Os protocolos DeFi devem ir além da segurança "corrigir-depois-do-hackeio" e codificar garantias de segurança em seus softwares, se o setor de 168 bilhões de dólares é para amadurecer, segundo a16z Crypto. Em uma postagem de 11 de janeiro, Daejun Park, pesquisador sênior de segurança da empresa, argumentou que os desenvolvedores de DeFi devem adotar uma abordagem mais fundamentada em relação à segurança em vez de dependerem de tentativa e erro. No cerne dessa mudança, disse Park, está o uso de especificações padronizadas que limitam o que um protocolo é permitido fazer e revertem automaticamente qualquer transação que viole esses pressupostos previamente definidos sobre o comportamento correto. "Quase todo o exploit até hoje teria acionado um desses testes durante a execução, potencialmente interrompendo o ataque", disse Park. "Assim, a ideia uma vez popular de 'o código é a lei' evolui para 'a especificação é a lei'." Tal ideia, às vezes chamada de execução em tempo de execução ou verificações de invariantes, não é nova. Mas está recebendo uma nova atenção à medida que os protocolos DeFi lutam para se defender contra hackers que exploram bugs em seu código. No ano passado, hackers deslizou mais de 649 milhões de dólares por meio de explorações de código, segundo um relatório da Slowmist, uma empresa de segurança blockchain. Mesmo protocolos já testados em batalha, como o Balancer, cujo código estava ativo na blockchain Ethereum desde 2021, não foram imunes. Foi perdido 128 milhões de dólares em novembro, após um hacker explorar um erro no código. Nos últimos meses, desenvolvedores de DeFi temem que os hackers estejam cada vez mais usando inteligência artificial para encontrar vulnerabilidades nos protocolos DeFi e explorá-las. "Não é a solução prateada" As sugestões de Park, se amplamente adotadas, poderiam ir longe no sentido de prevenir explorações. Mas elas não estão isentas de desvantagens. Protocolos DeFi frequentemente ganham vantagem sobre seus concorrentes ao oferecerem as taxas mais baixas. Adicionar verificações adicionais nas transações aumentaria os custos de gasolina, potencialmente fazendo-os perder usuários, disse Gonçalo Magalhães, chefe de segurança na Immunefi, DL NewsMagalhães disse que verificações invariantes são uma estratégia de segurança excelente, mas elas não conseguem prever tudo — especialmente exploits que os desenvolvedores de um protocolo não conseguem razoavelmente antecipar. "Não é a bala de prata", disse ele. Também é complicado fazer com que as verificações funcionem corretamente, Felix Wilhelm, co-fundador da Asymmetric Research, uma empresa de segurança cripto, disse a DL News"Para muitas vulnerabilidades e hacks reais, é difícil ou até mesmo impossível escrever um invariante que detecte o hack sem também ser acionado em circunstâncias normais", disse ele. Wilhelm disse que a execução em tempo de execução é uma parte importante da segurança dos protocolos. Mas normalmente é usada para detectar anomalias, como um fluxo incomum de fundos em um curto período de tempo. "Embora útil, isso muitas vezes serve apenas para limitar o impacto ou alertar a equipe, em vez de parar o ataque de imediato", disse ele. Muitos protocolos já estão adotando verificações de invariantes. Kamino, um protocolo de empréstimo baseado em Solana, começou verificando para invariantes críticos usando Certora Prover em março do ano passado. O XRP Ledger, a blockchain por trás do token XRP de 120 bilhões de dólares, também implementou a verificação de invariantes. Os desenvolvedores da blockchain disse os testes são necessários porque o XRP Ledger é complicado, e há um alto potencial para que o código execute incorretamente. "Invariantes não devem ser acionados, mas garantem a integridade do XRP Ledger contra bugs ainda não descobertos ou até mesmo criados", disseram os desenvolvedores do XRP Ledger. Tim Craig é o correspondente de DeFi da DL News com base em Edimburgo. Envie dicas para tim@dlnews.com.
Advocados da A16z Crypto defendem 'Spec is Law' para melhorar a segurança do DeFi após $649 milhões em explorações
DL NewsCompartilhar
Resumo
A A16z Crypto está incentivando protocolos DeFi a substituir a mentalidade de "o código é a lei" por "a especificação é a lei" para aumentar a segurança dos contratos. O pesquisador sênior Daejun Park afirma que especificações codificadas rigidamente podem rejeitar automaticamente transações que quebrem regras, ajudando a prevenir explorações. Mais de 649 milhões de dólares foram roubados em hacks de DeFi no ano passado, incluindo um rompimento de 128 milhões de dólares no Balancer. Embora verificações invariantes estejam aumentando, elas podem elevar os custos de gasolina e ignorar falhas desconhecidas. Especialistas dizem que a segurança da blockchain precisa de mais do que apenas correções de código.
Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações.
Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.