Будьте розумні – покінчити з надмірною залежністю криптовалюти від аудиту контрактів – The Daily Hodl

Повідомлення гостей HodlX  Відправте своє повідомлення

 

Минулий рік був американськими гірками для криптовалюти. Були і агресивні регуляторні дії, і резонансні кримінальні вироки, і кричущі крадіжки.

І все ж - загальний криптовалютний ринок капіталізація зросла до понад $ 1.4 трлн у 2023 році річне зростання склало понад 70.7%.

Залучаються нові користувачі та установи.

Протягом 2023 року кількість криптоінвесторів зростала на 2.8% на місяць, і Goldman Sachs назвав його роком криптовалют став інституціоналізованим.

І бики, і ведмеді мають рацію - зараз на ринку є величезні можливості, але водночас і тривожний ризик.

Ризик пов’язаний не лише з нестабільністю ринку чи навіть зухвалими злочинними діями менеджерів бірж. - яце закладено в самі механізми крипто-транзакцій.

Розумні контакти самі по собі є вразливою та привабливою мішенню для хакерів, і наші методи їхнього захисту підводять нас.

Ось коротка підготовка. Смарт-контракт — це самовиконуваний контракт, який використовується в транзакціях блокчейну. Умови угоди прописані безпосередньо в рядках коду.

Ці контракти є гострою мішенню хакерів - tвони використовуються для обробки великих сум і цінних жетонів.

Якщо ви можете маніпулювати контрактом, ви можете направляти токени, як завгодно.

Суб’єкти блокчейну захищають себе за допомогою аудитів смарт-контрактів, під час яких незалежні рецензенти перевіряють смарт-контракт на наявність недоліків у дизайні, вразливості безпеки, ефективності та інших проблем із кодуванням.

Аудитори випускають відкритий звіт, у якому перераховують усі виявлені проблеми та кроки, вжиті для їх усунення.

Поки що прозоро - audits допомагає блокчейн-компаніям гарантувати безпеку своїх смарт-контрактів і допомагає інвесторам приймати обґрунтовані рішення.

Однак цей процес далеко не надійний. Не існує загальноприйнятих стандартів перевірки смарт-контрактів, і жоден аудит не може справді гарантувати, що смарт-контракт не містить помилок.

Як наслідок, багато вразливостей прослизає крізь тріщини, часто з нищівні результати.

Ось лише кілька прикладів із 2023 року.

LendHub - Експлойт на 6 мільйонів доларів - 2023 січня

LendHub залишив знецінену версію токена IBSV у своєму смарт-контракті під час оновлення. І стара, і нова версії були активні в контракті за однаковою ціною.

Зловмисники змогли купити стару версію та обміняти на нову, отримавши 6 мільйонів доларів додаткової вартості.

BonqDAO - Експлойт на 120 мільйонів доларів - лютого 2023

Зловмисники змогли маніпулювати функцією «оновлення ціни» в смарт-контракті BonqDAO, що дозволило їм змінити ціну токена ALBT AllianceBlock.

Потім хакери викарбували та обміняли великі кількості токенів, що зрештою призвело до широкого знецінення та ліквідації ALBT.

Euler Finance - Експлойт на 197 мільйонів доларів - березня 2023

Недолік у смарт-контракті Euler Finance дозволив зловмиснику внести заставу та позичити під неї без використання початкової застави.

Вони використали цю помилку для здійснення атаки флеш-позики, яка дозволила їм за мить вивести активи на основі ETH на суму майже 200 мільйонів доларів.

Ми не можемо зупинити цю кровотечу додатковими перевірками. Смарт-контракт Euler Finance піддався 10 різних аудитів від шести різних фірм і все ж став жертвою одного з найбільших одиночних хакерів року.

Частково проблема полягає в тому, що перевірки спрямовані назад. Вони зосереджені на відомих уразливостях, відсутні нові експлойти.

Хакери хитрі та творчі - нам потрібні заходи безпеки, які можуть передбачати абсолютно нові підходи та реагувати на них.

AI може бути корисним для закладення тріщин у процесі аудиту смарт-контрактів.

In досліди з використанням OpenAI GPT-4, OpenZeppelin зміг за допомогою штучного інтелекту виявити вразливості в 20 із 28 викликів хакерської гри смарт-контрактів Ethernaut.

Однак справжні смарт-контракти набагато складніші, а можливості їх використання різноманітніші, ніж будь-що в контрольованому середовищі, як гра.

І що більше - cвиявлення 70% вразливостей недостатньо.

Якби ваша команда мережевої безпеки могла зупинити лише 70% атак, їх би всіх звільнили.

Ми будемо чекати принаймні ще одне покоління, перш ніж штучний інтелект зможе серйозно допомогти в безпеці смарт-контрактів, і нам потрібні рішення зараз.

Ці додаткові заходи можна застосувати на рівні гаманця, щоб транзакції перевірялися перед відправленням у мережу.

Такі заходи можуть включати проведення перевірок, щоб запобігти виконанню контрактів зловмисниками, історію смарт-контрактів, яка відстежує будь-які зміни контрактів до їх походження, або попереднє припинення будь-яких підозрілих транзакцій до передачі токенів.

Багато експлойтів розумних контактів покладаються на швидкість. Вбудовуючи більше тертя в транзакції, ми можемо зробити їх безпечнішими та менш привабливими для зловмисників.

2024 рік почався з найсильнішої позиції криптовалюти за останні роки, але вразливості смарт-контрактів кинули тінь на цей прогрес.

Це точка перегину, де перспективи блокчейну зустрічаються з реальними ризиками.

Тепер наше завдання — серйозно поставитися до безпеки на кожному етапі транзакцій блокчейну.

---

Деніел Чонг є генеральним директором і співзасновником гарпія, платформа криптобезпеки. Здобуваючи ступінь математики в Університеті Дьюка, Деніел працював консультантом із розробки та безпеки для різноманітних криптокомпаній, ведучи відзначені нагородами проекти до перемоги на конференціях, зокрема ETHDenver. Він прагне подолати загрозу крадіжки криптовалют і зробити розумні контракти безпечними та доступними для всіх.

 

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://dailyhodl.com/2024/02/26/get-smart-ending-cryptos-over-reliance-on-contract-audits/