Kiểm tra hợp đồng thông minh DAO giúp tăng cường bảo mật như thế nào?

Thơi gian đọc: 6 phút

Việc tạo DAO là duy nhất đối với web3, giúp tận dụng năng lực của chuỗi khối trong việc quản lý các giao thức mà không liên quan đến các thực thể tập trung.  

DAO chủ yếu tập trung vào hai khía cạnh - mã hóa và lưu trữ phân tán. Điều này ban cho họ khả năng điều hành dựa trên quyết định tập thể của các thành viên cộng đồng.

Như với bất kỳ giao thức Web3 nào, các mối lo ngại về bảo mật cũng xoay quanh các giao thức DAO. 

Bài viết này nhằm mục đích đưa ra cơ sở hạ tầng nền tảng của DAO và hướng dẫn ứng biến bảo mật hợp đồng thông minh của họ để chịu đựng các cuộc tấn công.   

Mục đích của ĐẠO

Ethereum luôn được công nhận là blockchain có thể lập trình đầu tiên. Nó có một vai trò to lớn trong việc mang lại sự phân cấp thực sự bằng cách cho phép các nhà phát triển chơi với mã.

Về mặt đó, Hợp đồng thông minh DAO được thiết kế để thúc đẩy Quản trị trên chuỗi

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>quản trị trên chuỗi chứng minh thực tế là các cộng đồng hoàn toàn vận hành chuỗi khối. 

Cũng giống như bất kỳ hợp đồng thông minh nào khác, hợp đồng DAO về cơ bản được thiết kế để tự động hóa quy trình và thực hiện các hành động khi các điều kiện được xác định trước được đáp ứng. 

Để minh họa bằng một ví dụ, hãy xem xét hợp đồng mã thông báo ERC-20. Nó được tạo dựa trên tiêu chuẩn ERC-20 với các thông tin như địa chỉ hợp đồng, nguồn cung cấp token, tên token, điều kiện chuyển token, v.v. 

Hoạt động của mã thông báo được thực thi khi các quy tắc đã đặt được đáp ứng. Tương tự, hợp đồng DAO được mã hóa để ra lệnh cho hoạt động của tổ chức, chẳng hạn như quyết định phân phối quỹ theo đề xuất biểu quyết của các thành viên. 

Chẳng hạn, DAO có kho bạc tích hợp. Tiền từ những khoản này được sử dụng sau khi nhóm phê duyệt và không có cơ quan đơn lẻ nào có quyền truy cập để thực hiện bất kỳ kế hoạch nào. 

Các đề xuất bỏ phiếu để đưa ra các quyết định quan trọng liên quan đến dự án đảm bảo rằng tiếng nói của mọi người tham gia đều được lắng nghe, dẫn đến sự tin cậy và minh bạch hơn trong các hoạt động trên chuỗi. 

Các quyền quản lý đối với các hoạt động của các tổ chức khác nhau tùy theo giao thức và nó hoàn toàn chủ quan đối với cách mã hóa DAO được thực hiện. Vì vậy, điều quan trọng là phải chú ý đến các quyền quản lý mà người dùng có trên giao thức trước khi đăng ký vào bất kỳ DAO nào. 

Các bước liên quan đến thiết lập hợp đồng thông minh DAO

Cơ học của Quản trị trên chuỗi

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>quản trị trên chuỗi được thực thi thông qua một bộ hợp đồng– mã thông báo, bộ điều chỉnh và khóa thời gian . Chúng ta hãy tìm hiểu vai trò của từng người trong số họ. 

Token: Token xác định quyền biểu quyết của các thành viên cộng đồng tham gia Quản trị trên chuỗi

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>quản trị trên chuỗi. Hợp đồng mã thông báo đảm bảo số dư được xác minh để lấy lại sức mạnh và cho phép người tham gia bày tỏ lựa chọn của họ đối với các đề xuất quản trị. 

Thống đốc: Hợp đồng thống đốc được mã hóa với các điều kiện phân bổ quyền lực cho chủ sở hữu mã thông báo, loại mã thông báo được chấp nhận, dựa trên số phiếu bầu cần thiết cho diễn đàn, v.v. Tuy nhiên, các nhà phát triển có thể viết mã với các tính năng cụ thể về cách họ muốn các hợp đồng thực hiện. 

