Zephyrnet-logo

Wees slim – maak een einde aan de overmatige afhankelijkheid van Crypto van contractaudits – The Daily Hodl

Datum:

HodlX-gastpost  Dien uw bericht in

 

Vorig jaar was een achtbaan voor crypto. Er waren agressieve regelgevende maatregelen, spraakmakende strafrechtelijke veroordelingen en schokkende diefstallen.

En toch - het totaal cryptocurrency markt het kapitalisatieniveau is tot boven gestegen $ 1.4 biljoen in 2023 een groei op jaarbasis van ruim 70.7%.

Nieuwe gebruikers en instellingen raken erbij betrokken.

Gedurende 2023 groeide het aantal crypto-investeerders met 2.8% per maand, en Goldman Sachs heeft dit het jaar van crypto-investeerders genoemd. werd geïnstitutionaliseerd.

De stieren en de beren hebben allebei gelijk - er zijn momenteel enorme kansen op de markt, maar ook alarmerende risico's.

Het risico is echter niet alleen geworteld in de volatiliteit van de markt, of zelfs in de schaamteloze criminele acties van beursbeheerders - iHet zit ingebakken in de mechanismen van cryptotransacties.

Slimme contacten zijn zelf een kwetsbaar en aantrekkelijk doelwit voor hackers, en onze methoden om ze te beveiligen laten ons in de steek.

Hier is een snelle inleiding. Een slim contract is een zelfuitvoerend contract dat wordt gebruikt bij blockchain-transacties. De voorwaarden van de transactie worden rechtstreeks in de regels van de code geschreven.

Deze contracten zijn een sappig doelwit voor hackers - tZe zijn gewend om met grote bedragen en tokens van hoge waarde om te gaan.

Als u het contract kunt manipuleren, kunt u de tokens sturen zoals u dat wilt.

Blockchain-entiteiten beschermen zichzelf met slimme contractaudits, waarbij onafhankelijke reviewers het slimme contract inspecteren op ontwerpfouten, beveiligingskwetsbaarheden, efficiëntie en andere coderingsproblemen.

De auditors brengen een openbaar rapport uit, waarin alle aangetroffen problemen worden vermeld en de stappen die zijn genomen om deze te verhelpen.

Tot nu toe zo transparant - eenudits helpen blockchain-bedrijven ervoor te zorgen dat hun slimme contracten veilig zijn en helpen investeerders weloverwogen beslissingen te nemen.

Het proces is echter verre van waterdicht. Er zijn geen algemeen aanvaarde standaarden voor de verificatie van slimme contracten, en geen enkele audit kan echt garanderen dat een slim contract vrij van bugs is.

Als gevolg hiervan glippen veel kwetsbaarheden door de kieren, vaak met verwoestende resultaten.

Hier zijn een paar voorbeelden uit 2023 alleen al.

LendHub - $ 6 miljoen exploit - Januari 2023

LendHub heeft tijdens een update een afgeschreven versie van het IBSV-token in zijn slimme contract achtergelaten. Zowel de oude als de nieuwe versie waren tegen dezelfde prijs actief in het contract.

Aanvallers konden de oude versie kopen en ruilen voor de nieuwe, waardoor ze $ 6 miljoen aan extra waarde verdienden.

BonqDAO - $ 120 miljoen exploit - februari 2023

Aanvallers waren in staat om de 'update price'-functie in het slimme contract van BonqDAO te manipuleren, waardoor ze de prijs van het ALBT-token van AllianceBlock konden wijzigen.

De hackers hebben vervolgens grote hoeveelheden tokens geslagen en geruild, wat uiteindelijk leidde tot de brede devaluatie en liquidatie van ALBT.

Euler Financiën - $ 197 miljoen exploit - maart 2023

Door een fout in het slimme contract van Euler Finance kon een aanvaller onderpand deponeren en daartegen lenen zonder het initiële onderpand op te nemen.

Ze gebruikten deze bug om een ​​flash-leningaanval uit te voeren waarmee ze in enkele ogenblikken voor bijna $ 200 miljoen aan op ETH gebaseerde activa konden opnemen.

