Zdobądź wiedzę – kończąc nadmierną zależność kryptowalut od audytów kontraktów

#TrendingTopic Miniony rok był rollercoasterem dla krypto. Były agresywne działania regulacyjne, głośne wyroki skazujące i szokujące kradzieże.
A jednak – całkowita kapitalizacja rynku kryptowalut wzrosła do ponad 1,4 biliona dolarów w 2023 roku, co oznacza wzrost w skali roku o ponad 70,7%.
Nowi użytkownicy i instytucje angażują się.
W ciągu 2023 roku liczba krypto #investors  wzrosła o 2,8% miesięcznie, a Goldman Sachs nazwał to rokiem, w którym kryptowaluty stały się zinstytucjonalizowane.
Byki i niedźwiedzie mają rację – na rynku obecnie istnieje ogromna okazja, ale także alarmujące ryzyko.
Ryzyko nie wynika jedynie z zmienności rynku, ani nawet z bezczelnych działań przestępczych menedżerów giełdowych – jest zakorzenione w samych mechanizmach krypto #transactions .
Smart kontrakty same w sobie są wrażliwym i kuszącym celem dla hakerów, a nasze metody zabezpieczania ich zawodzą.
Oto szybki wprowadzenie. Smart kontrakt to samowykonujący się kontrakt używany w transakcjach blockchainowych. Warunki transakcji są napisane bezpośrednio w linijkach kodu.
Te kontrakty są kuszącym celem dla hakerów – służą do obsługi dużych sum i tokenów o wysokiej wartości.
Jeśli możesz manipulować kontraktem, możesz kierować tokenami według własnego uznania.
Podmioty blockchainowe chronią się dzięki audytom smart kontraktów, w których niezależni recenzenci sprawdzają smart kontrakt pod kątem wad projektowych, luk w bezpieczeństwie, efektywności i innych problemów z kodowaniem.
Audytorzy wydają publiczny raport, wymieniając wszystkie znalezione problemy i kroki podjęte w celu ich złagodzenia.
Jak dotąd, wszystko transparentne – audyty pomagają firmom blockchainowym zapewnić bezpieczeństwo ich smart kontraktów i pomagają inwestorom podejmować świadome decyzje.
Proces jest daleki od bezbłędności. Nie istnieją powszechnie przyjęte standardy weryfikacji smart kontraktów, a żaden audyt nie może naprawdę zagwarantować, że smart kontrakt jest wolny od błędów.
W rezultacie wiele luk umyka uwadze, często z katastrofalnymi skutkami.
Oto kilka przykładów tylko z 2023 roku.
LendHub – eksploit za 6 milionów dolarów – styczeń 2023
LendHub zostawił przestarzałą wersję tokena IBSV w swoim smart kontrakcie podczas aktualizacji. Obie wersje, stara i nowa, były aktywne w kontrakcie po tej samej cenie.
Atakujący byli w stanie kupić starą wersję i #swap  nową, wykradając dodatkowe 6 milionów dolarów wartości.
BonqDAO – eksploit za 120 milionów dolarów – luty 2023
Atakujący byli w stanie manipulować funkcją 'aktualizuj cenę' w smart kontrakcie BonqDAO, co pozwoliło im na zmianę ceny tokena ALBT od AllianceBlock.
Hakerzy następnie wyemitowali i wymienili duże ilości tokenów, co w końcu doprowadziło do szerokiej deprecjacji i likwidacji ALBT.
Euler Finance – eksploit za 197 milionów dolarów – marzec 2023
Wada w smart kontrakcie Euler Finance pozwoliła atakującemu na wpłatę zabezpieczenia i pożyczkę pod nie bez ściągania początkowego zabezpieczenia.
Wykorzystali ten błąd do przeprowadzenia ataku flash loan, który pozwolił im na wypłatę prawie 200 milionów dolarów wartości aktywów opartych na #ETH  w krótkim czasie.
