Fii Inteligent – Încetarea Dependenței Excesive a Cripto de Auditurile Contractelor

#TrendingTopic Anul trecut a fost o montagne russe pentru cripto. Au fost acțiuni reglementare agresive, condamnări penale de profil înalt și furturi șocante.
Și totuși – capitalizarea totală a pieței criptomonedelor a crescut la peste $1.4 trilioane în 2023, o creștere an de an de peste 70.7%.
Utilizatori și instituții noi se implică.
Pe parcursul anului 2023, numărul de #investors  cripto a crescut cu 2.8% pe lună, iar Goldman Sachs a numit acest an ca fiind anul în care cripto a devenit instituționalizat.
Bulls și bears au amândoi dreptate – există o oportunitate imensă pe piață acum, dar și un risc alarmant.
Riscul nu este doar în volatilității pieței, ci și în acțiunile rău intenționate ale managerilor de schimb – este încorporat în însăși mecanismele cripto #transactions .
Contractele smart în sine sunt o țintă vulnerabilă și atrăgătoare pentru hackeri, iar metodele noastre de securizare a acestora ne dezamăgesc.
Iată un ghid rapid. Un contract smart este un contract auto-executabil folosit în tranzacțiile blockchain. Condițiile tranzacției sunt scrise direct în liniile codului.
Aceste contracte sunt o țintă atrăgătoare pentru hacking – sunt folosite pentru a gestiona sume mari și tokenuri de mare valoare.
Dacă poți manipula contractul, poți direcționa tokenurile cum vrei.
Entitățile blockchain se protejează cu auditurile contractelor smart, în care recenzori independenți inspectează contractul smart pentru defecte de design, vulnerabilități de securitate, eficiență și alte probleme de codare.
Auditorii emit un raport public, enumerând toate problemele găsite și pașii luați pentru a le atenua.
Până acum, a fost totul transparent – auditurile ajută companiile blockchain să asigure că contractele lor smart sunt sigure și ajută investitorii să ia decizii informate.
Procesul este departe de a fi infailibil. Nu există standarde adoptate pe scară largă pentru verificarea contractelor smart, iar nicio auditare nu poate garanta cu adevărat că un contract smart este lipsit de erori.
Ca urmare, multe vulnerabilități scapă prin crăpături, adesea cu rezultate devastatoare.
Iată câteva exemple doar din 2023.
LendHub – atac de $6 milioane – ianuarie 2023
LendHub a lăsat o versiune depreciată a tokenului IBSV în contractul său smart în timpul unei actualizări. Atât versiunea veche, cât și cea nouă au fost active în contract la același preț.
Atacatorii au reușit să cumpere versiunea veche și #swap  pentru cea nouă, plecând cu $6 milioane în valoare suplimentară.
BonqDAO – atac de $120 milioane – februarie 2023
Atacatorii au reușit să manipuleze funcția ‘update price’ în contractul smart al BonqDAO, permițându-le să schimbe prețul tokenului ALBT al AllianceBlock.
Hackeri au mintit și au schimbat cantități mari de tokenuri, ducând în cele din urmă la devalorizarea și lichidarea pe scară largă a ALBT.
Euler Finance – atac de $197 milioane – martie 2023
O defectiune în contractul smart al Euler Finance a permis unui atacator să depună garanții și să împrumute împotriva acestora fără a reduce garanția inițială.
Au folosit această eroare pentru a executa un atac de flash loan care le-a permis să retragă aproape $200 milioane în active bazate pe #ETH  în câteva momente.
Nu putem opri această sângerare cu mai multe audite. Contractul smart al Euler Finance a trecut prin 10 audite diferite de la șase firme diferite și totuși a căzut victimă unuia dintre cele mai mari hack-uri ale anului.
O parte din problemă este că auditurile sunt orientate spre trecut. Ele se concentrează pe vulnerabilitățile cunoscute, ratând exploatările noi.
Hackeri sunt viclean și creativi – avem nevoie de măsuri de securitate care pot anticipa și răspunde la abordări complet noi.
$AI  ar putea fi util în a închide fisurile din procesul de audit al contractelor smart.
În experimente utilizând GPT-4 de la OpenAI, OpenZeppelin a reușit să folosească AI pentru a identifica vulnerabilități în 20 din 28 de provocări din jocul de hacking Ethernaut.
Cu toate acestea, contractele smart reale sunt mult mai complexe, iar oportunitățile de exploatare sunt mai variate decât orice în medii controlate, precum un joc.
Și ce e mai mult – capturarea a 70% din vulnerabilități nu este aproape suficient.
Dacă echipa ta de securitate a rețelei ar putea opri doar 70% din atacuri, toți ar fi concediați.
Vom aștepta cel puțin o generație înainte ca AI să poată asista serios în securitatea contractelor smart, iar noi avem nevoie de soluții acum.
Aceste măsuri suplimentare pot fi aplicate la nivel de portofel astfel încât tranzacțiile să fie verificate înainte de a fi trimise pe lanț.
Astfel de măsuri ar putea include adresarea inspecției pentru a preveni actorii rău intenționați să execute contracte, istoricul contractelor smart care urmărește orice modificări ale contractelor până la originea lor sau front-running pentru a opri orice tranzacții suspecte înainte ca tokenurile să fie transferate.
Multe exploatări ale contractelor smart se bazează pe viteză. Prin crearea mai multor fricțiuni în tranzacții, putem să le facem mai sigure și mai puțin atractive pentru actorii rău intenționați.
2024 a început cu cripto în cea mai puternică poziție pe care a avut-o în ani, dar vulnerabilitățile contractelor smart au aruncat o umbră asupra acestui progres.
Acesta este un punct de inflexiune, unde promisiunea blockchain-ului se întâlnește cu realitatea riscurilor sale.
Acum, sarcina noastră este să ne concentrăm serios pe securitate în fiecare etapă a tranzacțiilor blockchain.
Daniel Chong este CEO și co-fondator al Harpie, platforma de securitate cripto. În timp ce urma o diplomă în Matematică la Universitatea Duke, Daniel a lucrat ca consultant în dezvoltare și securitate pentru o varietate de companii cripto, conducând proiecte premiate la conferințe inclusiv $ETH Denver. Este dedicat înlăturării amenințării furtului cripto și în siguranța și accesibilitatea contractelor smart pentru toți.
Declinare de răspundere: Opiniile exprimate la The @WISE PUMPS  nu sunt sfaturi de investiție. Investitorii ar trebui să-și facă diligența necesară înainte de a face orice investiții cu risc ridicat în Bitcoin, criptomonede sau active digitale. Vă rugăm să fiți atenți că transferurile și tranzacțiile sunt pe riscul dvs., iar orice pierderi pe care le-ați putea suporta sunt responsabilitatea dvs. The @WISE PUMPS  nu recomandă cumpărarea sau vânzarea de criptomonede sau active digitale, nici The @WISE PUMPS  nu este un consultant de investiții.