ผู้สนับสนุน A16z Crypto ใช้หลักการ 'Spec is Law' เพื่อเพิ่มความปลอดภัยของ DeFi หลังจากมีการโจมตีมูลค่า 649 ล้านดอลลาร์

โปรโตคอล DeFi ต้องก้าวข้ามความปลอดภัยแบบ “ซ่อมหลังถูกโจมตี” และเขียนการรับประกันความปลอดภัยแบบถาวรลงในซอฟต์แวร์ของพวกเขา หากภาคส่วนมูลค่า 168,000 ล้านดอลลาร์นี้ต้องการเติบโตขึ้น ตามที่ a16z Crypto กล่าวไว้ ในโพสต์เมื่อวันที่ 11 มกราคม แดจุน ปาร์ค นักวิจัยด้านความปลอดภัยอาวุโสของบริษัท โต้แย้ง ว่าผู้พัฒนา DeFi ควรใช้แนวทางที่มีหลักการมากขึ้นเกี่ยวกับความปลอดภัย แทนที่จะพึ่งพาการทดลองผิดลองถูก ที่แกนกลางของการเปลี่ยนแปลงครั้งนี้ พาร์คกล่าวว่า คือการใช้ข้อกำหนดมาตรฐานที่จำกัดว่าโปรโตคอลสามารถทำอะไรได้บ้าง และจะยกเลิกการทำธุรกรรมใด ๆ ทันทีหากมีการละเมิดสมมติฐานที่กำหนดไว้เกี่ยวกับพฤติกรรมที่ถูกต้อง "แทบทุกการโจมตีที่เกิดขึ้นจนถึงปัจจุบัน คงจะถูกตรวจสอบโดยการตรวจสอบเหล่านี้ระหว่างการดำเนินการ ซึ่งอาจหยุดการโจมตีได้" พาร์คกล่าว "ดังนั้นแนวคิดที่เคยได้รับความนิยมว่า 'โค้ดคือกฎหมาย' จึงพัฒนาเป็นแนวคิดว่า 'ข้อกำหนดคือกฎหมาย'" แนวคิดเช่นนี้ ซึ่งบางครั้งเรียกว่าการบังคับใช้ระหว่างการดำเนินการหรือการตรวจสอบค่าคงที่ (invariant checks) ไม่ใช่แนวคิดใหม่ แต่กำลังได้รับการพิจารณาใหม่ในขณะที่โปรโตคอล DeFi ต่อสู้เพื่อป้องกันการโจมตีจากแฮกเกอร์ที่ใช้ประโยชน์จากข้อบกพร่องในโค้ดของพวกเขา ปีที่แล้ว แฮกเกอร์ สไวป์ มากกว่า 649 ล้านดอลลาร์ผ่านการใช้ประโยชน์จากโค้ด ตามรายงานจาก Slowmist บริษัทความปลอดภัยบล็อกเชน แม้แต่โปรโตคอลที่ผ่านการทดสอบแล้วอย่าง Balancer ซึ่งโค้ดของมันถูกใช้งานบนบล็อกเชน Ethereum ตั้งแต่ปี 2021 ก็ยังไม่สามารถภักดีได้ สูญเสีย 128 ล้านดอลลาร์ในเดือนพฤศจิกายนหลังจากที่แฮกเกอร์ใช้ประโยชน์จากข้อผิดพลาดของโค้ด ในช่วงไม่กี่เดือนที่ผ่านมา นักพัฒนา DeFi กลัวว่าแฮกเกอร์กำลังใช้ปัญญาประดิษฐ์มากขึ้นเพื่อค้นหาช่องโหว่ของโปรโตคอล DeFi และใช้ประโยชน์จากช่องโหว่เหล่านั้น ‘ไม่ใช่แนวทางแก้ไขที่สมบูรณ์แบบ’ หากคำแนะนำของพาร์กถูกนำไปใช้กันอย่างแพร่หลาย อาจช่วยป้องกันการใช้ประโยชน์ได้อย่างมาก