DAO Akıllı Sözleşme Denetimleri, Güvenliği Güçlendirmeye Nasıl Yardımcı Olur?

Okuma zamanı: 6 dakika

DAO'nun oluşturulması, merkezi varlıkları dahil etmeden protokolleri yönetmede blockchain'in yetkinliğinden yararlanan web3'e özgüdür.  

DAO, ağırlıklı olarak iki yönün etrafında toplanmıştır: şifreleme ve dağıtılmış depolama. Bu, onlara topluluk üyelerinin toplu kararına dayalı olarak çalışma yetenekleri bahşeder.

Herhangi bir Web3 protokolünde olduğu gibi, DAO protokollerinde de güvenlik endişeleri vardır. 

Bu makale, DAO'nun temelini oluşturan altyapıyı ve saldırılara dayanmak için akıllı sözleşme güvenliklerini doğaçlama yapma yönergelerini ortaya çıkarmayı amaçlamaktadır.   

DAO'nun Amacı

Ethereum, her zaman ilk programlanabilir blok zinciri olma kredisini elinde tutar. Geliştiricilerin kodla oynamasına izin vererek gerçek ademi merkeziyetçiliği getirmede çok büyük bir rolü vardır.

Bu bakımdan, DAO akıllı sözleşmeler teşvik etmek için tasarlandı Zincir üstü yönetişim

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>zincir içi yönetişim, toplulukların yalnızca blockchain'i işlettiği gerçeğini haklı çıkarıyor. 

Tıpkı diğer akıllı sözleşmeler gibi, DAO sözleşmeleri de temel olarak süreci otomatikleştirmek ve önceden tanımlanmış koşullar karşılandığında eylemleri yürütmek için tasarlanmıştır. 

Bir örnekle göstermek için, bir ERC-20 token sözleşmesini düşünün. Sözleşme adresi, token temini, token adı, token transfer koşulları gibi bilgilerle ERC-20 standartlarına göre oluşturulur. 

Jetonun işlemi, belirlenen kurallar karşılandığında yürütülür. Benzer şekilde, DAO sözleşmesi, üyelerin oylama önerilerine göre fon dağıtımına karar vermek gibi örgütün işleyişini dikte edecek şekilde kodlanmıştır. 

Örneğin, DAO'nun yerleşik hazineleri vardır. Bunlardan elde edilen fonlar, grubun onayından sonra harcanır ve hiçbir yetkilinin herhangi bir planı yürütme erişimi yoktur. 

Projeyle ilgili kritik kararlar almak için oylama önerileri, her katılımcının sesinin duyulmasını sağlayarak zincir üstü faaliyetlerde daha iyi güven ve şeffaflığa yol açar. 

Kuruluşların faaliyetleri üzerindeki yönetim hakları protokolden protokole değişir ve DAO kodlamasının nasıl yapıldığı tamamen özneldir. Bu nedenle, herhangi bir DAO'ya kaydolmadan önce kullanıcıların protokol üzerinde sahip oldukları yönetim haklarına dikkat etmek önemlidir. 

DAO akıllı sözleşmelerinin ayarlanmasıyla ilgili adımlar

Mekaniği Zincir üstü yönetişim

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>zincir içi yönetişim bir dizi sözleşme (token, regülatör ve zaman kilidi) aracılığıyla yürütülür . Her birinin rolünü öğrenelim. 

Simgesi: Jetonlar, topluluk üyelerinin katılım için oy kullanma gücünü belirler Zincir üstü yönetişim

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>zincir içi yönetişim. Token sözleşmesi, gücü geri almak için bakiyenin doğrulanmasını sağlar ve katılımcıların yönetim teklifleri konusunda seçimlerini ifade etmelerine olanak tanır. 

Vali: Yönetici sözleşmesi, token sahiplerine yetki tahsisi, kabul edilebilir jeton türü, forum için gerekli oy sayısının sayılması vb. koşullarla kodlanmıştır. Ancak geliştiriciler, sözleşmelerin nasıl performans göstermesini istediklerine ilişkin özellik ayrıntılarıyla kod yazabilirler. 