Nie możemy zatamować tego krwawienia większą liczbą audytów. Smart kontrakt Euler Finance przeszedł 10 różnych audytów od sześciu różnych firm i wciąż padł ofiarą jednego z największych pojedynczych hacków roku.
Częścią problemu jest to, że audyty są skierowane wstecz. Skupiają się na znanych lukach, pomijając nowatorskie exploity.
Hakerzy są podli i kreatywni – potrzebujemy środków zabezpieczających, które mogą przewidzieć i odpowiedzieć na zupełnie nowe podejścia.
$AI  może być przydatne w uszczelnieniu procesu audytu smart kontraktów.
W eksperymentach z użyciem GPT-4 od OpenAI, OpenZeppelin zdołał wykorzystać AI do identyfikacji luk w 20 z 28 wyzwań z gry hackingowej Ethernaut.
Jednak prawdziwe smart kontrakty są znacznie bardziej skomplikowane, a możliwości ich eksploatacji są bardziej zróżnicowane niż cokolwiek w kontrolowanym środowisku jak gra.
I co więcej – wychwycenie 70% luk to zdecydowanie za mało.
Jeśli twój zespół ds. bezpieczeństwa sieci mógłby zatrzymać tylko 70% ataków, wszyscy byliby zwolnieni.
Będziemy musieli czekać przynajmniej jeszcze jedno pokolenie, zanim AI będzie mogło poważnie wspierać bezpieczeństwo smart kontraktów, a potrzebujemy rozwiązań już teraz.
Te dodatkowe środki mogą być egzekwowane na poziomie portfela, aby transakcje były weryfikowane przed wysłaniem na łańcuch.
Takie środki mogą obejmować przeprowadzanie inspekcji, aby zapobiec działaniom niepożądanym, ślad historii smart kontraktów, który śledzi wszelkie zmiany kontraktu do ich źródeł, oraz front-running, aby zatrzymać wszelkie podejrzane transakcje przed transferem tokenów.
Wiele exploitów smart kontraktów opiera się na szybkości. Wprowadzając więcej tarć w transakcjach, możemy uczynić je bezpieczniejszymi i mniej atrakcyjnymi dla złych aktorów.
Rok 2024 rozpoczął się z kryptowalutami w najsilniejszej pozycji, jaką zajmowały od lat, ale luki w smart kontraktach rzuciły cień na ten postęp.
To jest punkt zwrotny, gdzie obietnica blockchaina spotyka się z rzeczywistością jego ryzyk.
Teraz naszym zadaniem jest poważnie podejść do bezpieczeństwa na każdym etapie transakcji blockchain.
Daniel Chong jest CEO i współzałożycielem Harpie, platformy zabezpieczeń kryptowalut. Podczas studiowania matematyki na Uniwersytecie Duke, Daniel pracował jako konsultant ds. rozwoju i bezpieczeństwa dla różnych firm kryptowalutowych, prowadząc nagradzane projekty do zwycięstwa na konferencjach, w tym $ETH Denver. Jest zdeterminowany, aby zakończyć zagrożenie kradzieżą kryptowalut i uczynić smart kontrakty bezpiecznymi i dostępnymi dla wszystkich.
Zastrzeżenie: Opinie wyrażone w The @WISE PUMPS  nie są poradą inwestycyjną. Inwestorzy powinni przeprowadzić własną due diligence przed dokonaniem jakichkolwiek wysokoryzykownych inwestycji w Bitcoin, kryptowaluty lub aktywa cyfrowe. Proszę pamiętać, że twoje transfery i transakcje są na własne ryzyko, a wszelkie straty, jakie możesz ponieść, są twoją odpowiedzialnością. The @WISE PUMPS  nie zaleca kupowania ani sprzedawania żadnych kryptowalut lub aktywów cyfrowych, ani The @WISE PUMPS  nie jest doradcą inwestycyjnym.