Bądź mądry – połóż kres nadmiernemu poleganiu Crypto na audytach umów – The Daily Hodl

Post gościa HodlX  Prześlij swój post

 

Ubiegły rok był kolejką górską dla kryptowalut. Doszło do agresywnych działań regulacyjnych, głośnych wyroków skazujących i szokujących kradzieży.

I jeszcze - ogółem rynek kryptowalut kapitalizacja się skończyła $ 1.4 biliona w 2023 r., co oznacza wzrost rok do roku o ponad 70.7%.

Angażują się nowi użytkownicy i instytucje.

Przez cały 2023 rok liczba inwestorów w kryptowaluty rosła o 2.8% miesięcznie, a Goldman Sachs nazwał ten rok rokiem kryptowalut został zinstytucjonalizowany.

Zarówno byki, jak i niedźwiedzie mają rację - na rynku istnieją obecnie ogromne możliwości, ale także niepokojące ryzyko.

Ryzyko nie wynika jednak wyłącznie z niestabilności rynku ani nawet bezczelnych przestępczych działań zarządzających giełdami - jajest to osadzone w samych mechanizmach transakcji kryptograficznych.

Inteligentne kontakty same w sobie są bezbronnym i atrakcyjnym celem dla hakerów, a nasze metody ich zabezpieczania nas zawodzą.

Oto szybki podkład. Inteligentny kontrakt to samowykonujący się kontrakt używany w transakcjach typu blockchain. Warunki transakcji są zapisane bezpośrednio w liniach kodu.

Kontrakty te są doskonałym celem hakerów - thej, jesteśmy przyzwyczajeni do obsługi dużych sum i tokenów o dużej wartości.

Jeśli potrafisz manipulować umową, możesz kierować tokenami w dowolny sposób.

Podmioty Blockchain chronią się za pomocą audytów inteligentnych kontraktów, podczas których niezależni recenzenci sprawdzają inteligentną umowę pod kątem wad projektowych, luk w zabezpieczeniach, wydajności i innych problemów z kodowaniem.

Audytorzy sporządzają publiczny raport zawierający listę wszystkich wykrytych problemów i kroków podjętych w celu ich złagodzenia.

Jak na razie przejrzyście - aaudyty pomagają firmom blockchain zapewnić bezpieczeństwo ich inteligentnych kontraktów i pomagają inwestorom w podejmowaniu świadomych decyzji.

Proces ten nie jest jednak niezawodny. Nie ma powszechnie przyjętych standardów weryfikacji inteligentnych kontraktów i żaden audyt nie może naprawdę zagwarantować, że inteligentny kontrakt jest wolny od błędów.

W rezultacie wiele luk w zabezpieczeniach przedostaje się przez pęknięcia, często wraz z druzgocące rezultaty.

Oto kilka przykładów tylko z 2023 roku.

LendHub - Exploit o wartości 6 milionów dolarów - Styczeń 2023

Podczas aktualizacji LendHub pozostawił zdeamortyzowaną wersję tokena IBSV w swoim inteligentnym kontrakcie. Zarówno stara, jak i nowa wersja były aktywne w umowie w tej samej cenie.

Atakujący mogli kupić starą wersję i wymienić ją na nową, uzyskując dodatkową wartość w wysokości 6 milionów dolarów.

BonqDAO - Exploit o wartości 120 milionów dolarów - luty 2023

Atakującym udało się zmanipulować funkcję „aktualizacji ceny” w inteligentnym kontrakcie BonqDAO, co umożliwiło im zmianę ceny tokena ALBT AllianceBlock.

Następnie hakerzy wybili i zamienili duże ilości tokenów, co ostatecznie doprowadziło do szerokiej dewaluacji i likwidacji ALBT.

Euler Finanse - Exploit o wartości 197 milionów dolarów - marzec 2023

Wada w inteligentnym kontrakcie Euler Finance umożliwiła osobie atakującej zdeponowanie zabezpieczenia i zaciągnięcie pod niego pożyczki bez pobierania początkowego zabezpieczenia.