Ayrıca valilik sözleşmesi, oylama erteleme ve oylama önerisi özelliklerini de kodda içeriyor. Oylama önerisinin katılımcıların oy kullanması için ne kadar süreyle açık olduğuna ilişkin talimat verme amacına hizmet eder. 

Zaman kilidi: Timelock yönü, önerilen rol, yürütücü rolü ve yönetici rolü için AcessControl kurulumunu içerir. Zaman kilidi bileşenini yönetişim sistemleriyle entegre etmek, katılımcılara karara katılmamaları durumunda ayrılma özgürlüğü verir. 

DAO'lar için Güvenlik korkuları hakkında üst düzey görüş. 

DAO'ların akıllı sözleşmelere güvenmesi, onları yönetişim oylaması ve hazine bakımı konusunda sorumlu tutar. Ve bu unsurların her birinin kendi güvenlik kaygıları vardır; hadi onları aşağıda gevşetelim. 

Akıllı sözleşmede güvenlik endişeleri

Biraz geri saralım ve meşhur 'DAO çöküşünü' hatırlayalım. Bunun başlıca nedeni DAO kodundaki hataydı. Bilgisayar korsanı bu güvenlik açığından yararlanabildi ve sözleşmeden fonları çekebildi. yinelemeli aramalar

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>özyinelemeli çağrılar. 

Sözleşme, bilgisayar korsanının sözleşmedeki boşluktan yararlanarak 12.7M ETH çaldığı 3.6M Ether'i tuttu.

Bu olay, DAO güvenliğiyle ilgili daha fazla deneyim ve deney yapılması gerektiğini açıkça gösteriyor. DAO, yeniliği nedeniyle büyük övgüler alsa da, kodun kalitesi daha büyük hasara neden oldu.

Ayrıca, akıllı sözleşmelerin kodlaması, hiçbir özelliğin daha sonra bir hataya dönüşmemesini sağlamak için tamamen şeffaf olmalıdır. 

Yönetişime İlişkin Güvenlik Endişeleri

Bilgisayar korsanlarının protokolün yönetimine izinsiz girebileceği birçok yol vardır. Başlangıç ​​olarak, merkezi olmayan bildirimler, bir bilgisayar korsanının bildirimleri engelleyebilmesi durumunda diğer DAO üyeleri tarafından fark edilmeyen kötü niyetli teklifler sunabilmesinin bir yoludur. 

Sırada, çoklu arama işlemleri gerektiren teklif var. Teklif DAO tarafından incelenmez veya denetlenmezse, saldırgan bunları karmaşık sonuçlar üretmek için kullanabilir. 

Yanlış eşikler ve uygun olmayan zaman kilitleri, kötü faaliyetler olasılığına yol açar. Flaş krediler, yönetişim güvenliği için başka bir endişe kaynağıdır. Saldırganlar, bir teklifi hayata geçirmek için çoğunluk gücüne sahip olmalarını sağlayan büyük miktarda token ödünç alabilirler. 

Art niyetli teklifler ortalığı karıştırıyor ciddi güvenlik endişesi protokolde uygulanan değişiklikler üzerinde. AAVE ve Compound geçmişte bu tür saldırılardan muzdaripti. 

Yürütmeyle İlgili Güvenlik Endişeleri

2017 yılında Ethereum ağında başlatılan MakerDAO iyi gidiyordu. Ta ki 2020'de Ether fiyatı %50'ye kadar düşene kadar. MakerDAO'da kullanılan en önemli teminattı ve fiyat düşüşü büyük likiditeyi tetikledi.

MakerDAO, daha büyük bir mali kayıpla sonuçlanan bu kadar büyük bir tasfiyeyi kaldıracak şekilde tasarlanmamıştı. Burada kodlama güçlü olsa da hata tasfiye mekanizmasının işletilmesindeydi. 

O andan itibaren, DAO mekanizmasının yürütülmesi de mevcut diğer güvenlik endişeleri listesine eklendi. 

DAO akıllı sözleşme denetimleri için kontrol listesi

Güvenlik en önemli unsurdur Zincir üstü yönetişim

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>zincir üzerinde yönetim sayesinde gücün kötü ellere geçmesini önleyin. Güvenlik açısından sağlam DAO sözleşmeleri geliştirmenin yönergelerini bulalım.

