Légy okos – A Crypto túlzott támaszkodása a szerződések ellenőrzésére – The Daily Hodl

HodlX vendégposta  Nyújtsa be üzenetét

 

A tavalyi év hullámvasút volt a kriptoval kapcsolatban. Voltak agresszív hatósági intézkedések, nagy horderejű büntetőítéletek és sokkoló lopások.

És mégis - A végösszeg cryptocurrency piacon a nagybetűs írás a végére emelkedett $ 1.4 billió 2023-ban éves szinten több mint 70.7%-os növekedés.

Új felhasználók és intézmények kapcsolódnak be.

2023 során a kriptobefektetők száma havonta 2.8%-kal nőtt, és a Goldman Sachs ezt az évet kriptográfiai évnek nevezte. intézményesült.

A bikáknak és a medvéknek egyaránt igazuk van - Jelenleg óriási lehetőségek rejlenek a piacon, de egyben riasztó kockázat is.

A kockázat azonban nem pusztán a piaci volatilitásban gyökerezik, vagy akár a tőzsdemenedzserek arcátlan bűntetteiben. - it a kripto-tranzakciók mechanizmusaiba van beépítve.

Az intelligens kapcsolatok önmagukban sebezhető és csábító célpontot jelentenek a hackerek számára, és a biztonsági módszereink cserbenhagynak bennünket.

Íme egy gyors alapozó. Az intelligens szerződés egy önvégrehajtó szerződés, amelyet blokklánc-tranzakciókban használnak. A tranzakció feltételei közvetlenül a kód soraiba vannak beírva.

Ezek a szerződések lédús hackelési célpontok - tnagy összegek és nagy értékű tokenek kezelésére szoktak.

Ha tudja manipulálni a szerződést, tetszés szerint irányíthatja a tokeneket.

A blokklánc entitások intelligens szerződés-auditokkal védik magukat, amelyek során független ellenőrök vizsgálják az intelligens szerződést a tervezési hibák, a biztonsági rések, a hatékonyság és egyéb kódolási problémák szempontjából.

A könyvvizsgálók nyilvános jelentést adnak ki, amelyben felsorolják az összes talált problémát és az azok enyhítésére tett lépéseket.

Eddig átlátszó - aAz auditok segítenek a blokklánc-vállalatoknak abban, hogy intelligens szerződéseik biztonságosak legyenek, és segítik a befektetőket a megalapozott döntések meghozatalában.

A folyamat azonban korántsem bolondbiztos. Nincsenek széles körben elfogadott szabványok az intelligens szerződések ellenőrzésére, és egyetlen audit sem garantálhatja, hogy egy intelligens szerződés hibamentes legyen.

Ennek eredményeként sok sebezhetőség csúszik át a réseken, gyakran az pusztító eredményeket.

Íme néhány példa egyedül 2023-ból.

LendHub - 6 millió dolláros kihasználás - január 2023

A LendHub egy frissítés során az IBSV token leértékelt verzióját hagyta az intelligens szerződésében. A szerződésben ugyanazon az áron szerepelt a régi és az új verzió is.

A támadók meg tudták vásárolni a régi verziót, és lecserélték az újra, ami 6 millió dolláros pluszértéket eredményezett.

BonqDAO - 120 millió dolláros kihasználás - február 2023

A támadók manipulálhatták a BonqDAO intelligens szerződésének „ár frissítése” funkcióját, lehetővé téve számukra, hogy módosítsák az AllianceBlock ALBT tokenjének árát.

A hackerek ezután nagy mennyiségű tokent vertek és cseréltek ki, ami végül az ALBT széles körű leértékeléséhez és felszámolásához vezetett.

Euler Finance - 197 millió dolláros kihasználás - 2023. március

Az Euler Finance intelligens szerződésének hibája lehetővé tette a támadó számára, hogy biztosítékot helyezzen el, és kölcsönt vegyen fel ellene anélkül, hogy az eredeti biztosítékot levette volna.

Ezt a hibát egy gyorskölcsönzési támadás végrehajtására használták fel, amely lehetővé tette számukra, hogy pillanatok alatt kivonjanak közel 200 millió dollár értékű ETH-alapú eszközöket.

Nem tudjuk megállítani ezt a vérzést további ellenőrzésekkel. Az Euler Finance intelligens szerződése megtörtént 10 különböző audit hat különböző cégtől, és még mindig az év egyik legnagyobb hackelése áldozatává vált.

A probléma része az, hogy az auditok visszafelé néznek. Az ismert sebezhetőségekre, a hiányzó újszerű kihasználásokra összpontosítanak.

A hackerek ügyesek és kreatívak - olyan biztonsági intézkedésekre van szükségünk, amelyek képesek előre jelezni és reagálni a teljesen új megközelítésekre.

A mesterséges intelligencia hasznos lehet az intelligens szerződés-ellenőrzési folyamat repedéseinek lezárásában.

In segítségével végzett kísérletek Az OpenAI GPT-4, az OpenZeppelin képes volt mesterséges intelligencia segítségével azonosítani a sebezhetőséget az Ethernaut intelligens szerződéses hackerjáték 20 kihívásából 28-ban.

A valódi intelligens szerződések azonban sokkal összetettebbek, és a kiaknázásuk lehetőségei változatosabbak, mint bármi más ellenőrzött környezetben, például egy játékban.

És mi több - ca sérülékenységek 70%-ának feloldása közel sem elég.

Ha a hálózatbiztonsági csapat csak a támadások 70%-át tudná megállítani, akkor mindet kirúgnák.

Még legalább egy generációra várunk, mielőtt a mesterséges intelligencia komolyan segíteni tudna az intelligens szerződések biztonságában, és most megoldásokra van szükségünk.

Ezek a kiegészítő intézkedések a pénztárca szintjén érvényesíthetők, így a tranzakciókat a láncon belüli kiküldés előtt ellenőrizni kell.

Az ilyen intézkedések magukban foglalhatják az ellenőrzést, hogy megakadályozzák a szélhámos szereplőket a szerződések végrehajtásában, az intelligens szerződéselőzményeket, amelyek nyomon követik a szerződésmódosítások eredetét, vagy az előrelépést a gyanús tranzakciók leállítására a tokenek átadása előtt.

Sok intelligens kapcsolati kihasználás a sebességen múlik. Ha több súrlódást építünk be a tranzakciókba, biztonságosabbá és kevésbé vonzóvá tehetjük azokat a rossz szereplők számára.

2024 a kriptoval indult az elmúlt évek legerősebb pozíciójában, de az intelligens szerződések sebezhetőségei árnyékot vetnek erre a fejlődésre.

Ez egy inflexiós pont, ahol a blokklánc ígérete találkozik a kockázatok valóságával.

Most az a feladatunk, hogy komolyan vegyük a biztonságot a blokklánc-tranzakciók minden szakaszában.

---

Daniel Chong a cég vezérigazgatója és társalapítója Hárpia, a kriptográfiai biztonsági platform. Miközben a Duke Egyetemen szerzett matematikai diplomát, Daniel fejlesztési és biztonsági tanácsadóként dolgozott számos kriptográfiai vállalatnál, és díjnyertes projekteket vezetett konferenciákon, köztük az ETHDenveren. Elkötelezettje a kriptográfiai lopás veszélyének megszüntetése, valamint az intelligens szerződések biztonságossá és mindenki számára elérhetővé tétele.

 

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://dailyhodl.com/2024/02/26/get-smart-ending-cryptos-over-reliance-on-contract-audits/