Bên cạnh đó, hợp đồng thống đốc cũng bao gồm các chi tiết cụ thể về trì hoãn bỏ phiếu và đề xuất bỏ phiếu trong mã. Nó phục vụ mục đích đưa ra hướng dẫn về thời gian mở đề xuất bỏ phiếu để người tham gia bỏ phiếu. 

Khóa thời gian: Khía cạnh Khóa thời gian liên quan đến thiết lập AcessControl cho vai trò được đề xuất, vai trò người thực thi và vai trò quản trị viên. Việc tích hợp thành phần khóa thời gian với các hệ thống quản trị mang lại cho người tham gia quyền tự do bỏ đi trong trường hợp không đồng ý với quyết định. 

Chế độ xem cấp cao về sự sợ hãi Bảo mật đối với DAO. 

Sự phụ thuộc của DAO vào các hợp đồng thông minh khiến họ chịu trách nhiệm về việc bỏ phiếu quản trị và bảo trì ngân quỹ. Và mỗi yếu tố này đều có mối quan tâm về bảo mật riêng; hãy thư giãn chúng dưới đây. 

Mối quan tâm về bảo mật trong hợp đồng thông minh

Hãy tua lại một chút và hồi tưởng lại ‘sự sụp đổ của DAO’ nổi tiếng. Nguyên nhân chủ yếu là do lỗi trong mã DAO. Tin tặc đã có thể khai thác lỗ hổng và rút tiền từ hợp đồng bằng cách thực hiện cuộc gọi đệ quy

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>các lệnh gọi đệ quy. 

Hợp đồng nắm giữ 12.7 triệu Ether, trong đó tin tặc đã đánh cắp 3.6 triệu ETH bằng cách tận dụng lỗ hổng trong hợp đồng.

Sự cố này mô tả rõ ràng nhu cầu có thêm kinh nghiệm và thử nghiệm với bảo mật DAO. Mặc dù DAO được khen ngợi rất nhiều vì sự đổi mới của nó, nhưng chất lượng của mã gây ra thiệt hại lớn hơn.

Hơn nữa, mã hóa của các hợp đồng thông minh phải hoàn toàn minh bạch để đảm bảo rằng không có tính năng nào trở thành lỗi sau này. 

Mối quan tâm an ninh về quản trị

Có nhiều cách trong đó tin tặc có thể xâm nhập vào quản trị của giao thức. Để bắt đầu, thông báo phi tập trung là một cách mà nếu tin tặc có thể chặn thông báo, chúng có thể đưa ra các đề xuất độc hại mà các thành viên DAO khác không chú ý. 

Tiếp theo là đề xuất yêu cầu giao dịch nhiều cuộc gọi. Nếu đề xuất không được DAO xem xét hoặc kiểm tra, kẻ tấn công có thể sử dụng chúng để tạo ra các kết quả phức tạp. 

Ngưỡng sai và khóa thời gian không phù hợp dẫn đến khả năng xảy ra các hoạt động xấu. Các khoản vay chớp nhoáng là một mối quan tâm khác đối với an ninh quản trị. Những kẻ tấn công có thể mượn một lượng lớn mã thông báo mang lại cho chúng quyền lực đa số để thông qua một đề xuất. 

Các đề xuất với mục đích xấu gây ra một mối quan tâm an ninh nghiêm trọng qua những thay đổi được thực hiện trong giao thức. Trước đây, AAVE và Compound đã từng bị các loại hack này. 

Mối quan tâm về bảo mật khi thực thi

MakerDAO, được ra mắt trong mạng Ethereum vào năm 2017, đã hoạt động tốt. Cho đến khi thị trường sụp đổ vào năm 2020 khi giá Ether giảm xuống mức thấp nhất là 50%. Đó là tài sản thế chấp quan trọng nhất được sử dụng trong MakerDAO và sự sụp đổ về giá đã kích hoạt tính thanh khoản lớn.

MakerDAO không được thiết kế để xử lý một khoản thanh lý khổng lồ dẫn đến tổn thất tài chính lớn hơn. Mặc dù mã hóa ở đây rất mạnh, nhưng lỗi là ở việc thực thi cơ chế thanh lý. 

Kể từ đó, việc thực thi cơ chế DAO cũng được thêm vào danh sách các vấn đề bảo mật hiện có khác. 

Danh sách kiểm tra kiểm tra hợp đồng thông minh DAO

Bảo mật là khía cạnh nổi bật trong Quản trị trên chuỗi

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>quản trị trên chuỗi để bảo vệ quyền lực khỏi rơi vào tay kẻ xấu. Vì vậy, từ quan điểm bảo mật, hãy cùng tìm hiểu các hướng dẫn để phát triển hợp đồng DAO mạnh mẽ.

