Cum ajută DAO Smart Contract Audits la consolidarea securității?

Timp de citit: 6 minute

Crearea DAO este unică pentru web3, care valorifică competența blockchain în guvernarea protocoalelor fără a implica entități centralizate.  

DAO este puternic centrat pe două fațete - criptarea și stocarea distribuită. Acest lucru le oferă capabilitățile de a alerga pe baza deciziei colective a membrilor comunității.

Ca și în cazul oricărui protocol Web3, problemele de securitate sunt, de asemenea, legate de protocoalele DAO. 

Acest articol își propune să scoată în evidență infrastructura care stau la baza DAO și liniile directoare pentru improvizația securității contractelor inteligente pentru a rezista atacurilor.   

Scopul DAO

Ethereum deține întotdeauna meritul pentru a fi primul blockchain programabil. Are un rol imens în a aduce o adevărată descentralizare, permițând dezvoltatorilor să se joace cu codul.

În această privință, Contracte inteligente DAO sunt concepute pentru a promova Guvernare în lanț

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>guvernarea on-chain justificând faptul că comunitățile operează exclusiv blockchain-ul. 

La fel ca orice alte contracte inteligente, contractele DAO sunt concepute practic pentru a automatiza procesul și a executa acțiuni atunci când sunt îndeplinite condițiile predefinite. 

Pentru a ilustra cu un exemplu, luați în considerare un contract cu simbol ERC-20. Este creat pe baza standardelor ERC-20 cu informații precum adresa contractului, furnizarea de token, numele tokenului, condițiile de transfer de token etc. 

Operația jetonului este executată atunci când sunt îndeplinite regulile stabilite. În mod similar, contractul DAO este codificat pentru a dicta funcționarea organizației, cum ar fi decizia privind distribuirea fondului conform propunerilor de vot ale membrilor. 

De exemplu, DAO are trezorerie încorporate. Fondurile din acestea sunt cheltuite după aprobarea grupului și nicio autoritate nu are acces pentru a executa vreun plan. 

Propunerile de vot pentru luarea deciziilor critice legate de proiect asigură că vocea fiecărui participant este auzită, ceea ce duce la o mai bună încredere și transparență în activitățile în lanț. 

Drepturile de guvernare asupra activităților organizațiilor variază de la protocol la protocol și este pur subiectiv de modul în care se realizează codarea DAO. Prin urmare, este important să acordați atenție drepturilor de guvernare pe care utilizatorii le au asupra protocolului înainte de a vă înscrie în orice DAO. 

Pași implicați în crearea contractelor inteligente DAO

Mecanica Guvernare în lanț

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>guvernarea în lanț sunt executate printr-un set de contracte – token, guvernator și timelock . Să aflăm rolul fiecăruia dintre ei. 

Token: Jetoanele determină puterea de vot a membrilor comunității la care să participe Guvernare în lanț

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>guvernare în lanț. Contractul cu simboluri asigură verificarea echilibrului pentru a recupera puterea și a permite participanților să-și exprime alegerea cu privire la propunerile de guvernare. 

Guvernator: Contractul guvernatorului este codificat cu condiții privind alocarea puterii deținătorilor de jetoane, tipul de jetoane acceptate, numărarea pe numărul de voturi necesare pentru forum și așa mai departe. Cu toate acestea, dezvoltatorii pot codifica cu caracteristicile specifice despre modul în care doresc să funcționeze contractele. 

În plus, contractul guvernatorului include, de asemenea, întârzierea votului și specificul propunerii de vot în cod. Acesta servește scopul de a oferi instrucțiuni cu privire la cât timp propunerea de vot este deschisă pentru vot participanților. 

Timelock: Aspectul Timelock implică configurarea AcessControl pentru rolul propus, rolul de executant și rolul de administrator. Integrarea componentei timelock cu sistemele de guvernare oferă participanților libertatea de a pleca în caz de dezacord cu decizia. 

Vedere la nivel înalt despre temerile de securitate pentru DAO. 

Dependența DAO de contractele inteligente îi ține la răspundere pentru votul guvernanței și întreținerea trezoreriei. Și fiecare dintre aceste elemente are propriile sale preocupări de securitate; haideți să le relaxăm mai jos. 

Probleme de securitate în contractul inteligent

Să derulăm puțin înapoi și să ne amintim binecunoscuta „cădere DAO”. Cauza predominantă a fost eroarea din codul DAO. Hackerul a reușit să exploateze vulnerabilitatea și să scurgă fonduri din contract prin realizarea Apeluri recursive

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>apeluri recursive. 

Contractul deținea 12.7 milioane Ether, din care hackerul a furat 3.6 milioane ETH, valorificând lacuna din contract.

Acest incident descrie în mod clar nevoia de mai multă experiență și experimentare cu securitatea DAO. Deși DAO este foarte lăudat pentru inovația sa, calitatea codului a cauzat daune mai mari.

În plus, codificarea contractelor inteligente ar trebui să fie complet transparentă pentru a se asigura că nicio caracteristică nu se transformă într-un bug mai târziu. 