Wykorzystali ten błąd do przeprowadzenia ataku w postaci pożyczki błyskawicznej, który pozwolił im w ciągu kilku chwil wypłacić aktywa oparte na ETH o wartości prawie 200 milionów dolarów.

Nie możemy zatamować tego krwawienia większą liczbą audytów. Inteligentny kontrakt Euler Finance przeszedł pomyślnie 10 różnych audytów z sześciu różnych firm, a mimo to padł ofiarą jednego z największych pojedynczych hacków tego roku.

Częścią problemu jest to, że audyty działają wstecz. Koncentrują się na znanych lukach w zabezpieczeniach i brakujących nowatorskich exploitach.

Hakerzy są przebiegli i kreatywni - potrzebujemy środków bezpieczeństwa, które będą w stanie przewidywać zupełnie nowe podejścia i reagować na nie.

Sztuczna inteligencja może być przydatna w załataniu luk w procesie audytu inteligentnych kontraktów.

In eksperymenty z użyciem OpenAI GPT-4, OpenZeppelin był w stanie wykorzystać sztuczną inteligencję do zidentyfikowania luk w zabezpieczeniach w 20 z 28 wyzwań związanych z grą hakerską na inteligentne kontrakty Ethernaut.

Jednak prawdziwe inteligentne kontrakty są znacznie bardziej złożone, a możliwości ich wykorzystania są bardziej zróżnicowane niż cokolwiek innego w kontrolowanym środowisku, takim jak gra.

I co więcej - cWykrycie 70% luk w zabezpieczeniach to zdecydowanie za mało.

Jeśli Twój zespół ds. bezpieczeństwa sieci byłby w stanie powstrzymać tylko 70% ataków, wszyscy zostaliby zwolnieni.

Będziemy czekać co najmniej kolejne pokolenie, zanim sztuczna inteligencja będzie mogła poważnie pomóc w bezpieczeństwie inteligentnych kontraktów, a rozwiązań potrzebujemy już teraz.

Te dodatkowe środki można wdrożyć na poziomie portfela, tak aby transakcje były sprawdzane przed wysłaniem w łańcuchu.

Takie środki mogą obejmować inspekcję mającą na celu uniemożliwienie nieuczciwym podmiotom wykonywania umów, inteligentną historię kontraktów, która śledzi wszelkie zmiany w umowie w związku z ich pochodzeniem, lub wyprzedzanie w celu zatrzymania wszelkich podejrzanych transakcji przed przeniesieniem tokenów.

Wiele inteligentnych exploitów kontaktowych opiera się na szybkości. Zwiększając tarcia w transakcjach, możemy uczynić je bezpieczniejszymi i mniej atrakcyjnymi dla złych aktorów.

Rok 2024 rozpoczął się od kryptowalut na najsilniejszej pozycji, jaką zajmowały od lat, ale luki w zabezpieczeniach inteligentnych kontraktów rzuciły cień na ten postęp.

Jest to punkt zwrotny, w którym obietnica blockchainu spotyka się z realiami związanymi z ryzykiem.

Teraz naszym zadaniem jest poważne podejście do bezpieczeństwa na każdym etapie transakcji blockchain.

---

Daniel Chong jest dyrektorem generalnym i współzałożycielem Harpia, platforma bezpieczeństwa kryptograficznego. Podczas zdobywania dyplomu z matematyki na Duke University Daniel pracował jako konsultant ds. rozwoju i bezpieczeństwa dla różnych firm zajmujących się kryptowalutami, prowadząc nagradzane projekty do zwycięstwa na konferencjach, w tym ETHDenver. Poświęca się eliminowaniu zagrożenia kradzieżą kryptowalut i zapewnianiu bezpieczeństwa i dostępności inteligentnych kontraktów dla wszystkich.

 

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://dailyhodl.com/2024/02/26/get-smart-ending-cryptos-over-reliance-on-contract-audits/