Get Smart – Încheierea dependenței excesive a Crypto-ului de auditurile contractuale – The Daily Hodl

HodlX Guest Post  Trimite-ți postarea

 

Anul trecut a fost un rollercoaster pentru cripto. Au fost acțiuni de reglementare agresive, condamnări penale importante și furturi șocante.

Si totusi - totalul piata de criptare capitalizarea a crescut la peste 1.4 trilioane $ în 2023, o creștere de la an la an de peste 70.7%.

Noi utilizatori și instituții se implică.

Pe parcursul anului 2023, numărul investitorilor cripto a crescut cu 2.8% pe lună, iar Goldman Sachs l-a numit anul cripto. s-a instituţionalizat.

Taurii și urșii au dreptate - există o oportunitate imensă pe piață în acest moment, dar și un risc alarmant.

Totuși, riscul nu este doar înrădăcinat în volatilitatea pieței sau chiar în acțiunile infracționale ale managerilor de schimb. - iEste inclus în mecanismele tranzacțiilor cripto.

Contactele inteligente în sine sunt o țintă vulnerabilă și atrăgătoare pentru hackeri, iar metodele noastre de a le securiza ne dezamăgesc.

Iată un primer rapid. Un contract inteligent este un contract cu autoexecuție utilizat în tranzacțiile blockchain. Termenii tranzacției sunt înscriși direct în rândurile codului.

Aceste contracte sunt o țintă suculentă de hacking - tsunt obișnuiți să gestioneze sume mari și jetoane de mare valoare.

Dacă puteți manipula contractul, puteți direcționa jetoanele așa cum doriți.

Entitățile blockchain se protejează cu audituri ale contractelor inteligente, în care recenzenții independenți inspectează contractul inteligent pentru defecte de proiectare, vulnerabilități de securitate, eficiență și alte probleme de codare.

Auditorii emit un raport public, în care sunt enumerate toate problemele constatate și măsurile întreprinse pentru a le atenua.

Până acum, atât de transparent - Audit-urile ajută companiile blockchain să se asigure că contractele lor inteligente sunt sigure și îi ajută pe investitori să ia decizii informate.

Totuși, procesul este departe de a fi inofensiv. Nu există standarde adoptate pe scară largă pentru verificarea contractelor inteligente și niciun audit nu poate garanta cu adevărat că un contract inteligent nu are erori.

Ca rezultat, o mulțime de vulnerabilități trec prin fisuri, adesea cu rezultate devastatoare.

Iată câteva exemple doar din 2023.

LendHub - 6 de milioane de dolari exploatează - ianuarie 2023

LendHub a lăsat o versiune depreciată a jetonului IBSV în contractul său inteligent în timpul unei actualizări. Atât versiunea veche, cât și cea nouă au fost active în contract la același preț.

Atacatorii au putut să cumpere versiunea veche și să o schimbe cu noua, câștigând o valoare suplimentară de 6 milioane de dolari.

BonqDAO - 120 de milioane de dolari exploatează - februarie 2023

Atacatorii au reușit să manipuleze funcția „actualizare preț” din contractul inteligent al BonqDAO, permițându-le să schimbe prețul jetonului ALBT al AllianceBlock.

Hackerii au bătut apoi și au schimbat cantități mari de jetoane, ducând în cele din urmă la devalorizarea și lichidarea amplă a ALBT.

Euler Finance - 197 de milioane de dolari exploatează - Martie 2023

O defecțiune a contractului inteligent al lui Euler Finance i-a permis unui atacator să depună garanții și să se împrumute împotriva acestuia fără a retrage garanția inițială.

Au folosit această eroare pentru a executa un atac de împrumut rapid care le-a permis să retragă în câteva momente active în valoare de aproape 200 de milioane de dolari din ETH.

Nu putem opri această sângerare cu mai multe audituri. Contractul inteligent al lui Euler Finance a fost supus 10 audituri diferite de la șase firme diferite și încă a căzut victima unuia dintre cele mai mari hack-uri ale anului.

O parte a problemei este că auditurile sunt orientate înapoi. Ei se concentrează pe vulnerabilități cunoscute, despre exploatările noi lipsă.

Hackerii sunt vicleni și creativi - avem nevoie de măsuri de securitate care să anticipeze și să răspundă la abordări complet noi.

Inteligența artificială poate fi utilă pentru a sigila fisurile în procesul de audit al contractelor inteligente.

In experimente folosind GPT-4 de la OpenAI, OpenZeppelin a reușit să folosească AI pentru a identifica vulnerabilități în 20 din 28 de provocări din jocul de hacking de contracte inteligente Ethernaut.

Cu toate acestea, contractele inteligente reale sunt mult mai complexe, iar oportunitățile de a le exploata sunt mai variate decât orice într-un mediu controlat precum un joc.

Și mai mult - catingerea a 70% dintre vulnerabilități nu este suficient.

Dacă echipa ta de securitate a rețelei ar putea opri doar 70% din atacuri, toate ar fi concediate.

Vom aștepta cel puțin încă o generație înainte ca AI să poată ajuta serios la securitatea contractelor inteligente și avem nevoie de soluții acum.

Aceste măsuri suplimentare pot fi aplicate la nivel de portofel, astfel încât tranzacțiile să fie verificate înainte de a fi trimise în lanț.

Astfel de măsuri ar putea include abordarea inspecției pentru a împiedica actorii necinstiți să execute contracte, istoricul contractelor inteligente care urmărește orice modificare a contractului la originile lor sau avansarea pentru a opri orice tranzacție suspectă înainte ca tokenurile să fie transferate.

Multe exploatații de contact inteligente se bazează pe viteză. Construind mai multe fricțiuni în tranzacții, le putem face mai sigure și mai puțin atractive pentru actorii răi.

2024 a început cu cripto-ul în cea mai puternică poziție pe care a ocupat-o în ultimii ani, dar vulnerabilitățile contractelor inteligente au aruncat o umbră asupra acestui progres.

Acesta este un punct de inflexiune, în care promisiunea blockchain-ului îndeplinește realitățile riscurilor sale.

Acum, sarcina noastră este să fim serioși în ceea ce privește securitatea în fiecare etapă a tranzacțiilor blockchain.

---

Daniel Chong este CEO și co-fondator al Harpie, platforma de securitate cripto. În timp ce urma o diplomă de matematică la Universitatea Duke, Daniel a lucrat ca consultant de dezvoltare și securitate pentru o varietate de companii cripto, conducând proiecte premiate către victorie la conferințe, inclusiv ETHDenver. El este dedicat să pună capăt amenințării furtului criptografic și să facă contractele inteligente sigure și accesibile tuturor.

 

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://dailyhodl.com/2024/02/26/get-smart-ending-cryptos-over-reliance-on-contract-audits/