Jadilah Cerdas – Mengakhiri Ketergantungan Crypto yang Berlebihan pada Audit Kontrak – The Daily Hodl

Postingan Tamu HodlX  Kirimkan Posting Anda

 

Tahun lalu adalah tahun rollercoaster bagi kripto. Terdapat tindakan regulasi yang agresif, hukuman pidana tingkat tinggi, dan pencurian yang mengejutkan.

Dan lagi - jumlah seluruhnya pasar kriptocurrency kapitalisasi naik menjadi lebih $ 1.4 triliun pada tahun 2023, pertumbuhan dari tahun ke tahun lebih dari 70.7%.

Pengguna dan institusi baru mulai terlibat.

Sepanjang tahun 2023, jumlah investor kripto tumbuh sebesar 2.8% per bulan, dan Goldman Sachs menyebutnya sebagai tahun kripto. menjadi terlembagakan.

Bulls dan bears sama-sama benar - terdapat peluang besar di pasar saat ini, namun juga terdapat risiko yang mengkhawatirkan.

Namun, risikonya tidak hanya berasal dari volatilitas pasar, atau bahkan tindakan kriminal yang dilakukan oleh pengelola bursa - iIni dimasukkan ke dalam mekanisme transaksi kripto.

Kontak pintar sendiri merupakan target yang rentan dan menarik bagi para peretas, dan metode kami untuk mengamankannya mengecewakan kami.

Ini penjelasan singkatnya. Kontrak pintar adalah kontrak yang dijalankan sendiri yang digunakan dalam transaksi blockchain. Ketentuan transaksi ditulis langsung ke dalam baris kode.

Kontrak-kontrak ini adalah target peretasan yang menarik - tmereka terbiasa menangani token dalam jumlah besar dan bernilai tinggi.

Jika Anda dapat memanipulasi kontrak, Anda dapat mengarahkan token sesuka Anda.

Entitas Blockchain melindungi diri mereka sendiri dengan audit kontrak pintar, di mana peninjau independen memeriksa kontrak pintar untuk mengetahui kelemahan desain, kerentanan keamanan, efisiensi, dan masalah pengkodean lainnya.

Auditor mengeluarkan laporan publik, mencantumkan semua masalah yang ditemukan dan langkah-langkah yang diambil untuk memitigasinya.

Sejauh ini sangat transparan - Aaudit membantu perusahaan blockchain memastikan kontrak pintar mereka aman dan membantu investor membuat keputusan yang tepat.

Namun, prosesnya jauh dari mudah. Tidak ada standar yang diadopsi secara luas untuk verifikasi kontrak pintar, dan tidak ada audit yang benar-benar dapat menjamin bahwa kontrak pintar bebas bug.

Akibatnya, banyak kerentanan yang lolos, sering kali dengan hasil yang menghancurkan.

Berikut adalah beberapa contoh dari tahun 2023 saja.

pinjamkan hub - Eksploitasi $ 6 juta - Januari 2023

LendHub meninggalkan versi token IBSV yang terdepresiasi dalam kontrak cerdasnya selama pembaruan. Baik versi lama maupun baru aktif dalam kontrak dengan harga yang sama.

Penyerang dapat membeli versi lama dan menukarnya dengan yang baru, sehingga mendapatkan nilai tambahan sebesar $6 juta.

Selamat datang - Eksploitasi $ 120 juta - Februari 2023

Penyerang dapat memanipulasi fungsi 'perbarui harga' dalam kontrak pintar BonqDAO, memungkinkan mereka mengubah harga token ALBT AllianceBlock.

Para peretas kemudian mencetak dan menukar token dalam jumlah besar, yang pada akhirnya mengarah pada devaluasi dan likuidasi ALBT secara luas.

Keuangan Euler - Eksploitasi $ 197 juta - Maret 2023

Cacat dalam kontrak pintar Euler Finance memungkinkan penyerang menyetorkan agunan dan meminjamnya tanpa menarik agunan awal.

Mereka menggunakan bug ini untuk melakukan serangan pinjaman kilat yang memungkinkan mereka menarik aset berbasis ETH senilai hampir $200 juta dalam sekejap.

Kita tidak bisa menghentikan pendarahan ini dengan audit lebih lanjut. Kontrak pintar Euler Finance telah berjalan 10 audit berbeda dari enam perusahaan berbeda dan masih menjadi korban salah satu peretasan terbesar tahun ini.

Salah satu masalahnya adalah audit menghadap ke belakang. Mereka fokus pada kerentanan yang diketahui, dan mengabaikan eksploitasi baru.

Peretas itu licik dan kreatif - kita memerlukan langkah-langkah keamanan yang dapat mengantisipasi dan merespons pendekatan yang sepenuhnya baru.

AI mungkin berguna dalam menutup celah dalam proses audit kontrak pintar.

In percobaan menggunakan GPT-4 OpenAI, OpenZeppelin mampu menggunakan AI untuk mengidentifikasi kerentanan di 20 dari 28 tantangan dari game peretasan kontrak pintar Ethernaut.

Namun, kontrak pintar sebenarnya jauh lebih kompleks, dan peluang untuk mengeksploitasinya lebih bervariasi dibandingkan apa pun dalam lingkungan terkendali seperti permainan.

Dan terlebih lagi - cMenemukan 70% kerentanan saja tidaklah cukup.

Jika tim keamanan jaringan Anda hanya dapat menghentikan 70% serangan, semuanya akan dipecat.

Kita akan menunggu setidaknya satu generasi lagi sebelum AI dapat secara serius membantu dalam keamanan kontrak pintar, dan kita memerlukan solusinya sekarang.

Langkah-langkah tambahan ini dapat diterapkan di tingkat dompet sehingga transaksi diperiksa sebelum dikirim secara on-chain.

Langkah-langkah tersebut dapat mencakup penanganan inspeksi untuk mencegah pelaku nakal melaksanakan kontrak, riwayat kontrak cerdas yang melacak setiap perubahan kontrak hingga asal-usulnya, atau upaya awal untuk menghentikan transaksi mencurigakan sebelum token ditransfer.

Banyak eksploitasi kontak pintar yang mengandalkan kecepatan. Dengan menambah lebih banyak gesekan dalam transaksi, kita dapat menjadikannya lebih aman dan kurang menarik bagi pelaku kejahatan.

Tahun 2024 dimulai dengan kripto berada pada posisi terkuatnya selama bertahun-tahun, tetapi kerentanan kontrak pintar telah membayangi kemajuan ini.

Ini adalah titik perubahan, di mana janji blockchain memenuhi realitas risikonya.

Sekarang, tugas kita adalah serius mengenai keamanan di setiap tahap transaksi blockchain.

---

Daniel Chong adalah CEO dan salah satu pendiri Perampas, platform keamanan kripto. Saat mengejar gelar Matematika di Duke University, Daniel bekerja sebagai konsultan pengembangan dan keamanan untuk berbagai perusahaan kripto, memimpin proyek pemenang penghargaan menuju kemenangan di konferensi termasuk ETHDenver. Dia berdedikasi untuk mengakhiri ancaman pencurian kripto dan membuat kontrak pintar aman dan dapat diakses oleh semua orang.

 

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://dailyhodl.com/2024/02/26/get-smart-ending-cryptos-over-reliance-on-contract-audits/