Les protocoles DeFi doivent aller au-delà de la sécurité "correction après piratage" et intégrer des garanties de sécurité dans leur logiciel si le secteur de 168 milliards de dollars doit mûrir, selon a16z Crypto. Dans un message du 11 janvier, Daejun Park, chercheur senior en sécurité au sein de l'entreprise, a argumenté que les développeurs de DeFi devraient adopter une approche plus fondée sur des principes en matière de sécurité au lieu de s'appuyer sur l'essai et l'erreur. Au cœur de ce changement, a déclaré Park, se trouve l'utilisation de spécifications normalisées qui limitent ce que le protocole est autorisé à faire, et qui annulent automatiquement toute transaction qui enfreint ces hypothèses prédéfinies sur le comportement correct. « Presque chaque piratage jusqu'à présent aurait déclenché l'un de ces contrôles pendant l'exécution, potentiellement arrêtant le piratage », a déclaré Park. « Ainsi, l'idée autrefois populaire de 'le code est la loi' évolue vers 'la spécification est la loi'. » Une telle idée, parfois appelée exécution en temps d'exécution ou vérification d'invariants, n'est pas nouvelle. Mais elle suscite un nouvel intérêt alors que les protocoles DeFi luttent pour se défendre contre les hackers qui exploitent des bugs dans leur code. L'année dernière, des hackers frotté plus de 649 millions de dollars via des exploits de code selon un rapport de Slowmist, une entreprise de sécurité blockchain. Même des protocoles éprouvés comme Balancer, dont le code était actif sur la blockchain Ethereum depuis 2021, n'étaient pas immunisés. Il perdu 128 millions de dollars en novembre après qu'un pirate ait exploité un bug dans le code. Ces derniers mois, les développeurs de DeFi craignent que les pirates utilisent de plus en plus l'intelligence artificielle pour trouver des vulnérabilités dans les protocoles DeFi et les exploiter. « Pas la solution miracle » Les suggestions de Park, si elles sont largement adoptées, pourraient aller loin dans la prévention des attaques. Mais elles présentent aussi des inconvénients. Les protocoles DeFi gagnent souvent un avantage sur leurs concurrents en proposant les frais les plus bas. Ajouter des vérifications supplémentaires sur les transactions augmenterait les coûts de gaz, ce qui pourrait les faire perdre des utilisateurs, a déclaré Gonçalo Magalhães, chef de la sécurité chez Immunefi, DL NewsMagalhães a déclaré que les vérifications invariantes constituent une excellente stratégie de sécurité, mais elles ne peuvent pas tout prévoir - en particulier les attaques que les développeurs d'un protocole ne peuvent raisonnablement pas anticiper. « Ce n'est pas la solution miracle », a-t-il dit. Il est également délicat de faire fonctionner correctement ces vérifications, a déclaré Felix Wilhelm, cofondateur d'Asymmetric Research, une entreprise de sécurité cryptographique, DL News« Pour de nombreuses vulnérabilités et piratages réels, il est difficile, voire impossible, d'écrire un invariant capable de détecter le piratage sans également se déclencher dans des conditions normales », a-t-il déclaré. Wilhelm a indiqué que l'exécution en temps d'exécution est une partie importante de la sécurité des protocoles. Mais elle est généralement utilisée pour détecter des anomalies, comme un flux inhabituel de fonds sur une courte période. « Bien qu'utile, cela sert souvent uniquement à limiter l'impact ou à alerter l'équipe, plutôt qu'à arrêter l'attaque de manière définitive », a-t-il déclaré. De nombreux protocoles adoptent déjà des vérifications d'invariants. Kamino, un protocole de prêt basé sur Solana, a commencé vérification pour les invariants critiques à l'aide du Certora Prover en mars de l'année dernière. Le XRP Ledger, la blockchain derrière le jeton XRP de 120 milliards de dollars, a également mis en œuvre la vérification des invariants. Les développeurs de la blockchain a dit les vérifications sont nécessaires car le XRP Ledger est complexe, et il existe un fort potentiel d'exécution incorrecte du code. « Les invariants ne devraient pas se déclencher, mais ils assurent l'intégrité du XRP Ledger face aux bogues encore non découverts, voire même non créés », ont déclaré les développeurs du XRP Ledger. Tim Craig est le correspondant DeFi de DL News basé à Édimbourg. Contactez-nous pour des informations à tim@dlnews.com.
Les partisans de A16z Crypto défendent « Spec is Law » pour améliorer la sécurité du DeFi après 649 millions de dollars de piratages
DL NewsPartager
Résumé
A16z Crypto pousse les protocoles DeFi à remplacer l'idée que « le code est la loi » par celle que « la spécification est la loi » afin d'améliorer la sécurité des contrats. Le chercheur senior Daejun Park affirme que les spécifications codées en dur peuvent automatiquement rejeter les transactions qui enfreignent les règles, aidant ainsi à prévenir les attaques. Plus de 649 millions de dollars ont été volés dans des piratages DeFi l'année dernière, dont un piratage de 128 millions de dollars sur Balancer. Bien que les vérifications d'invariants soient en augmentation, elles pourraient augmenter les coûts en gaz et manquer des défauts inconnus. Les experts affirment que la sécurité des blockchains nécessite plus que des correctifs de code.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations.
Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.