Cuộc gọi cấp thấp: Các cuộc gọi đến các hợp đồng tùy ý lấy dữ liệu tùy ý phải được xử lý cẩn thận. 

Xử lý các cuộc gọi cấp thấp rất phức tạp vì nó có thể mở ra cơ hội cho các vectơ tấn công lại. Vì vậy, cách tốt nhất là xác minh điều kiện thành công của các cuộc gọi và sau đó xử lý dữ liệu được trả về. 

nắm giữ ETH: Dựa trên kết quả kiểm toán, đã có nhiều trường hợp ETH không được xử lý đúng cách trong các hợp đồng liên quan đến quản trị. Vì vậy, nên đảm bảo cách gửi ETH khi các hợp đồng quản trị yêu cầu xử lý ETH.

Một biện pháp phòng ngừa khác cần quan sát là trong khi sử dụng msg.value cho phép các cuộc gọi theo đợt. Rất có thể là mô hình này có thể đi sai. 

Tránh khai thác Flash-loan: Các khoản vay chớp nhoáng được dựa vào bởi những kẻ lợi dụng muốn gây ảnh hưởng đến các quyết định quản trị và tiến hành một cuộc tấn công. Họ nhận các khoản vay nhanh và đảm bảo các phiếu bầu quản trị thông qua việc nắm giữ mã thông báo để thao túng quyết định quản trị. 

Do đó, bạn có thể tránh đo lường quyền biểu quyết tại khối hiện tại, vì khoản vay chớp nhoáng được thực hiện để đạt được quyền quản trị sẽ khiến hệ thống gặp rủi ro. 

Cập nhật thường xuyên: Ngay cả khi không nhất thiết có bất kỳ sai sót nào trong hợp đồng, bạn phải luôn kiểm tra thị trường mã thông báo quản trị và điều chỉnh ngưỡng cho phù hợp. Nếu không, nó sẽ cho phép các tác nhân độc hại tiếp quản các quyết định.

Đảm bảo rằng bạn đang chú ý đến các chi tiết cụ thể trong khi di chuyển và nâng cấp hệ thống quản trị. Đã có những trường hợp như trường hợp xảy ra với Uniswap. Việc chuyển sang Thống đốc Bravo đã khởi tạo một lỗ hổng hợp đồng khiến các quyết định quản trị tạm thời bị dừng lại. 

Bao gồm sự chậm trễ bằng cách sử dụng hợp đồng khóa thời gian: Các hành động bị trì hoãn theo thời gian cho phép cộng đồng xem xét các thay đổi đối với giao thức trước khi chúng có hiệu lực. Những sự chậm trễ thời gian này có thể được thực hiện thông qua các hợp đồng Timelock. 

Các lỗ hổng liên quan đến giao thức: Phần mềm được sử dụng để mã hóa một giao thức hoạt động trên logic nghiệp vụ cụ thể có thể khác nhau. Các vấn đề phát sinh khi thực hiện các thay đổi trong hệ thống đó cũng vậy. 

Trên thực tế, giao thức Hợp chất đã gặp sự cố do sự chấp thuận của một đề xuất thao túng cộng đồng. Do đó, việc các đồng nghiệp và các bên độc lập xem xét kỹ lưỡng mã này luôn là điều tốt để đảm bảo sức mạnh và tính hợp lý của hợp đồng.

QuillAudits nổi bật trong kiểm toán hợp đồng thông minh DAO

Trong thời đại ngày nay, để một hệ thống có thể tự vận hành hoàn toàn, nhiều dự án đang tìm cách tích hợp Quản trị trên chuỗi

” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>quản trị trên chuỗi. Vì vậy, lĩnh vực này đang nhanh chóng phát triển và hưng thịnh theo nhu cầu cộng đồng của họ. 

Các cuộc tấn công cũng trở nên phức tạp, vừa thách thức vừa tốn kém. Do đó, cần phải đảm bảo các quy trình được thực hiện và mã được tuân thủ chặt chẽ. QuillAudit thực hiện nghiên cứu sâu rộng và kiểm tra mã để loại trừ bất kỳ cạm bẫy tiềm ẩn nào và bảo vệ dự án khỏi các hoạt động độc hại.

16 Lượt xem