Tempo per leggere: 6 verbale
La creazione di DAO è unica per web3, che sfrutta la competenza della blockchain nel governare i protocolli senza coinvolgere entità centralizzate.
DAO è fortemente incentrato su due aspetti: la crittografia e l'archiviazione distribuita. Ciò conferisce loro la capacità di correre in base alla decisione collettiva dei membri della comunità.
Come con qualsiasi protocollo Web3, i problemi di sicurezza riguardano anche i protocolli DAO.
Questo articolo mira a far emergere l'infrastruttura alla base di DAO e le linee guida per improvvisare la sicurezza dei contratti intelligenti per resistere agli attacchi.
Scopo di DAO
Ethereum detiene sempre il merito di essere la prima blockchain programmabile in assoluto. Ha un ruolo immenso nel portare un vero decentramento consentendo agli sviluppatori di giocare con il codice.
A questo riguardo, Contratti intelligenti DAO sono progettati per favorire Governance on-chain
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>governance on-chain che giustifica il fatto che le comunità gestiscono esclusivamente la blockchain.
Proprio come qualsiasi altro contratto intelligente, i contratti DAO sono fondamentalmente progettati per automatizzare il processo ed eseguire azioni quando vengono soddisfatte le condizioni predefinite.
Per illustrare con un esempio, si consideri un contratto token ERC-20. Viene creato sulla base degli standard ERC-20 con informazioni quali indirizzo del contratto, fornitura di token, nome del token, condizioni di trasferimento del token, ecc.
L'operazione del token viene eseguita quando vengono soddisfatte le regole impostate. Allo stesso modo, il contratto DAO è codificato per dettare il funzionamento dell'organizzazione, come decidere la distribuzione del fondo secondo le proposte di voto dei membri.
Ad esempio, DAO ha tesorerie integrate. I fondi da questi vengono spesi dopo l'approvazione del gruppo e nessuna singola autorità ha accesso per eseguire alcun piano.
Le proposte di voto per prendere decisioni critiche relative al progetto assicurano che la voce di ogni partecipante sia ascoltata, portando a una maggiore fiducia e trasparenza nelle attività on-chain.
I diritti di governo sulle attività delle organizzazioni variano da protocollo a protocollo ed è puramente soggettivo a come viene eseguita la codifica DAO. Pertanto, è importante prestare attenzione ai diritti di governo che gli utenti hanno sul protocollo prima di iscriversi a qualsiasi DAO.
Passaggi coinvolti nella creazione di contratti intelligenti DAO
La meccanica di Governance on-chain
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>la governance on-chain viene eseguita attraverso una serie di contratti: token, governatore e timelock . Scopriamo il ruolo di ciascuno di essi.
Token: I token determinano il potere di voto dei membri della comunità a cui partecipare Governance on-chain
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>governance sulla catena. Il contratto token garantisce che venga verificato l’equilibrio per recuperare il potere e consentire ai partecipanti di esprimere la propria scelta sulle proposte di governance.
Governatore: Il contratto del governatore è codificato con condizioni sull'assegnazione del potere ai possessori di token, il tipo di token accettabili, il conteggio del numero di voti richiesti per il forum e così via. Tuttavia, gli sviluppatori possono codificare con le specifiche delle funzionalità su come desiderano che i contratti vengano eseguiti.
Inoltre, il contratto del governatore include anche il ritardo del voto e le specifiche della proposta di voto nel codice. Ha lo scopo di dare istruzioni su quanto tempo la proposta di voto è aperta ai partecipanti per votare.
Blocco orario: L'aspetto Timelock implica la configurazione di AcessControl per il ruolo proposto, il ruolo di esecutore e il ruolo di amministratore. L'integrazione della componente timelock con i sistemi di governance offre ai partecipanti la libertà di ritirarsi in caso di disaccordo con la decisione.
Vista di alto livello sui timori di sicurezza per i DAO.
La dipendenza delle DAO dai contratti intelligenti le rende responsabili del voto sulla governance e della manutenzione della tesoreria. E ciascuno di questi elementi ha i propri problemi di sicurezza; srotoliamoli di seguito.
Problemi di sicurezza nel contratto intelligente
Torniamo un po' indietro e ricordiamo la famosa "caduta della DAO". La causa principale è stato il bug nel codice DAO. L'hacker è riuscito a sfruttare la vulnerabilità e a drenare fondi dal contratto rendendolo Chiamate ricorsive
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>chiamate ricorsive.
Il contratto conteneva 12.7 milioni di Ether, di cui l'hacker ha rubato 3.6 milioni di ETH sfruttando la scappatoia nel contratto.
Questo incidente descrive chiaramente la necessità di maggiore esperienza e sperimentazione con la sicurezza DAO. Sebbene DAO sia molto apprezzato per la sua innovazione, la qualità del codice ha causato danni maggiori.
Inoltre, la codifica degli smart contract dovrebbe essere completamente trasparente per garantire che nessuna funzionalità si trasformi successivamente in un bug.
Preoccupazioni per la sicurezza sulla governance
Esistono diversi modi in cui gli hacker possono intromettersi nella governance del protocollo. Per cominciare, le notifiche decentralizzate sono un modo in cui se un hacker può bloccare le notifiche, può introdurre proposte dannose che passano inosservate agli altri membri di DAO.
La prossima è la proposta che richiede transazioni multicall. Se la proposta non viene rivista o verificata da DAO, l'attaccante può utilizzarla per produrre risultati complessi.