Preocupări de securitate privind guvernanța

Există mai multe moduri în care hackerii pot interveni în guvernarea protocolului. Pentru început, notificările descentralizate sunt o modalitate prin care, dacă un hacker poate bloca notificările, poate introduce propuneri rău intenționate care trec neobservate de alți membri DAO. 

Urmează propunerea care necesită tranzacții multicall. Dacă propunerea nu este revizuită sau auditată de DAO, atacatorul le poate folosi pentru a produce rezultate complexe. 

Pragurile greșite și orele de timp neadecvate duc la posibilitatea unor activități proaste. Împrumuturile flash reprezintă o altă preocupare pentru securitatea guvernării. Atacatorii pot împrumuta o sumă uriașă de jetoane care le dă puterea majoritară de a promova o propunere. 

Propunerile cu intenții rău intenționate ridică a îngrijorare serioasă de securitate asupra modificărilor implementate în protocol. AAVE și Compound au suferit de pe urma acestor tipuri de hack-uri în trecut. 

Preocupări de securitate privind execuția

MakerDAO, lansat în rețeaua Ethereum în 2017, mergea bine. Până când a lovit o prăbușire a pieței în 2020, când prețul Ether a scăzut cu până la 50%. A fost cea mai importantă garanție folosită în MakerDAO, iar prăbușirea prețurilor a declanșat lichidități masive.

MakerDAO nu a fost conceput pentru a face față unei lichidări atât de uriașe care a dus la o pierdere financiară mai mare. Deși codarea era puternică aici, vina a fost în executarea mecanismului de lichidare. 

De atunci, execuția mecanismului DAO a fost adăugată și la lista altor preocupări de securitate existente. 

Lista de verificare pentru auditurile de contracte inteligente DAO

Securitatea este aspectul predominant în Guvernare în lanț

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>guvernare în lanț pentru a proteja puterea de a cădea în mâini rele. Deci, din punct de vedere al securității, să găsim liniile directoare pentru dezvoltarea unor contracte DAO robuste.

Apeluri de nivel scăzut: Apelurile la contracte arbitrare care preiau date arbitrare trebuie tratate cu atenție. 

Gestionarea apelurilor de nivel scăzut este dificilă, deoarece poate deschide șansa pentru vectori de atac de reintrare. Deci, este întotdeauna o practică bună să verificați starea de succes a apelurilor și apoi să gestionați datele returnate. 

Participații ETH: Pe baza constatărilor auditului, au existat multe cazuri în care ETH nu este gestionată corespunzător în contractele legate de guvernanță. Așadar, se sugerează să se asigure modalitatea de trimitere a ETH atunci când contractele de guvernare necesită gestionarea ETH.

O altă precauție de respectat este atunci când utilizați msg.value care permite apeluri în lot. Sunt șanse ca acest model să meargă greșit. 

Abțineți-vă de la exploatările de împrumut Flash: Împrumuturile flash sunt bazate pe exploatatorii care doresc să influențeze deciziile de guvernare și să lanseze un atac. Aceștia iau împrumuturi flash și asigură voturile de guvernare prin dețineri de simboluri pentru a manipula o decizie de guvernare. 

Prin urmare, puteți evita măsurarea puterii de vot la blocul actual, deoarece împrumutul rapid luat pentru obținerea puterii de guvernare pune sistemul în pericol. 

Actualizări periodice: Chiar dacă nu există neapărat defecte în contract, ar trebui să verificați întotdeauna pe piața jetoanelor de guvernare și să ajustați pragul în consecință. În caz contrar, ar permite actorilor rău intenționați să preia deciziile.

Asigurați-vă că acordați atenție specificului în timp ce migrați și actualizați sistemul de guvernare. Au existat cazuri precum cea care s-a întâmplat cu Uniswap. Migrarea sa la guvernatorul Bravo a inițializat un defect contractual care a oprit temporar deciziile de guvernare. 

Includeți întârzierile folosind contractul de blocare a timpului: Acțiunile întârziate permit comunității să revizuiască modificările aduse protocolului înainte ca acestea să intre în vigoare. Aceste întârzieri pot fi implementate prin contracte Timelock. 

Vulnerabilitati legate de protocol: Software-ul utilizat pentru codificarea unui protocol funcționează pe o logică specifică de afaceri care poate varia una de la alta. La fel și problemele care apar la executarea modificărilor în acel sistem. 

De fapt, protocolul Compound a suferit o problemă din cauza aprobării unei propuneri de manipulare a comunității. Prin urmare, este întotdeauna bine să existe o revizuire amănunțită a codului de către colegi și părți independente pentru a asigura soliditatea și soliditatea contractului.

QuillAudits Eminență în DAO Smart Contract Auditing

În vremurile de astăzi, pentru ca un sistem să fie pur auto-funcțional, multe proiecte își găsesc calea de a se integra Guvernare în lanț

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>guvernare în lanț. Deci, domeniul evoluează și înflorește rapid, conform nevoilor comunității lor. 

Atacurile devin, de asemenea, complicate, ceea ce este atât provocator, cât și costisitor. Prin urmare, este necesar să se asigure că procesele sunt în vigoare și codul este urmat îndeaproape. QuillAudits efectuează un studiu amplu și auditează codul pentru a exclude eventualele capcane și pentru a proteja proiectul de activități rău intenționate.

16 Vizualizări