شود الف را مطرح می کند نگرانی امنیتی جدی تغییرات اعمال شده در پروتکل AAVE و Compound در گذشته از این نوع هک ها رنج برده اند.

نگرانی های امنیتی در اجرا

MakerDAO که در سال 2017 در شبکه اتریوم راه اندازی شد، عملکرد خوبی داشت. تا اینکه سقوط بازار در سال 2020 رخ داد که قیمت اتر تا 50 درصد کاهش یافت. این مهم ترین وثیقه مورد استفاده در MakerDAO بود و سقوط قیمت باعث افزایش نقدینگی شد.

MakerDAO برای مدیریت چنین انحلال عظیمی که منجر به زیان مالی بیشتر شود طراحی نشده بود. اگرچه کدگذاری در اینجا قوی بود، اما خطا در اجرای مکانیسم انحلال بود.

از آن زمان، اجرای مکانیزم DAO نیز به لیست دیگر نگرانی های امنیتی موجود اضافه شد.

چک لیست برای ممیزی قرارداد هوشمند DAO

امنیت جنبه غالب در حاکمیت زنجیره ای

” data-gt-translate-attributes=”[{“خصیصه”:”data-cmtooltip”, “format”:”html”}]”>حکومت زنجیره ای به گونه ای که از قدرت در برابر افتادن به دست بد محافظت شود. بنابراین، از نقطه نظر امنیتی، بیایید دستورالعمل هایی را برای توسعه قراردادهای DAO قوی پیدا کنیم.

تماس های سطح پایین: تماس‌های قراردادهای دلخواه که داده‌های دلخواه را دریافت می‌کنند باید با دقت بررسی شوند.

رسیدگی به تماس‌های سطح پایین دشوار است زیرا ممکن است فرصتی را برای بردارهای حمله مجدد باز کند. بنابراین، همیشه خوب است که شرایط موفقیت تماس ها را تأیید کنید و سپس داده های برگشتی را مدیریت کنید.

منابع ETH: بر اساس یافته‌های حسابرسی، موارد زیادی وجود داشته است که در قراردادهای مرتبط با حاکمیت، ETH به درستی مدیریت نمی‌شود. بنابراین، پیشنهاد می‌شود در زمانی که قراردادهای حاکمیتی نیاز به مدیریت ETH دارند، از نحوه ارسال ETH اطمینان حاصل شود.

یکی دیگر از اقدامات احتیاطی که باید رعایت شود، استفاده از msg.value است که امکان تماس های دسته ای را فراهم می کند. به احتمال زیاد این الگو می تواند اشتباه پیش برود.

از اکسپلویت های Flash-loan خودداری کنید: استثمارگرانی که می خواهند بر تصمیمات حاکمیتی تأثیر بگذارند و حمله ای را انجام دهند، به وام های فوری متکی هستند. آن‌ها وام‌های فوری می‌گیرند و آرای حاکمیتی را از طریق ذخایر توکن تضمین می‌کنند تا تصمیم‌های حاکمیتی را دستکاری کنند.

بنابراین، شما می توانید از اندازه گیری قدرت رای در بلوک فعلی اجتناب کنید، زیرا وام فوری گرفته شده برای به دست آوردن قدرت حاکمیتی، سیستم را در معرض خطر قرار می دهد.

به روز رسانی منظم: حتی اگر لزوماً هیچ نقصی در قرارداد وجود نداشته باشد، باید همیشه بازار توکن های حاکمیتی را بررسی کنید و آستانه را مطابق با آن تنظیم کنید. در غیر این صورت، به بازیگران بدخواه اجازه می دهد تا تصمیمات را به دست بگیرند.

اطمینان حاصل کنید که در حین مهاجرت و ارتقاء سیستم حکومتی به موارد خاصی توجه می کنید. مواردی مانند موردی که با Uniswap اتفاق افتاد وجود داشته است. مهاجرت آن به فرماندار براوو یک نقص قرارداد را آغاز کرد که به طور موقت تصمیمات حاکمیتی را متوقف کرد.

شامل تأخیر با استفاده از قرارداد قفل زمانی: اقدامات با تأخیر زمانی جامعه را قادر می سازد تا تغییرات پروتکل را قبل از اجرایی شدن بررسی کند. این تاخیرهای زمانی را می توان از طریق قراردادهای Timelock اجرا کرد.

آسیب پذیری های مرتبط با پروتکل: نرم افزار مورد استفاده برای کدنویسی یک پروتکل بر روی منطق تجاری خاصی کار می کند که ممکن است از یکدیگر متفاوت باشد. مسائلی که هنگام اجرای تغییرات در آن سیستم ایجاد می شود نیز همینطور است.

در واقع، پروتکل Compound به دلیل تصویب یک پیشنهاد جامعه دستکاری با مشکل مواجه شد. بنابراین، همیشه خوب است که برای اطمینان از استحکام و استحکام قرارداد، یک بررسی کامل از کد توسط همتایان و طرف های مستقل داشته باشید.

QuillAudits Eminence در حسابرسی قرارداد هوشمند DAO

در دوران امروز، برای اینکه یک سیستم کاملاً خود کار کند، بسیاری از پروژه‌ها راه خود را برای جاسازی پیدا می‌کنند. حاکمیت زنجیره ای

” data-gt-translate-attributes=”[{“خصیصه”:”data-cmtooltip”, “format”:”html”}]”>حکومت روی زنجیره. بنابراین، این رشته با توجه به نیازهای جامعه آنها به سرعت در حال پیشرفت و شکوفایی است.

حملات همچنین پیچیده می شوند که هم چالش برانگیز و هم هزینه سنگینی دارد. بنابراین، لازم است از برقراری فرآیندها و پیگیری دقیق کدها اطمینان حاصل شود. QuillAudits مطالعات گسترده ای را انجام می دهد و کد را ممیزی می کند تا هر گونه دام احتمالی را رد کند و پروژه را از فعالیت های مخرب ایمن کند.

16 نمایش ها

تمبر زمان: نوامبر 24، 2022نوامبر 24، 2022

تمبر زمان: ژوئن 4، 2021

راهنمای مفصل در مورد رمزگذاری نامتقارن و نحوه کارکرد آن

خوشه منبع:

کویل هاش

گره منبع: 1574042

تمبر زمان: ژوئیه 6، 2022

بازنشر افلاطون

آسیب‌پذیری‌هایی که می‌توانند متاورس و راه‌حل‌های آن را از بین ببرند

چه چیزی حسابرسی قرارداد هوشمند DeFi را بسیار مهم می کند

بلاک چین تزوس: تجزیه و تحلیل عمیق از دیدگاه حسابرسی

5 برجسته ترین ابزار حسابرسی قراردادهای هوشمند

5 خطای رایج در زبان برنامه نویسی Solidity

درباره‌ ما

جستجوی عمودی و هوش مصنوعی

سکو

همیشه در ارتباط ماندن

حساب