Düşük seviyeli aramalar: İsteğe bağlı verileri getiren isteğe bağlı sözleşmelere yapılan çağrıların dikkatle ele alınması gerekir. 

Düşük seviyeli çağrıları işlemek zordur çünkü yeniden giriş saldırısı vektörleri için şans yaratabilir. Bu nedenle, çağrıların başarı durumunu doğrulamak ve ardından döndürülen verileri işlemek her zaman iyi bir uygulamadır. 

ETH varlıkları: Denetim bulgularına göre, yönetişimle ilgili sözleşmelerde ETH'nin düzgün bir şekilde ele alınmadığı birçok durum olmuştur. Bu nedenle, yönetişim sözleşmeleri ETH'nin işlenmesini gerektirdiğinde ETH gönderme yolunun sağlanması önerilir.

Dikkate alınması gereken bir diğer önlem, toplu aramalara izin veren msg.value kullanımıdır. Muhtemelen bu model ters gidebilir. 

Flash-loan istismarlarından kaçının: Yönetim kararlarını etkilemek ve bir saldırı başlatmak isteyen istismarcılar, flaş kredilere güvenirler. Bir yönetişim kararını manipüle etmek için flaş krediler alıyorlar ve token varlıkları aracılığıyla yönetişim oylarını güvence altına alıyorlar. 

Bu nedenle, yönetişim gücü elde etmek için alınan flaş kredi sistemi riske atacağından, oylama gücünü mevcut blokta ölçmekten kaçınabilirsiniz. 

Düzenli güncellemeler: Sözleşmede mutlaka herhangi bir kusur bulunmasa bile, her zaman yönetim belirteçleri piyasasını kontrol etmeli ve eşiği buna göre ayarlamalısınız. Aksi takdirde, kötü niyetli aktörlerin kararları devralmasına izin verirdi.

Yönetişim sistemini taşırken ve yükseltirken ayrıntılara dikkat ettiğinizden emin olun. Uniswap ile olana benzer örnekler oldu. Vali Bravo'ya taşınması, yönetişim kararlarını geçici olarak durduran bir sözleşme kusurunu başlattı. 

Zaman kilidi sözleşmesini kullanan gecikmeleri dahil et: Zaman gecikmeli eylemler, topluluğun protokoldeki değişiklikleri yürürlüğe girmeden önce gözden geçirmesini sağlar. Bu zaman gecikmeleri, Timelock sözleşmeleri aracılığıyla uygulanabilir. 

Protokolle ilgili güvenlik açıkları: Bir protokolü kodlamak için kullanılan yazılım, birbirinden farklı olabilen belirli iş mantığı üzerinde çalışır. Bu sistemdeki değişiklikleri yürütürken ortaya çıkan sorunlar da öyle. 

Aslında Bileşik protokolü, manipülatif bir topluluk teklifinin onaylanması nedeniyle bir sorun yaşadı. Bu nedenle, sözleşmenin sağlamlığından ve sağlamlığından emin olmak için meslektaşlarınız ve bağımsız taraflarca kuralların kapsamlı bir şekilde gözden geçirilmesi her zaman iyidir.

QuillAudits DAO Akıllı Sözleşme Denetiminde Eminence

Günümüzde, bir sistemin tamamen kendi kendine işleyen bir sistem olabilmesi için birçok proje, sistemi entegre etmenin yollarını buluyor. Zincir üstü yönetişim

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>zincir içi yönetişim. Dolayısıyla alan, topluluğun ihtiyaçlarına göre hızla gelişiyor ve gelişiyor. 

Saldırılar da karmaşıklaşıyor ki bu hem zorlayıcı hem de ağır maliyetli. Bu nedenle, süreçlerin yerinde olduğundan ve kodun yakından takip edildiğinden emin olmak gerekir. QuillDenetimleri olası tuzakları ortadan kaldırmak ve projeyi kötü niyetli faaliyetlerden korumak için kapsamlı bir çalışma gerçekleştirir ve kodu denetler.

16 Görünümler