Співробітники A16z Crypto пропонують «Spec is Law» для покращення безпеки DeFi після 649 мільйонів доларів США в експлоітах

DeFi-протоколи повинні вийти за межі "заплатки після хакерського атаки" та закодувати гарантії безпеки в їхнє ПЗ, якщо сектор на $168 мільярдів має стати дорослим, згідно з a16z Crypto. У дописі 11 січня Дейджун Парк, старший дослідник з безпеки фірми, застосувався що розробники DeFi повинні прийняти більш принциповий підхід до безпеки, ніж залежати від проб і помилок. У центрі цього зрушення, сказав Пак, є використання стандартизованих специфікацій, які обмежують те, що протокол може робити, і автоматично скасовують будь-яку транзакцію, яка порушує ці попередньо визначені припущення про правильну поведінку. "Почти кожна експлуатація до цього часу викликала б одну з цих перевірок під час виконання, що потенційно зупинило б хакерську атаку", - сказав Пак. "Таким чином, колись популярна ідея «код — це закон» еволюціонує в «специфікація — це закон»." Така ідея, іноді звана забезпеченням виконання під час роботи або перевіркою інваріантів, не є новою. Але вона отримує нове погляд, оскільки протоколи DeFi борються з захистом від хакерів, які використовують помилки в їхньому коді. Рік тому, хакери зсунути понад 649 мільйонів доларів через використання помилок у коді, згідно з звітом від Slowmist, фірми з безпеки блокчейну. Навіть перевірені на практиці протоколи, такі як Balancer, код яких діяв у блокчейні Ethereum з 2021 року, не були імунні. Воно втрачений 128 мільйонів доларів у листопаді після того, як хакер використав помилку в коді. У минулих місяцях розробники DeFi побоюються, що хакери все більше використовують штучний інтелект для виявлення вразливостей у протоколах DeFi та використання їх. «Не срібна куля» Якщо припущення Парка будуть широко впроваджені, вони можуть суттєво допомогти у запобіганні використанню вразливостей. Але вони мають і свої недоліки. Протоколи DeFi часто набувають переваги над своїми конкурентами, маючи найнижчі комісії. Додавання додаткових перевірок до транзакцій збільшить витрати на газ, що може призвести до втрати користувачів, — сказав Гонсальо Магальйєш, голова відділу безпеки Immunefi, DL НовиниМагальйонс сказав, що інваріантні перевірки — це чудова стратегія безпеки, але вони не можуть врахувати все — особливо експлойти, які розробники протоколу не можуть логічно передбачити. «Це не срібна куля», — сказав він. Також складно правильно налаштувати перевірки, — сказав Фелікс Вільгельм, співзасновник Asymmetric Research, фірми з криптографічної безпеки. DL Новини"Для багатьох вразливостей і реальних хаків важко, а іноді й неможливо, написати інваріант, який виявляв би хак, не спрацьовуючи при нормальному виконанні", - сказав він. Вільгельм зазначив, що забезпечення безпеки під час виконання є важливою частиною безпеки протоколу. Але зазвичай використовується для виявлення аномалій, таких як незвичайний потік коштів за короткий період. "Хоча корисно, це часто використовується лише для обмеження наслідків або сповіщення команди, а не для повної зупинки атаки", - сказав він. Багато протоколів вже почали застосовувати перевірки інваріантів. Kamino, кредитний протокол на основі Solana, почав перевірка для критичних інваріантів, використовуючи Certora Prover у березні минулого року. XRP Ledger, блокчейн, що лежить в основі токена XRP на 120 мільярдів доларів, також впровадив перевірку інваріантів. Розробники блокчейну сказав перевірки необхідні, тому що XRP Ledger складний, і існує високий потенціал виконання коду неправильно. «Інваріанти не повинні спрацьовувати, але вони забезпечують цілісність XRP Ledger від помилок, які ще не виявлені або навіть створені», — сказали розробники XRP Ledger. Тім Кріг — відповідальний за DeFi кореспондент DL News, розташований в Единбурзі. Надсилайте матеріали на tim@dlnews.com.