Protokol DeFi harus bergerak melebihi keamanan "perbaikan setelah peretasan" dan memasukkan jaminan keselamatan ke dalam kode perangkat lunak mereka jika sektor senilai 168 miliar dolar ini ingin matang, menurut a16z Crypto. Dalam postingan tanggal 11 Januari, Daejun Park, seorang peneliti keamanan senior di perusahaan tersebut, berargumen bahwa pengembang DeFi sebaiknya mengadopsi pendekatan yang lebih berprinsip terhadap keamanan daripada bergantung pada coba-coba. Di inti perubahan tersebut, kata Park, adalah penggunaan spesifikasi standar yang membatasi apa yang diizinkan protokol lakukan, dan secara otomatis membatalkan setiap transaksi yang melanggar asumsi yang telah ditentukan sebelumnya tentang perilaku yang benar. “Hampir setiap eksploitasi yang terjadi hingga kini akan memicu salah satu dari pemeriksaan ini selama eksekusi, mungkin menghentikan peretasan,” kata Park. “Jadi, ide yang dulu populer yaitu 'kode adalah hukum' berkembang menjadi 'spesifikasi adalah hukum.'” Ide seperti ini, yang terkadang disebut sebagai penerapan runtime atau pemeriksaan invarian, bukanlah hal baru. Namun, saat ini mendapat perhatian baru seiring protokol DeFi berjuang untuk melindungi diri dari peretas yang memanfaatkan bug dalam kode mereka. Tahun lalu, peretas menggesek lebih dari 649 juta dolar melalui eksploitasi kode menurut laporan dari Slowmist, sebuah perusahaan keamanan blockchain. Bahkan protokol yang telah teruji seperti Balancer, siapa kode telah aktif di blockchain Ethereum sejak 2021, tidak kebal. Itu hilang $128 juta pada November setelah seorang peretas memanfaatkan bug kode. Dalam beberapa bulan terakhir, pengembang DeFi takut peretas semakin menggunakan kecerdasan buatan untuk menemukan kerentanan protokol DeFi dan memanfaatkannya. ‘Bukan peluru perak’ Saran Park, jika diterapkan secara luas, bisa jauh membantu mencegah eksploitasi. Tapi mereka tidak tanpa kekurangan. Protokol DeFi sering kali unggul dibanding kompetitornya dengan memiliki biaya termurah. Menambahkan pemeriksaan tambahan pada transaksi akan meningkatkan biaya gas, yang berpotensi kehilangan pengguna mereka, kata Gonçalo Magalhães, kepala keamanan di Immunefi, DL NewsMagalhães mengatakan pemeriksaan invariant adalah strategi keamanan yang hebat, tetapi mereka tidak bisa memperhitungkan segalanya — terutama eksploitasi yang tidak dapat secara masuk akal diprediksi oleh pengembang protokol. "Ini bukan peluru perak," katanya. Ini juga rumit untuk mendapatkan pemeriksaan bekerja dengan benar, Felix Wilhelm, co-founder Asymmetric Research, sebuah perusahaan keamanan kripto, mengatakan kepada DL News"Untuk banyak kerentanan dan peretasan nyata, sulit atau bahkan mustahil untuk menulis invarian yang mendeteksi peretasan tanpa juga memicu dalam keadaan normal," katanya. Wilhelm mengatakan enkripsi runtime adalah bagian penting dari keamanan protokol. Namun biasanya digunakan untuk mendeteksi anomali, seperti aliran dana yang tidak biasa dalam jangka waktu singkat. "Meskipun membantu, ini sering hanya berfungsi untuk membatasi dampak atau memberi tahu tim, daripada benar-benar menghentikan serangan," katanya. Banyak protokol sudah mulai menerapkan pemeriksaan invarian. Kamino, sebuah protokol pinjaman berbasis Solana, mulai memeriksa untuk invarian kritis menggunakan Certora Prover pada bulan Maret tahun lalu. XRP Ledger, blockchain di balik token XRP senilai 120 miliar dolar, juga telah menerapkan pemeriksaan invarian. Pengembang blockchain tersebut dikatakan pemeriksaan diperlukan karena XRP Ledger rumit, dan ada potensi tinggi kode dieksekusi dengan salah. "Invariants seharusnya tidak memicu, tetapi mereka memastikan integritas XRP Ledger dari bug yang belum ditemukan atau bahkan dibuat," kata para pengembang XRP Ledger. Tim Craig adalah Wartawan DeFi DL News yang berbasis di Edinburgh. Hubungi untuk memberikan tips di tim@dlnews.com.
A16z Crypto Mendorong 'Spec adalah Hukum' untuk Meningkatkan Keamanan DeFi Setelah $649M dalam Eksploitasi
DL NewsBagikan
Ringkasan
A16z Crypto mendorong protokol DeFi untuk mengganti pola pikir 'kode adalah hukum' dengan 'spesifikasi adalah hukum' demi meningkatkan keamanan kontrak. Peneliti senior Daejun Park mengatakan spesifikasi yang dihardcode dapat secara otomatis menolak transaksi yang melanggar aturan, membantu mencegah eksploitasi. Lebih dari $649 juta dicuri dalam peretasan DeFi tahun lalu, termasuk peretasan $128 juta pada Balancer. Meskipun pemeriksaan invarian semakin meningkat, mereka mungkin meningkatkan biaya gas dan melewatkan kerentanan yang tidak diketahui. Para ahli mengatakan keamanan blockchain membutuhkan lebih dari sekadar perbaikan kode.
Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini.
Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.