We kunnen deze bloeding niet stelpen met meer audits. Het slimme contract van Euler Finance onderging 10 verschillende audits van zes verschillende bedrijven en werd toch het slachtoffer van een van de grootste hacks van het jaar.

Een deel van het probleem is dat audits naar achteren gericht zijn. Ze richten zich op bekende kwetsbaarheden en missen nieuwe exploits.

Hackers zijn sluw en creatief - we hebben veiligheidsmaatregelen nodig die kunnen anticiperen en reageren op geheel nieuwe benaderingen.

AI kan nuttig zijn bij het dichten van de gaten in het smart contract-auditproces.

In experimenten gebruiken OpenAI's GPT-4, OpenZeppelin, kon AI gebruiken om kwetsbaarheden te identificeren in 20 van de 28 uitdagingen uit het Ethernaut smart contract-hackingspel.

Echte slimme contracten zijn echter veel complexer en de mogelijkheden om ze te exploiteren zijn gevarieerder dan wat dan ook in een gecontroleerde omgeving als een game.

En wat meer is - cHet oplossen van 70% van de kwetsbaarheden is lang niet genoeg.

Als uw netwerkbeveiligingsteam slechts 70% van de aanvallen zou kunnen stoppen, zouden ze allemaal worden afgevuurd.

We zullen nog minstens een generatie moeten wachten voordat AI serieus kan helpen bij de beveiliging van slimme contracten, en we hebben nu oplossingen nodig.

Deze aanvullende maatregelen kunnen op portemonneeniveau worden afgedwongen, zodat transacties worden gecontroleerd voordat ze via de keten worden verzonden.

Dergelijke maatregelen kunnen onder meer bestaan ​​uit het aanpakken van inspecties om te voorkomen dat malafide actoren contracten uitvoeren, een slimme contractgeschiedenis die eventuele contractwijzigingen in hun oorsprong traceert of front-running om verdachte transacties te stoppen voordat tokens worden overgedragen.

Veel slimme contact-exploits zijn afhankelijk van snelheid. Door meer wrijving in transacties in te bouwen, kunnen we ze veiliger en minder aantrekkelijk maken voor slechte actoren.

2024 begon met crypto in de sterkste positie die het in jaren heeft ingenomen, maar kwetsbaarheden in slimme contracten hebben een schaduw geworpen op deze vooruitgang.

Dit is een keerpunt, waar de belofte van blockchain de realiteit van de risico’s ervan ontmoet.

Het is nu onze taak om de beveiliging in elke fase van blockchain-transacties serieus te nemen.


Daniel Chong is de CEO en mede-oprichter van Harpij, het crypto-beveiligingsplatform. Terwijl hij een graad in wiskunde behaalde aan de Duke University, werkte Daniel als ontwikkelings- en beveiligingsconsulent voor een verscheidenheid aan cryptobedrijven, waarbij hij bekroonde projecten naar de overwinning leidde op conferenties, waaronder ETHDenver. Hij is toegewijd aan het beëindigen van de dreiging van cryptodiefstal en het veilig en toegankelijk maken van slimme contracten voor iedereen.

 

Bekijk de laatste koppen op HodlX

Volg ons op Twitter Facebook Telegram

Check out de Laatste aankondigingen in de branche  

Disclaimer: meningen die worden geuit op The Daily Hodl zijn geen beleggingsadviezen. Beleggers moeten hun due diligence doen voordat ze risicovolle investeringen in Bitcoin, cryptocurrency of digitale activa doen. Houd er rekening mee dat uw overdrachten en transacties op eigen risico zijn en dat eventuele verliezen die u oploopt, uw verantwoordelijkheid zijn. The Daily Hodl beveelt het kopen of verkopen van cryptocurrencies of digitale activa niet aan, noch is The Daily Hodl een beleggingsadviseur. Houd er rekening mee dat The Daily Hodl deelneemt aan affiliate marketing.
spot_img

Laatste intelligentie

spot_img

Chat met ons

Hallo daar! Hoe kan ik u helpen?