แต่ก็มีข้อเสียเปรียบเช่นกัน กอนซาโล มาเกลไฮส์ หัวหน้าฝ่ายความปลอดภัยของ Immunefi กล่าวว่า โปรโตคอล DeFi มักจะได้เปรียบคู่แข่งด้วยค่าธรรมเนียมที่ถูกที่สุด การเพิ่มการตรวจสอบเพิ่มเติมสำหรับธุรกรรมจะเพิ่มค่าใช้จ่ายในการจ่ายค่าแก๊ส ซึ่งอาจทำให้เสียผู้ใช้ไป ข่าว DLแมกกาลห์แย้งส์กล่าวว่า การตรวจสอบที่ไม่เปลี่ยนแปลงคือกลยุทธ์ความปลอดภัยที่ยอดเยี่ยม แต่พวกมันไม่สามารถคาดการณ์ทุกอย่างได้—โดยเฉพาะการโจมตีที่นักพัฒนาโปรโตคอลไม่สามารถคาดการณ์ได้อย่างสมเหตุสมผล "มันไม่ใช่คำตอบที่สมบูรณ์แบบ" เขากล่าว มันยังเป็นเรื่องที่ซับซ้อนในการทำให้การตรวจสอบทำงานได้อย่างถูกต้อง ฟีลิกซ์ วิลเฮล์ม ผู้ร่วมก่อตั้งของ Asymmetric Research บริษัทความปลอดภัยด้านคริปโต กล่าว ข่าว DL"สำหรับความเสี่ยงต่างๆ และการโจมตีในชีวิตจริงจำนวนมาก มันยากหรือแม้แต่เป็นไปไม่ได้เลยที่จะเขียน.Invariant ที่สามารถตรวจจับการโจมตีได้โดยไม่ทำให้เกิดการแจ้งเตือนในกรณีปกติ" เขากล่าว วิลเฮล์มกล่าวว่า การบังคับใช้ในขณะที่ทำงานเป็นส่วนสำคัญของความปลอดภัยในโปรโตคอล แต่โดยปกติแล้วจะถูกใช้เพื่อตรวจจับความผิดปกติ เช่น การไหลของเงินจำนวนมากในช่วงเวลาสั้นๆ "แม้ว่าจะเป็นประโยชน์ แต่สิ่งนี้มักจะช่วยเพียงแค่จำกัดผลกระทบหรือแจ้งเตือนทีมงาน แทนที่จะหยุดการโจมตีได้ทันที" เขากล่าว โปรโตคอลหลายตัวได้เริ่มใช้การตรวจสอบ.Invariant กันแล้ว Kamino ซึ่งเป็นโปรโตคอลให้กู้ยืมบน Solana ได้เริ่มต้น กำลังตรวจสอบ สำหรับค่าคงที่ที่สำคัญโดยใช้ Certora Prover ในเดือนมีนาคมปีที่แล้ว XRP Ledger ซึ่งเป็นบล็อกเชนที่อยู่เบื้องหลังโทเคน XRP มูลค่า 12,000 ล้านดอลลาร์ ก็ได้ดำเนินการตรวจสอบค่าคงที่เช่นกัน นักพัฒนาบล็อกเชน พูดว่า การตรวจสอบนั้นจำเป็นเนื่องจาก XRP Ledger มีความซับซ้อน และมีความเป็นไปได้สูงที่โค้ดจะทำงานผิดพลาด ".Invariant ไม่ควรทำงาน แต่พวกมันช่วยรับประกันความสมบูรณ์ของ XRP Ledger จากบั๊กที่ยังไม่ถูกค้นพบ หรือแม้แต่ยังไม่ถูกสร้างขึ้นเลย" ผู้พัฒนา XRP Ledger กล่าว ทิม ครีก เป็นนักข่าวด้าน DeFi ของ DL News ซึ่งตั้งอยู่ที่เอดินบะระ ส่งข้อมูลมาให้เราได้ที่ tim@dlnews.com.