根據a16z Crypto的說法,如果價值1680億美元的去中心化金融(DeFi)領域要走向成熟,DeFi協議必須超越「在遭駭客入侵後進行修補」的安全模式,並將安全保障硬編碼到其軟體中。在1月11日的一篇貼文中,該公司的高級安全研究員Daejun Park表示, 爭論 DeFi 開發者應該採用更以原則為導向的安全方法,而不是依靠試錯法。 Park 表示,這種轉變的核心在於使用標準化規格,這些規格會限制協議允許執行的操作,並自動撤銷任何違反這些預先定義正確行為假設的交易。 Park 表示:「幾乎所有到目前為止的漏洞利用在執行時都會觸發其中一個檢查,可能阻止駭客入侵。」因此,曾經流行的「程式碼即法律」概念,現在演變為「規格即法律」。 這種想法有時被稱為運行時強制或不變量檢查,並不是什麼新概念。但隨著 DeFi 協議努力抵禦駭客利用其程式碼中的漏洞,這種想法正在受到重新審視。 去年,駭客 滑動 根據區塊鏈安全公司Slowmist的一份報告,透過代碼漏洞已竊取超過6.49億美元。 即使是像Balancer這樣經過嚴格測試的協議,其代碼自2021年以來一直在以太坊區塊鏈上運行,也無法倖免於難。 lost 11月有1.28億美元遭黑客利用程式碼漏洞竊取。 在最近幾個月裡,DeFi開發者們擔憂黑客越來越頻繁地使用人工智慧來尋找DeFi協議的漏洞並加以利用。 「並非萬能解藥」 如果廣泛採納Park的建議,將在很大程度上防止漏洞被利用。但這些建議也有其缺點。 Immunefi的安全主管Gonçalo Magalhães告訴記者,DeFi協議通常憑藉最低廉的費用而比競爭對手更具優勢。對交易增加額外的檢查將提高Gas費用,可能會導致用戶流失。 DL 視頻新聞Magalhães 表示不變量檢查是一種很好的安全策略,但它們無法涵蓋所有情況——特別是那些協議開發者無法合理預料的漏洞。他說:「這並不是萬能的解決方案。」 要正確地實現這些檢查也很困難,加密貨幣安全公司 Asymmetric Research 的共同創始人 Felix Wilhelm 告訴 DL 視頻新聞“對於許多漏洞和現實中的駭客攻擊,很難甚至不可能編寫出一種不變量,可以在不觸發正常情況下檢測到駭客攻擊,”他說。 威爾海姆表示,運行時強制執行是協議安全的重要組成部分。但通常用於檢測異常,例如在短時間內資金流動異常。 “雖然有幫助,但這通常只是用於限制影響或提醒團隊,而不是徹底阻止攻擊,”他說。 許多協議已經開始採用不變量檢查。 基於Solana的貸款協議Kamino已經開始 檢查中 去年三月使用 Certora Prover 來驗證關鍵不變性。 XRP 區塊鏈背後的 1200 億美元 XRP 代幣,也已實現不變性檢查。區塊鏈的開發者 說道 這些檢查是必要的,因為 XRP 區塊鏈很複雜,程式碼有很高的機率會執行錯誤。 「不變量不應該被觸發,但它們確保了 XRP 區塊鏈的完整性,即使尚未發現或甚至尚未創建的錯誤,」XRP 區塊鏈開發者表示。 Tim Craig 是 DL News 位於愛丁堡的 DeFi 專欄作家。有線索可透過以下方式聯繫 tim@dlnews.com。
A16z 加密貨幣倡議者提出「Spec is Law」,在經歷 6.49 億美元的漏洞攻擊後,提升 DeFi 安全性
DL News分享
精華摘要
A16z Crypto 正在推動 DeFi 協議以「spec is law」取代「code is law」的思維,以提升合約安全性。高級研究員 Daejun Park 表示,硬編碼的規格可以自動拒絕違反規則的交易,有助於防止漏洞被利用。去年 DeFi 遭到黑客攻擊竊取了超過 6.49 億美元,其中包括 1.28 億美元的 Balancer 攻擊事件。雖然不變量檢查正在增加,但它們可能提高 gas 費用並忽略未知缺陷。專家表示,區塊鏈安全性需要的不僅僅是代碼修復。
來源:顯示原文
免責聲明:本頁面資訊可能來自第三方,不一定反映KuCoin的觀點或意見。本內容僅供一般參考之用,不構成任何形式的陳述或保證,也不應被解釋為財務或投資建議。 KuCoin 對任何錯誤或遺漏,或因使用該資訊而導致的任何結果不承擔任何責任。
虛擬資產投資可能存在風險。請您根據自身的財務狀況仔細評估產品的風險以及您的風險承受能力。如需了解更多信息,請參閱我們的使用條款和風險披露 。