Fique esperto – Acabando com a dependência excessiva da criptografia em auditorias de contratos – The Daily Hodl

Postagem de convidado HodlX  Envie sua postagem

 

O ano passado foi uma montanha-russa para a criptografia. Houve ações regulatórias agressivas, condenações criminais de grande repercussão e roubos chocantes.

E ainda - o total mercado de criptografia a capitalização subiu para mais $ 1.4 trilhões em 2023, um crescimento anual superior a 70.7%.

Novos usuários e instituições estão se envolvendo.

Ao longo de 2023, o número de investidores em criptografia cresceu 2.8% ao mês, e a Goldman Sachs chamou-o de o ano em criptografia tornou-se institucionalizado.

Os touros e os ursos estão certos - há imensas oportunidades no mercado neste momento, mas também riscos alarmantes.

O risco não está apenas enraizado na volatilidade do mercado, ou mesmo nas ações criminosas descaradas dos gestores de bolsas - EuEstá embutido nos próprios mecanismos das transações criptográficas.

Os próprios contatos inteligentes são um alvo vulnerável e atraente para hackers, e nossos métodos para protegê-los estão nos decepcionando.

Aqui está uma introdução rápida. Um contrato inteligente é um contrato autoexecutável usado em transações blockchain. Os termos da transação são escritos diretamente nas linhas do código.

Esses contratos são um alvo interessante para hackers - teles estão acostumados a lidar com grandes somas e tokens de alto valor.

Se você puder manipular o contrato, poderá direcionar os tokens como quiser.

As entidades Blockchain protegem-se com auditorias de contratos inteligentes, nas quais revisores independentes inspecionam o contrato inteligente em busca de falhas de design, vulnerabilidades de segurança, eficiência e outros problemas de codificação.

Os auditores emitem um relatório público, listando todos os problemas encontrados e as medidas tomadas para mitigá-los.

Até agora, tão transparente - Umas auditorias ajudam as empresas de blockchain a garantir que seus contratos inteligentes sejam seguros e ajudam os investidores a tomar decisões informadas.

O processo está longe de ser infalível. Não existem padrões amplamente adotados para verificação de contratos inteligentes e nenhuma auditoria pode realmente garantir que um contrato inteligente esteja livre de erros.

Como resultado, muitas vulnerabilidades passam despercebidas, muitas vezes com resultados devastadores.

Aqui estão alguns exemplos apenas de 2023.

LendHub - Exploit de $ 6 milhões - Janeiro 2023

LendHub deixou uma versão depreciada do token IBSV em seu contrato inteligente durante uma atualização. Tanto a versão antiga quanto a nova estavam ativas no contrato pelo mesmo preço.

Os invasores conseguiram comprar a versão antiga e trocá-la pela nova, ganhando US$ 6 milhões em valor adicional.

BonqDAOGenericName - Exploit de $ 120 milhões - Fevereiro de 2023

Os invasores conseguiram manipular a função de ‘atualização de preço’ no contrato inteligente do BonqDAO, permitindo-lhes alterar o preço do token ALBT do AllianceBlock.

Os hackers então cunharam e trocaram grandes quantidades de tokens, levando eventualmente à ampla desvalorização e liquidação do ALBT.

Finanças Euler - Exploit de $ 197 milhões - Março de 2023

Uma falha no contrato inteligente da Euler Finance permitiu que um invasor depositasse garantias e contraísse empréstimos sem sacar a garantia inicial.

Eles usaram esse bug para executar um ataque de empréstimo instantâneo que lhes permitiu sacar quase US$ 200 milhões em ativos baseados em ETH em instantes.

Não podemos estancar esta hemorragia com mais auditorias. O contrato inteligente da Euler Finance passou por 10 auditorias diferentes de seis empresas diferentes e ainda assim foi vítima de um dos maiores hacks do ano.

Parte do problema é que as auditorias são voltadas para trás. Eles se concentram em vulnerabilidades conhecidas, ignorando novas explorações.

Hackers são tortuosos e criativos - precisamos de medidas de segurança que possam antecipar e responder a abordagens inteiramente novas.

A IA pode ser útil para fechar lacunas no processo de auditoria de contratos inteligentes.

In experimentos usando GPT-4 da OpenAI, OpenZeppelin foi capaz de usar IA para identificar vulnerabilidades em 20 dos 28 desafios do jogo de hacking de contrato inteligente Ethernaut.

No entanto, os verdadeiros contratos inteligentes são muito mais complexos e as oportunidades para os explorar são mais variadas do que qualquer coisa num ambiente controlado como um jogo.

E o que mais - ccorrigir 70% das vulnerabilidades não é suficiente.

Se a sua equipe de segurança de rede conseguisse impedir apenas 70% dos ataques, todos seriam demitidos.

Estaremos esperando pelo menos mais uma geração antes que a IA possa ajudar seriamente na segurança de contratos inteligentes, e precisamos de soluções agora.

Essas medidas adicionais podem ser aplicadas no nível da carteira para que as transações sejam verificadas antes de serem enviadas para a rede.

Tais medidas poderiam incluir a abordagem da inspeção para evitar que atores desonestos executem contratos, o histórico de contratos inteligentes que rastreie quaisquer alterações contratuais até suas origens ou o front-running para interromper quaisquer transações suspeitas antes que os tokens sejam transferidos.

Muitas explorações de contatos inteligentes dependem da velocidade. Ao criar mais atrito nas transações, podemos torná-las mais seguras e menos atraentes para os malfeitores.

2024 começou com a criptografia na posição mais forte que ocupou em anos, mas as vulnerabilidades dos contratos inteligentes lançaram uma sombra sobre esse progresso.

Este é um ponto de inflexão, onde a promessa do blockchain atende à realidade dos seus riscos.

Agora, nossa tarefa é levar a sério a segurança em todas as etapas das transações blockchain.

---

Daniel Chong é o CEO e cofundador da Harpia, a plataforma de segurança criptográfica. Enquanto cursava matemática na Duke University, Daniel trabalhou como consultor de desenvolvimento e segurança para diversas empresas de criptografia, liderando projetos premiados até a vitória em conferências, incluindo a ETHDenver. Ele se dedica a acabar com a ameaça de roubo de criptografia e a tornar os contratos inteligentes seguros e acessíveis a todos.

 

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://dailyhodl.com/2024/02/26/get-smart-ending-cryptos-over-reliance-on-contract-audits/