HodlX Guest Post提交您的帖子
去年是加密货币的过山车。有激进的监管行动,高调的刑事定罪和令人震惊的盗窃案。
然而,2023年,加密货币总市值上升至1.4万亿美元以上,同比增长超过70.7%。
新用户和机构正在参与进来。
整个2023年,加密货币投资者的数量每月增长2.8%,高盛称之为加密货币制度化的一年。
牛市和熊市都是对的——现在市场上有巨大的机会,但也有令人担忧的风险。
然而,这种风险不仅仅源于市场波动,甚至交易所经理的厚颜无耻的犯罪行为,它也植根于加密货币交易的机制中。
智能手机本身就是黑客攻击的一个脆弱而诱人的目标,而我们保护它们的方法让我们失望了。
这里有一个快速入门。智能合约是一种用于区块链交易的自动执行合约。交易的条款直接写入代码行中。
这些合同是一个有趣的黑客攻击目标——它们被用来处理大额和高价值的代币。
如果你可以操纵合约,你可以随心所欲地引导代币。
区块链实体通过智能合约审计来保护自己,其中独立审查人员检查智能合约的设计缺陷、安全漏洞、效率和其他编码问题。
审计人员发布一份公开报告,列出所有发现的问题以及为缓解这些问题而采取的措施。
到目前为止,如此透明——审计有助于区块链公司确保其智能合约的安全,并帮助投资者做出明智的决定。
不过,这个过程远非万无一失。智能合约验证没有广泛采用的标准,也没有任何审计能够真正保证智能合约没有漏洞。
结果,许多漏洞从裂缝中溜走,往往会带来毁灭性的结果。
以下仅是2023年的几个例子。
LendHub——600万美元的漏洞——2023年1月
LendHub在更新过程中在其智能合约中留下了IBSV代币的折旧版本。旧版本和新版本都以相同的价格活跃在合同中。
攻击者可以购买旧版本并更换新版本,从而获得600万美元的额外价值。
BonqDAO——1.2亿美元的开发——2023年2月
攻击者能够操纵BonqDAO智能合约中的“更新价格”功能,从而更改AllianceBlock的ALBT代币的价格。
黑客随后铸造和交换了大量代币,最终导致ALBT大幅贬值和清算。
Euler Finance——1.97亿美元的开发——2023年3月
欧拉金融智能合约中的一个缺陷使攻击者能够在不提取初始抵押品的情况下存入抵押品并以此进行借贷。
他们利用这个漏洞执行了一次闪贷攻击,使他们能够在瞬间提取价值近2亿美元的基于ETH的资产。
我们无法通过更多的审计来止血。欧拉金融的智能合约经历了来自六家不同公司的10次不同审计,仍然是今年最大的一次黑客攻击的受害者。
问题的一部分在于审计是向后的。他们专注于已知的漏洞,遗漏新颖的漏洞。
黑客狡猾且富有创造力——我们需要能够预见和应对全新方法的安全措施。
人工智能可能有助于填补智能合约审计过程中的漏洞。
在使用OpenAI的GPT-4进行的实验中,OpenZeppelin能够使用AI识别Ethernaut智能合约黑客游戏28项挑战中的20项中的漏洞。
然而,真正的智能合约要复杂得多,利用它们的机会比游戏等受控环境中的任何东西都要多样化。
更重要的是,仅仅抓住70%的漏洞是远远不够的。
如果你的网络安全团队只能阻止70%的攻击,他们都会被解雇。
在人工智能能够真正帮助智能合约安全之前,我们至少还要等待下一代人,我们现在需要解决方案。
这些额外的措施可以在钱包级别执行,以便在将交易发送到链上之前对其进行审查。
这些措施可能包括解决检查问题,以防止流氓行为者执行合同,追踪任何合同变更起源的智能合同历史记录,或在代币转移前提前停止任何可疑交易。
许多智能联系人的利用都依赖于速度。通过在交易中建立更多的摩擦,我们可以使它们更安全,对不良行为者的吸引力更小。
2024年伊始,加密货币处于多年来最强大的地位,但智能合约漏洞给这一进展蒙上了阴影。
这是一个转折点,区块链的前景与其风险的现实相吻合。
现在,我们的任务是认真对待区块链交易每个阶段的安全问题。
Daniel Chong是加密安全平台Harpie的首席执行官兼联合创始人。在杜克大学攻读数学学位期间,Daniel曾担任多家加密货币公司的开发和安全顾问,带领屡获殊荣的项目在包括ETHDver在内的会议上取得胜利。他致力于结束加密货币盗窃的威胁,让所有人都能安全访问智能合约。
编辑:web3528btc 来源:加密钱包代币
