CertiK CEO’su Profesör Ronghui Gu tarafından
Akıllı bir sözleşme denetimine sahip olmak, ellerinizi yıkamaya çok benzer – bunu yalnızca bir kez yapın ve sonuçlarına hazırlıklı olun.
Siber suçlarda yaşanan yıkıcı kayıplara yanıt olarak kripto güvenliği konusundaki tartışmalar kızıştıkça – CertiK’in yakın tarihli raporunda “2022 kayıtlara göre web3 için en pahalı yıl olarak ayarlandı” – bazı en iyi güvenlik uygulamalarını gözden geçirmek hayati önem taşıyor. Bunların başında, kapsamlılığın önemi ve düzenli akıllı sözleşme denetimleri.
Çoğu zaman, yeni blok zinciri projeleri, güvenlik kontrollerini piyasaya sürülmeden önce bir daha asla düşünülmeyecek bir şey olarak ele alır. Bu gelişigüzel tutum, yalnızca tek bir akıllı sözleşme denetimine sahip projelerde en açık şekilde görülmektedir. Bunu yapan projeler, denetimlerin gerçek güvenlikten çok pazarlama amaçlı olduğunu düşünüyor gibi görünüyor. Yatırımcıların ve kullanıcıların herhangi bir akıllı sözleşme denetimi yapılmamış projelerden uzak durmaları gerektiği doğru olsa da, yatırım yaptıkları projelerin aktif, uçtan uca bir yaklaşım benimsediğinden emin olmalıdırlar. güvenlik.
Merak ediyor olabilirsiniz ‘neden bir proje düzenli denetimlere ihtiyaç duyar? Projeyi bütünüyle kapsaması gerekmez mi?’. Bu yaygın (ve pahalı) bir yanılgıdır. Herhangi bir iyi akıllı sözleşme denetimi meli bir projenin temel kodunun kapsamlı bir değerlendirmesini sağlarsa, denetim gerçekleştikten sonra, özellikle temel kodda herhangi bir değişiklik yapıldığında meydana gelen değişiklikleri veya güncellemeleri değerlendiremez.
Tabii ki, hiçbir zaman güncellenmeyen herhangi bir teknoloji projesi yakında gereksiz hale gelecektir ve bu özellikle hızlı hareket eden web3 dünyasında geçerlidir. Herhangi bir iyi teknoloji yatırımcısı veya kullanıcısı, güncellemeyi ve geliştirmeyi reddeden bir projeden kaçınmayı bilir, ancak paralarını düzenli olarak güvenliklerini asla (veya nadiren) güncellemeyen projelere yatırırlar. Temizlik metaforuna dönecek olursak, bu, bir yıldır ellerini yıkamadığını söyleyen biriyle tokalaşmak gibidir.
Bir saldırganın 16 milyon ABD dolarına yakın para harcadığını gören Deus Finance açığını örnek alın. Deus, akıllı sözleşmelerini denetlerken, bir saldırgan, karmaşık bir hızlı kredi saldırısıyla denetlenmemiş yeni bir akıllı sözleşmeyi hedefleyebildi. Bu saldırıya rağmen, bilgisayar korsanı Deus’un DEI tokenlerinin fiyatını değiştirebildi ve bu öngörülebilir fiyat hareketinin faydalarını elde etti. Bunu, oracle tarafından kullanılan ve tokenin fiyatını belirleyen bir kod düğümü olan ve verileri yorumlayan bir borç verme havuzunu manipüle ederek yaptılar.
Şimdi, madeni para değerinde herhangi bir akıllı sözleşme, kolayca manipüle edilebildiğinden, bir ticaret çifti kullanarak fiyatı belirleyen bir kehanet kullanmanın tehlikeleri konusunda sizi uyarır. Ancak, savunmasız akıllı sözleşme ilk denetimin kapsamı dışında olduğundan, denetçilere sorunu vurgulama şansı verilmedi.
Deus, akıllı sözleşme denetimlerini güvenlik çerçevelerinde devam eden bir özellik olarak ele almaları ve projede her önemli değişiklik yapıldığında denetlemelerini sağlamaları gerektiği konusunda projelere açık bir uyarı görevi görmelidir. Ancak, tüm denetimler eşit değildir. İyi planlanmış projelerin kötü denetimin kusurlarından muzdarip olduğunu defalarca görüyoruz.
Örnek olarak son FEG istismarlarını alın. FEG (Her Gorilla’yı Besle) hiper deflasyonist yönetişim meme tokeni, yakın zamanda, iki gün boyunca protokolden toplu olarak 3.2 milyon ABD doları tutarında fon çeken iki flaş kredi saldırısına uğradı.
Her saldırıda, bilgisayar korsanı (veya bilgisayar korsanları) FEG’in akıllı sözleşmesindeki aynı güvenlik açığını hedef aldı. CertiK’in istismar analizi, bunun, token’ın herhangi bir sanitasyon olmaksızın güvenilir bir taraf olarak doğrudan kullanıcı girdisi “yolunu” alan Swap-To-Swap işlevindeki bir kusurdan kaynaklandığını keşfetti. Basit bir ifadeyle, bu kusur, bilgisayar korsanının, sınırsız izin kazanmalarına ve varlıklarının sözleşmesini boşaltmalarına izin veren işlevleri tekrar tekrar aramasına izin verdi.
Belki de FEG için en sinir bozucu olan bu kusur, akıllı bir sözleşme denetimi tarafından tespit edilmiş olmalıdır. FEG akıllı sözleşmelerini denetlemiş olsa da denetçiler, FEG’in güvenilmeyen “yol” parametresinin protokole geçirildiğini ve sözleşmenin varlıklarını harcamak için onaylandığını fark etmiş olmalıydı. Herhangi bir iyi denetim daha sonra bunu büyük bir önem derecesi olarak işaretler ve projeye buna göre hareket etmesini ve düzenlemesini tavsiye eder.
Burada kripto güvenlik endüstrisi için öğrenilecek bir ders var: Bilgisayar korsanları projelerden yararlanmanın yeni ve ustaca yollarını bulmaya devam ettikçe, denetçilerin yeni saldırılara yanıt olarak kontrollerini güncellemeleri artık yeterli değil. Bunun yerine, yeni bir saldırı olduğunda buna hazırlıklı olmaları için teknolojilerini sürekli olarak güncellemeleri gerekir.
Bu açıklardan her ikisi de yalnızca titiz ve düzenli akıllı sözleşme denetimlerine duyulan ihtiyacı değil, aynı zamanda web3 güvenliğine yönelik proaktif, tutarlı, uçtan uca bir yaklaşım ihtiyacını da vurgulamaktadır. Bu, güvenliği yalnızca alınıp satılacak bir etiket olarak görmekten ziyade, inşa edilmesi ve sürdürülmesi gereken bir şey olarak görmeye doğru bir kayma anlamına geliyor. Bu, projelerinin güvenliğini teknolojileriyle birlikte güncellemesi gereken ekipler ve ayrıca saldırıları yalnızca yanıt vermek yerine önceden tahmin etmesi gereken denetim şirketleri için de geçerlidir.
yazar hakkında
Profesör Ronghui Gu, CertiK’in CEO’sudur. Kendisine Twitter’da @guronghuieric veya @Certik adresinden ve şirketimizin web sitesi http://www.certik.com/ adresinden çevrimiçi olarak ulaşılabilir.