Bli smart – Avslutt Cryptos overavhengighet av kontraktrevisjoner – The Daily Hodl

HodlX Gjestepost  Send inn innlegget ditt

 

Fjoråret var en berg-og-dal-bane for krypto. Det var aggressive reguleringshandlinger, høyprofilerte straffedommer og sjokkerende tyverier.

Og fortsatt - totalen cryptocurrency markedet kapitaliseringen steg til over $ 1.4 billion i 2023, en år-til-år-vekst på over 70.7 %.

Nye brukere og institusjoner engasjerer seg.

Gjennom 2023 vokste antallet kryptoinvestorer med 2.8 % per måned, og Goldman Sachs har kalt det årets krypto. ble institusjonalisert.

Oksene og bjørnene har begge rett - det er enorme muligheter i markedet akkurat nå, men også alarmerende risiko.

Risikoen er imidlertid ikke bare forankret i markedsvolatilitet, eller til og med de frekke kriminelle handlingene til børsforvaltere - JegDet er bakt inn i selve mekanismene til kryptotransaksjoner.

Smarte kontakter i seg selv er et sårbart og forlokkende mål for hackere, og metodene våre for å sikre dem svikter oss.

Her er en rask primer. En smart kontrakt er en selvutførende kontrakt som brukes i blokkjedetransaksjoner. Vilkårene for transaksjonen skrives direkte inn i linjene i koden.

Disse kontraktene er et saftig hackingmål - thei er vant til å håndtere store summer og verdifulle tokens.

Hvis du kan manipulere kontrakten, kan du styre tokenene slik du vil.

Blockchain-enheter beskytter seg selv med smarte kontraktrevisjoner, der uavhengige anmeldere inspiserer den smarte kontrakten for designfeil, sikkerhetssårbarheter, effektivitet og andre kodingsproblemer.

Revisorene avgir en offentlig rapport som viser alle problemene som er funnet og tiltakene som er tatt for å redusere dem.

Så langt, så gjennomsiktig - Enutits hjelper blokkjedeselskaper med å sikre at deres smarte kontrakter er sikre og hjelper investorer med å ta informerte beslutninger.

Prosessen er imidlertid langt fra idiotsikker. Det er ingen allment vedtatte standarder for smart kontraktsverifisering, og ingen revisjon kan virkelig garantere at en smart kontrakt er feilfri.

Som et resultat slipper mange sårbarheter gjennom sprekkene, ofte med ødeleggende resultater.

Her er noen eksempler fra 2023 alene.

LendHub - 6 millioner dollar utnytter - januar 2023

LendHub la igjen en avskrevet versjon av IBSV-tokenet i sin smarte kontrakt under en oppdatering. Både den gamle og den nye versjonen var aktive i kontrakten til samme pris.

Angripere var i stand til å kjøpe den gamle versjonen og bytte mot den nye, og skaffet seg 6 millioner dollar i tilleggsverdi.

BonqDAO - 120 millioner dollar utnytter - februar 2023

Angripere var i stand til å manipulere «oppdateringspris»-funksjonen i BonqDAOs smarte kontrakt, slik at de kunne endre prisen på AllianceBlocks ALBT-token.

Hackerne preget og byttet deretter store mengder tokens, noe som til slutt førte til en omfattende devaluering og avvikling av ALBT.

Euler Finans - 197 millioner dollar utnytter - mars 2023

En feil i Euler Finances smarte kontrakt tillot en angriper å sette inn sikkerhet og låne mot den uten å trekke ned den første sikkerheten.

De brukte denne feilen til å utføre et flashlånsangrep som tillot dem å ta ut nesten 200 millioner dollar i ETH-baserte eiendeler på et øyeblikk.

Vi kan ikke stoppe denne blødningen med flere revisjoner. Euler Finances smarte kontrakt gjennomgikk 10 ulike revisjoner fra seks forskjellige firmaer og ble fortsatt offer for en av årets største enkelthacks.

Noe av problemet er at tilsyn er bakovervendt. De fokuserer på kjente sårbarheter, manglende nye utnyttelser.

Hackere er utspekulerte og kreative - vi trenger sikkerhetstiltak som kan forutse og reagere på helt nye tilnærminger.

AI kan være nyttig for å tette sprekkene i den smarte kontraktrevisjonsprosessen.

In eksperimenter ved hjelp av OpenAIs GPT-4, OpenZeppelin var i stand til å bruke AI til å identifisere sårbarheter i 20 av 28 utfordringer fra Ethernaut smart kontraktshacking-spillet.

Imidlertid er ekte smarte kontrakter langt mer komplekse, og mulighetene for å utnytte dem er mer varierte enn noe annet i et kontrollert miljø som et spill.

Og hva mer - cDet er ikke på langt nær nok å finne 70 % av sårbarhetene.

Hvis nettverkssikkerhetsteamet ditt bare kunne stoppe 70 % av angrepene, ville de alle bli avfyrt.

Vi kommer til å vente minst en generasjon til før AI seriøst kan hjelpe til med smart kontraktsikkerhet, og vi trenger løsninger nå.

Disse tilleggstiltakene kan håndheves på lommeboknivå, slik at transaksjoner blir kontrollert før de sendes ut i kjeden.

Slike tiltak kan omfatte adressering av inspeksjon for å hindre useriøse aktører i å utføre kontrakter, smart kontraktshistorikk som sporer eventuelle kontraktsendringer til deres opprinnelse eller frontkjøring for å stoppe mistenkelige transaksjoner før tokens overføres.

Mange smarte kontaktutnyttelser er avhengige av hastighet. Ved å bygge mer friksjon inn i transaksjoner kan vi gjøre dem tryggere og mindre attraktive for dårlige aktører.

2024 startet med krypto i den sterkeste posisjonen den har inntatt på mange år, men sårbarheter i smarte kontrakter har kastet en skygge over denne fremgangen.

Dette er et vendepunkt, der løftet om blokkjede møter realitetene i risikoen.

Nå er oppgaven vår å ta sikkerhet seriøst i alle faser av blokkjedetransaksjoner.

---

Daniel Chong er administrerende direktør og medgründer av Harpy, kryptosikkerhetsplattformen. Mens han tok en matematikkgrad ved Duke University, jobbet Daniel som utviklings- og sikkerhetskonsulent for en rekke kryptoselskaper, og ledet prisvinnende prosjekter til seier på konferanser inkludert ETHDenver. Han er dedikert til å få slutt på trusselen om kryptotyveri og gjøre smarte kontrakter trygge og tilgjengelige for alle.

 

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://dailyhodl.com/2024/02/26/get-smart-ending-cryptos-over-reliance-on-contract-audits/