Los protocolos de DeFi deben ir más allá de la seguridad "parche después del ataque" e integrar garantías de seguridad en el código de sus programas si el sector de 168.000 millones de dólares ha de madurar, según a16z Crypto. En una publicación del 11 de enero, Daejun Park, investigador senior de seguridad de la empresa, argumentó que los desarrolladores de DeFi deberían adoptar un enfoque más principiado en cuanto a seguridad en lugar de depender del ensayo y error. En el núcleo de ese cambio, dijo Park, está el uso de especificaciones estandarizadas que limitan lo que un protocolo está permitido hacer, y que revierten automáticamente cualquier transacción que viole esos supuestos predefinidos sobre el comportamiento correcto. "Casi cada explotación hasta la fecha habría activado uno de estos controles durante la ejecución, posiblemente deteniendo el ataque", dijo Park. "Así, la idea una vez popular de 'el código es la ley' evoluciona hacia 'la especificación es la ley'". Tal idea, a veces denominada como cumplimiento en tiempo de ejecución o comprobaciones de invariantes, no es nueva. Pero está recibiendo una nueva mirada a medida que los protocolos DeFi luchan por defenderse contra los hackers que explotan errores en su código. El año pasado, los hackers frotó más de 649 millones de dólares a través de explotaciones de código según un informe de Slowmist, una empresa de seguridad blockchain. Incluso protocolos bien probados como Balancer, cuyo código había estado activo en la blockchain de Ethereum desde 2021, no estuvieron inmunes. It perdido 128 millones de dólares en noviembre después de que un hacker aprovechara un error en el código. En los últimos meses, los desarrolladores de DeFi temen que los hackers estén utilizando cada vez más la inteligencia artificial para encontrar vulnerabilidades en los protocolos DeFi y aprovecharlas. ‘No es la solución definitiva’ Las sugerencias de Park, si se adoptan ampliamente, podrían ayudar mucho a prevenir ataques. Pero no carecen de inconvenientes. Los protocolos DeFi a menudo ganan ventaja sobre sus competidores al ofrecer las tarifas más bajas. Añadir controles adicionales en las transacciones aumentaría los costos de gas, lo que podría hacerles perder usuarios, dijo Gonçalo Magalhães, jefe de seguridad en Immunefi, DL NoticiasMagalhães dijo que las comprobaciones invariantes son una gran estrategia de seguridad, pero no pueden prever todo, especialmente los exploits que los desarrolladores de un protocolo no puedan razonablemente anticipar. "No es la bala de plata", dijo. También es complicado lograr que las comprobaciones funcionen correctamente, dijo Felix Wilhelm, cofundador de Asymmetric Research, una empresa de seguridad criptográfica, DL Noticias"Para muchas vulnerabilidades y hacks en la vida real, es difícil o incluso imposible escribir un invariante que detecte el hack sin también activarse en circunstancias normales", dijo. Wilhelm dijo que la aplicación en tiempo de ejecución es una parte importante de la seguridad de los protocolos. Pero normalmente se utiliza para detectar anomalías, como un flujo inusual de fondos en un corto período de tiempo. "Aunque útil, esto a menudo sirve solo para limitar el impacto o alertar al equipo, en lugar de detener el ataque por completo", dijo. Muchos protocolos ya están adoptando comprobaciones de invariantes. Kamino, un protocolo de préstamo basado en Solana, comenzó comprobando para invariantes críticos usando Certora Prover en marzo del año pasado. El XRP Ledger, la cadena de bloques detrás del token XRP de 120.000 millones de dólares, también ha implementado la verificación de invariantes. Los desarrolladores de la cadena de bloques dijo las verificaciones son necesarias porque XRP Ledger es complicado, y existe un alto potencial para que el código se ejecute incorrectamente. "Invariants no deberían activarse, pero garantizan la integridad del XRP Ledger frente a errores aún no descubiertos o incluso creados", dijeron los desarrolladores de XRP Ledger. Tim Craig es el periodista de DeFi de DL News con base en Edimburgo. Pónganse en contacto con consejos en tim@dlnews.com.
Los defensores de A16z Crypto 'Spec es Ley' para mejorar la seguridad de DeFi después de $649M en explotaciones
DL NewsCompartir
Resumen
A16z Crypto está empujando a los protocolos DeFi a reemplazar la mentalidad de "la ley es el código" con "la ley es la especificación" para mejorar la seguridad de los contratos. El investigador senior Daejun Park afirma que las especificaciones codificadas de forma rígida pueden rechazar automáticamente transacciones que rompan reglas, ayudando así a prevenir explotaciones. Más de 649 millones de dólares fueron robados en hackeos DeFi el año pasado, incluido un robo de 128 millones de dólares al protocolo Balancer. Aunque las comprobaciones invariantes están aumentando, podrían incrementar los costos de gas y omitir defectos desconocidos. Los expertos dicen que la seguridad en blockchain requiere más que solo correcciones de código.
Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información.
Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.