Bli smart – Avsluta Cryptos övertillit på kontraktsrevisioner – The Daily Hodl

HodlX gästpost  Skicka ditt inlägg

 

Förra året var en berg-och-dalbana för krypto. Det förekom aggressiva regleringsåtgärder, högprofilerade brottsdomar och chockerande stölder.

Och ändå - det totala kryptokurrencymarknaden kapitaliseringen steg till över $ 1.4 biljoner år 2023, en tillväxt från år till år på över 70.7 %.

Nya användare och institutioner engagerar sig.

Under 2023 växte antalet kryptoinvesterare med 2.8 % per månad, och Goldman Sachs har kallat det för årets krypto blev institutionaliserad.

Både tjurarna och björnarna har rätt - det finns enorma möjligheter på marknaden just nu, men också en alarmerande risk.

Risken är dock inte bara förankrad i marknadsvolatilitet, eller ens börsförvaltarnas fräcka brottsliga handlingar - jagDet är inbakat i själva mekanismerna för kryptotransaktioner.

Smarta kontakter i sig är ett sårbart och lockande mål för hackare, och våra metoder för att säkra dem sviker oss.

Här är en snabb primer. Ett smart kontrakt är ett självutförande kontrakt som används i blockchain-transaktioner. Villkoren för transaktionen skrivs direkt in i kodens rader.

Dessa kontrakt är ett saftigt hackingmål - thej är van att hantera stora summor och värdefulla tokens.

Om du kan manipulera kontraktet kan du styra tokens hur du vill.

Blockchain-enheter skyddar sig själva med smarta kontraktsrevisioner, där oberoende granskare inspekterar det smarta kontraktet för designfel, säkerhetsbrister, effektivitet och andra kodningsproblem.

Revisorerna avger en offentlig rapport som listar alla de problem som hittats och de åtgärder som vidtagits för att mildra dem.

Hittills så transparent - audits hjälper blockchain-företag att säkerställa att deras smarta kontrakt är säkra och hjälper investerare att fatta välgrundade beslut.

Processen är dock långt ifrån idiotsäker. Det finns inga allmänt antagna standarder för smart kontraktsverifiering, och ingen revision kan verkligen garantera att ett smart kontrakt är felfritt.

Som ett resultat glider massor av sårbarheter genom stolarna, ofta med förödande resultat.

Här är några exempel bara från 2023.

LendHub - 6 miljoner dollar utnyttjar - januari 2023

LendHub lämnade en avskriven version av IBSV-tokenet i sitt smarta kontrakt under en uppdatering. Både den gamla och den nya versionen var aktiva i kontraktet till samma pris.

Angripare kunde köpa den gamla versionen och byta mot den nya, vilket fick 6 miljoner dollar i mervärde.

BonqDAO - 120 miljoner dollar utnyttjar - februari 2023

Angripare kunde manipulera funktionen "uppdatera pris" i BonqDAO:s smarta kontrakt, så att de kunde ändra priset på AllianceBlocks ALBT-token.

Hackarna präglade och bytte sedan stora mängder tokens, vilket så småningom ledde till den breda devalveringen och likvideringen av ALBT.

Euler Finans - 197 miljoner dollar utnyttjar - mars 2023

Ett fel i Euler Finances smarta kontrakt gjorde att en angripare kunde sätta in säkerheter och låna mot dem utan att ta ut den initiala säkerheten.

De använde denna bugg för att utföra en snabblånsattack som gjorde det möjligt för dem att ta ut ETH-baserade tillgångar till ett värde av nästan 200 miljoner dollar på ett ögonblick.

Vi kan inte bekämpa denna blödning med fler revisioner. Euler Finances smarta kontrakt genomgick 10 olika revisioner från sex olika företag och blev fortfarande offer för ett av årets största enskilda hacks.

En del av problemet är att revisioner är bakåtvända. De fokuserar på kända sårbarheter, saknade nya exploateringar.

Hackare är listiga och kreativa - vi behöver säkerhetsåtgärder som kan förutse och svara på helt nya tillvägagångssätt.

AI kan vara användbar för att täta sprickorna i den smarta kontraktsrevisionsprocessen.

In experiment med hjälp av OpenAI:s GPT-4, OpenZeppelin kunde använda AI för att identifiera sårbarheter i 20 av 28 utmaningar från Ethernauts smarta kontraktshackningsspel.

Men riktiga smarta kontrakt är mycket mer komplexa, och möjligheterna att utnyttja dem mer varierande än något annat i en kontrollerad miljö som ett spel.

Och vad mer - catt åtgärda 70 % av sårbarheterna räcker inte alls.

Om ditt nätverkssäkerhetsteam bara kunde stoppa 70 % av attackerna skulle de alla avfyras.

Vi kommer att vänta minst en generation till innan AI på allvar kan hjälpa till med smart kontraktssäkerhet, och vi behöver lösningar nu.

Dessa ytterligare åtgärder kan tillämpas på plånboksnivå så att transaktioner granskas innan de skickas ut i kedjan.

Sådana åtgärder kan innefatta att ta itu med inspektioner för att förhindra oseriösa aktörer från att utföra kontrakt, smart kontraktshistorik som spårar eventuella kontraktsändringar till deras ursprung eller frontrunning för att stoppa misstänkta transaktioner innan tokens överförs.

Många smarta kontaktexploater är beroende av hastighet. Genom att bygga in mer friktion i transaktioner kan vi göra dem säkrare och mindre attraktiva för dåliga aktörer.

2024 startade med krypto i den starkaste positionen på flera år, men sårbarheter i smarta kontrakt har kastat en skugga över detta framsteg.

Detta är en brytpunkt, där löftet om blockchain möter verkligheten av dess risker.

Nu är vår uppgift att ta säkerheten på allvar i varje skede av blockchain-transaktioner.

---

Daniel Chong är VD och medgrundare av Harpya, kryptosäkerhetsplattformen. Medan han studerade matematik vid Duke University, arbetade Daniel som utvecklings- och säkerhetskonsult för en mängd olika kryptoföretag och ledde prisbelönta projekt till seger på konferenser inklusive ETHDenver. Han är dedikerad till att få slut på hotet om kryptostöld och göra smarta kontrakt säkra och tillgängliga för alla.

 

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://dailyhodl.com/2024/02/26/get-smart-ending-cryptos-over-reliance-on-contract-audits/