Soglie errate e blocchi temporali inappropriati portano alla possibilità di cattive attività. I prestiti flash sono un'altra preoccupazione per la sicurezza della governance. Gli aggressori possono prendere in prestito un'enorme somma di token che li dota del potere di maggioranza per far passare una proposta.
Le proposte con intenti dannosi sollevano a grave preoccupazione per la sicurezza sulle modifiche apportate al protocollo. AAVE e Compound hanno sofferto di questo tipo di attacchi in passato.
Preoccupazioni per la sicurezza sull'esecuzione
MakerDAO, lanciato nella rete Ethereum nel 2017, stava andando bene. Fino a quando un crollo del mercato ha colpito nel 2020, quando il prezzo di Ether è sceso fino al 50%. Era la garanzia più importante utilizzata nel MakerDAO e il crollo dei prezzi ha innescato un'enorme liquidità.
MakerDAO non è stato progettato per gestire una liquidazione così grande che ha comportato una perdita finanziaria maggiore. Sebbene la codifica fosse forte qui, la colpa era nell'esecuzione del meccanismo di liquidazione.
Da allora, anche l'esecuzione del meccanismo DAO è stata aggiunta all'elenco degli altri problemi di sicurezza esistenti.
Lista di controllo per gli audit dei contratti intelligenti DAO
La sicurezza è l'aspetto predominante in Governance on-chain
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>governance on-chain in modo da proteggere il potere dalla caduta in cattive mani. Quindi, dal punto di vista della sicurezza, troviamo le linee guida per sviluppare robusti contratti DAO.
Chiamate di basso livello: Le chiamate a contratti arbitrari che recuperano dati arbitrari devono essere trattate con attenzione.
La gestione delle chiamate di basso livello è complicata perché può aprire la possibilità a vettori di attacco di rientro. Pertanto, è sempre buona norma verificare la condizione di successo delle chiamate e quindi gestire i dati restituiti.
Possesso di ETH: Sulla base dei risultati dell'audit, ci sono stati molti casi in cui l'ETH non è gestito correttamente nei contratti relativi alla governance. Pertanto, si suggerisce di garantire la modalità di invio di ETH quando i contratti di governance richiedono la gestione di ETH.
Un'altra precauzione da osservare è durante l'utilizzo di msg.value che consente chiamate in batch. È probabile che questo schema possa andare storto.
Astenersi da exploit Flash-loan: I flash-loans sono utilizzati da sfruttatori che vogliono influenzare le decisioni di governance e lanciare un attacco. Prendono prestiti lampo e si assicurano i voti di governance attraverso token holding per manipolare una decisione di governance.
Pertanto, puoi evitare di misurare il potere di voto nel blocco attuale, poiché il prestito lampo preso per ottenere il potere di governance mette a rischio il sistema.
Aggiornamenti regolari: Anche se non ci sono necessariamente difetti nel contratto, dovresti sempre controllare il mercato dei token di governance e adeguare la soglia di conseguenza. In caso contrario, consentirebbe ad attori malintenzionati di assumere le decisioni.
Assicurati di prestare attenzione alle specifiche durante la migrazione e l'aggiornamento del sistema di governance. Ci sono stati casi come quello accaduto con Uniswap. La sua migrazione al governatore Bravo ha inizializzato un difetto contrattuale che ha temporaneamente interrotto le decisioni di governance.
Includi i ritardi utilizzando il contratto timelock: Le azioni ritardate consentono alla comunità di rivedere le modifiche al protocollo prima che entrino in vigore. Questi ritardi possono essere implementati tramite contratti Timelock.
Vulnerabilità relative al protocollo: Il software utilizzato per la codifica di un protocollo funziona su specifiche logiche di business che possono variare l'una dall'altra. Così fanno i problemi che sorgono durante l'esecuzione di modifiche in quel sistema.
In effetti, il protocollo Compound ha subito un problema a causa dell'approvazione di una proposta manipolativa della comunità. Pertanto, è sempre bene avere una revisione approfondita del codice da parte di colleghi e parti indipendenti per garantire la forza e la solidità del contratto.
Eminenza di QuillAudits nell'audit dei contratti intelligenti DAO
Al giorno d'oggi, affinché un sistema sia puramente autofunzionante, molti progetti stanno cercando di trovare il modo di integrarsi Governance on-chain
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>governance sulla catena. Pertanto, il campo è in rapida evoluzione e fiorente secondo le esigenze della comunità.
Anche gli attacchi stanno diventando complicati, il che è sia impegnativo che costoso. Pertanto, è necessario garantire che i processi siano in atto e che il codice sia seguito da vicino. QuillAudit esegue uno studio approfondito e controlla il codice per escludere potenziali insidie e proteggere il progetto da attività dannose.
16 Visualizzazioni
- Bitcoin
- blockchain
- Blockchain e sicurezza dei contratti intelligenti
- conformità blockchain
- conferenza blockchain
- coinbase
- geniale
- Consenso
- conferenza crittografica
- criptazione mineraria
- criptovaluta
- decentrata
- DeFi
- Risorse digitali
- Ethereum
- machine learning
- gettone non fungibile
- Platone
- platone ai
- Platone Data Intelligence
- Platoneblockchain
- PlatoneDati
- gioco di plato
- Poligono
- prova di palo
- quillhash
- Sicurezza dei contratti intelligenti
- trend
- W3
- zefiro
