Letzten Monat habe ich selbst einen On-Chain-Proxy aufgehängt, der fast dazu geführt hat, dass die Mittelautorisierung komplett leergeräumt wurde. Erst bei der nachträglichen Analyse habe ich herausgefunden, dass diese Falle exakt zu dem Risikomodell passt, das @NewtonProtocol immer wieder angekündigt und vor dessen Risiken gewarnt hat. Damals habe ich den Proxy gebeten, eine Drittanbieter-Dokumentation für ein Due Diligence zu lesen. In dem Dokument wurden heimlich ein paar verführerische Anweisungen hineingeschmuggelt. Der Proxy hat nicht unterschieden, ob es sich um Daten oder Befehle handelt, und hat direkt eine Autorisierung ausgeführt, die völlig nicht in meinem Plan vorgesehen war.
Das ist das wirklich Gruselige: Der Angreifer muss gar keinen Zugriff auf deinen privaten Schlüssel haben. Wenn nur in dem Inhalt, den der Proxy liest, „Worte“ versteckt sind, gerät der Proxy selbst in falsche Bestellungen und verballert Geld. Diese Art von Angriff ist gegen klassische „Private-Key-Leak“-Schutzmaßnahmen viel zu schwer abzufangen, weil der Proxy selbst der vertrauenswürdige Ausführende ist. Niemand würde vermuten, dass der Agent, den man „aufzieht“, plötzlich die Seiten wechselt. Wenn du erst bemerkst, dass die Autorisierung ungewöhnlich ist, ist das Geld oft schon weg.$人生K线
Newton Protocols Ansatz zur Behandlung solcher Prompt-Injection-Risiken ist ziemlich „hart“. Es setzt nicht darauf, dass der Proxy selbst intelligenter wird, um echte von falschen Anweisungen zu unterscheiden. Stattdessen wird in der Ausführungsebene eine zusätzliche, erzwungene Prüfung auf Basis einer Policy-Engine eingesetzt. Damit ein Proxy wirklich eine Geldtransaktion als „real“ ausführt, muss er erst diese Schicht von Regeln passieren. Der gelesene Inhalt und die auszuführenden Berechtigungen werden vollständig voneinander isoliert.$EVAA
Auf Token-Ebene ist das alles auch nicht so mystisch. $NEWT ist nicht wirklich „magisch“: Die Policy-Prüfung und der Aufruf der Risiko-Regeln verbrauchen selbst Netzwerkressourcen. Dieser Bedarf hängt direkt mit der tatsächlichen Nutzung von NEWT zusammen – nicht mit einem rein erzählerisch aufgebauten Wert.
Wärt ihr bereit, die Berechtigung für Geldoperationen an einen Proxy zu geben, der erst eine Policy-Überprüfung bestehen muss, bevor er handeln darf – statt alles blind in eine Blackbox auszulagern?#newt