Сторонники криптовалюты A16z «Spec is Law» улучшают безопасность DeFi после $649M в эксплоитах

Согласно a16z Crypto, протоколы DeFi должны перейти от «ремонта после взлома» к безопасности и жесткому кодированию гарантий безопасности в их программное обеспечение, если сектор на $168 млрд должен созреть. В посте от 11 января Дэджун Парк, старший исследователь безопасности в компании, спорили что разработчики DeFi должны принять более принципиальный подход к обеспечению безопасности, вместо того, чтобы полагаться на пробу и ошибку. В основе этого изменения, сказал Парк, лежит использование стандартизированных спецификаций, которые ограничивают то, что протокол может делать, и автоматически отменяют любую транзакцию, нарушающую эти заранее определенные предположения о правильном поведении. «Почти каждая эксплуатация до сих пор сработала бы на одно из этих проверок во время выполнения, возможно, остановив взлом», — сказал Парк. «Поэтому популярная идея «код — это закон» эволюционирует в «спецификация — это закон». Такая идея, иногда называемая принудительным исполнением во время выполнения или проверкой инвариантов, не нова. Но она получает новый взгляд, поскольку протоколы DeFi борются за защиту от хакеров, эксплуатирующих ошибки в их коде. В прошлом году хакеры смахнул более чем на 649 миллионов долларов через эксплойты кода, согласно отчету компании Slowmist, специализирующейся на безопасности блокчейна. Даже протоколы, проверенные временем, такие как Balancer, чей код был запущен в блокчейне Ethereum с 2021 года, не были защищены от этого. потерянный 128 миллионов долларов в ноябре после того, как хакер воспользовался ошибкой в коде. В последние месяцы разработчики DeFi опасаются, что хакеры все чаще используют искусственный интеллект для поиска уязвимостей в протоколах DeFi и их использования. «Не панацея» Предложения Парка, если они будут широко приняты, могут внести значительный вклад в предотвращение эксплуатации. Но у них есть и недостатки. Протоколы DeFi часто получают преимущество перед своими конкурентами, предлагая самые низкие комиссии. Дополнительные проверки транзакций увеличат стоимость газа, что может привести к потере пользователей, — заявил Гонсалу Магалейш, руководитель отдела безопасности Immunefi, Новости DLМагеллес сказал, что инвариантные проверки — это отличная стратегия безопасности, но они не могут учитывать все — особенно эксплойты, которые разработчики протокола не могут разумно предсказать. «Это не панацея», — сказал он. Сложно также правильно настроить проверки, сообщил Феликс Вильгельм, сооснователь Asymmetric Research, компании по криптобезопасности, Новости DL«Для многих уязвимостей и реальных хаков сложно, а иногда и невозможно написать инвариант, который обнаруживал бы хак, не срабатывая и при обычных обстоятельствах», - сказал он. Вильгельм заявил, что принуждение во время выполнения - важная часть безопасности протокола. Однако обычно он используется для обнаружения аномалий, таких как необычный поток средств в короткие сроки. «Хотя и полезно, это часто служит лишь для ограничения воздействия или оповещения команды, а не для полной остановки атаки», - сказал он. Многие протоколы уже внедряют проверки инвариантов. Камино, протокол займа на основе Соланы, начал проверка для критических инвариантов с использованием Certora Prover в марте прошлого года. XRP Ledger, блокчейн, лежащий в основе токена XRP на 120 миллиардов долларов, также внедрил проверку инвариантов. Разработчики блокчейна сказал проверки необходимы, потому что XRP Ledger сложен, и существует высокая вероятность того, что код будет выполнен неправильно. «Инварианты не должны срабатывать, но они обеспечивают целостность XRP Ledger от еще не обнаруженных или даже созданных ошибок», — сказали разработчики XRP Ledger. Тим Крэйг — корреспондент по DeFi, базирующийся в Эдинбурге, DL News. Пишите с подсказками на tim@dlnews.com.