Protokol DeFi mesti bergerak ke luar keselamatan "patch-after-the-hack" dan memasukkan jaminan keselamatan ke dalam perisian mereka jika sektor bernilai 168 billion dolar ini mahu matang, menurut a16z Crypto. Dalam satu pos pada 11 Januari, Daejun Park, seorang penyelidik keselamatan senior di firma tersebut, berhujah bahawa pengembang DeFi sepatutnya mengambil pendekatan yang lebih berprinsip terhadap keselamatan daripada bergantung kepada cubaan dan kesilapan. Di inti perubahan itu, Park berkata, ialah penggunaan spesifikasi piawai yang membataskan apa yang diperbolehkan protokol lakukan, dan secara automatik membatalkan sebarang transaksi yang melanggar asumsi yang telah ditentukan sebelumnya tentang tingkah laku yang betul. " Hampir setiap kecurian yang berlaku sehingga kini akan memicu salah satu daripada semakan ini semasa pelaksanaan, mungkin menghentikan serangan," kata Park. "Jadi, idea yang dahulunya popular iaitu 'kod ialah undang-undang' berkembang menjadi 'spesifikasi ialah undang-undang.'" Idea sedemikian, kadangkala dirujuk sebagai penguatkuasaan semasa atau semakan invarian, bukanlah sesuatu yang baru. Tetapi ia sedang mendapat perhatian semula apabila protokol DeFi berjuang untuk mempertahankan diri daripada pencuri yang memanipulasikan kesilapan dalam kod mereka. Tahun lepas, pencuri mengelip lebih daripada $649 juta melalui eksploit kod mengikut laporan daripada Slowmist, sebuah syarikat keselamatan blockchain. Malah protokol yang telah diuji hebat seperti Balancer, siapa kodnya telah diaktifkan di blockchain Ethereum sejak 2021, juga tidak kebal. Ia hilang $128 juta pada bulan November selepas seorang penggodam memanipulasikan kelemahan kod. Dalam bulan-bulan kebelakangan ini, para pembangun DeFi bimbang penggodam semakin menggunakan kecerdasan buatan untuk mencari kelemahan dalam protokol DeFi dan memanipulasikannya. ‘Bukan peluru perak’ Cadangan Park, jika diterapkan secara meluas, boleh memainkan peranan besar dalam mencegah penipuan. Namun, ia mempunyai kelemahan. Protokol DeFi sering mendapat kelebihan berbanding pesaing mereka dengan menawarkan yuran yang paling murah. Menambahkan semakan tambahan ke atas transaksi akan meningkatkan kos gas, mungkin menyebabkan kehilangan pengguna, kata Gonçalo Magalhães, ketua keselamatan di Immunefi, DL BeritaMagalhães berkata pemeriksaan invariant adalah strategi keselamatan yang hebat, tetapi mereka tidak boleh mengira segalanya - terutamanya eksploitasi yang tidak boleh secara munasabah diperkirakan oleh pengembang protokol. "Ia bukan peluru perak," katanya. Ia juga rumit untuk mendapatkan pemeriksaan berfungsi dengan betul, Felix Wilhelm, co-founder Asymmetric Research, sebuah firma keselamatan kripto, berkata kepada DL Berita"Untuk banyak kelemahan dan hack sebenar, sukar atau malah mustahil untuk menulis satu invarian yang dapat mengesan hack tanpa juga memicu di bawah keadaan normal," katanya. Wilhelm berkata pemaksaan semasa berjalan adalah sebahagian penting daripada keselamatan protokol. Namun biasanya digunakan untuk mengesan anomali, seperti aliran dana yang tidak biasa dalam jangka masa yang singkat. "Meskipun membantu, ini biasanya hanya berfungsi untuk membatasi kesan atau memaklumkan kepada pasukan, bukannya menghentikan serangan sepenuhnya," katanya. Banyak protokol sudah memulakan pemeriksaan invarian. Kamino, satu protokol pemberi pinjaman berdasarkan Solana, bermula memeriksa untuk invarian kritikal menggunakan Certora Prover pada bulan Mac tahun lepas. XRP Ledger, rangkaian blok di sebalik token XRP bernilai $120 bilion, juga telah melaksanakan pemeriksaan invarian. Pembangun rangkaian blok tersebut dikatakan semua pemeriksaan adalah diperlukan kerana XRP Ledger adalah rumit, dan terdapat potensi yang tinggi untuk kod dieksekusi secara salah. "Invariants tidak sepatutnya memicu, tetapi mereka memastikan integriti XRP Ledger daripada kesilapan yang belum ditemui atau malah dicipta," kata pengembang XRP Ledger. Tim Craig adalah Jurucakap DeFi DL News yang berpangkalan di Edinburgh. Hubungi untuk mendapatkan nasihat di tim@dlnews.com.
Pembela A16z Kripto 'Spec adalah Undang-Undang' untuk Meningkatkan Keselamatan DeFi Selepas $649 Juta dalam Penyusupan
DL NewsKongsi
Ringkasan
A16z Crypto sedang mempromosikan protokol DeFi untuk menggantikan minda 'kod adalah undang-undang' dengan 'spesifikasi adalah undang-undang' untuk meningkatkan keselamatan kontrak. Penyelidik senior Daejun Park berkata spesifikasi yang dikodkan secara keras boleh menolak secara automatik transaksi yang memecahkan peraturan, membantu mencegah kecurian. Lebih daripada $649 juta dicuri dalam kesan kebocoran DeFi tahun lepas, termasuk pecah masuk $128 juta ke dalam Balancer. Walaupun semakan invariant sedang meningkat, mereka mungkin menaikkan kos gas dan mengabaikan kelemahan yang tidak diketahui. Pakar-pakar berkata keselamatan blockchain memerlukan lebih daripada sekadar pindaan kod.
Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini.
Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.