Web3, Vệ sinh tốt và Cần có Bảo mật từ đầu đến cuối

Kiểm tra hợp đồng thông minh cũng giống như rửa tay - chỉ thực hiện một lần và chuẩn bị cho hậu quả.

Khi cuộc trò chuyện xung quanh vấn đề bảo mật tiền điện tử trở nên nóng bỏng trước một năm tổn thất nghiêm trọng đối với tội phạm mạng - Báo cáo gần đây của CertiK lưu ý rằng “2022 được coi là năm đắt nhất đối với web3 được ghi nhận” - điều quan trọng là phải xem lại một số phương pháp hay nhất về bảo mật. Đứng đầu trong số đó là tầm quan trọng của việc kiểm tra hợp đồng thông minh kỹ lưỡng và thường xuyên .

Tất cả thường xuyên, các dự án blockchain mới coi việc kiểm tra bảo mật của họ như một thứ gì đó để tránh xa trước khi ra mắt, không bao giờ được nghĩ đến nữa. Thái độ hỗn loạn này được nhìn thấy rõ ràng nhất trong các dự án chỉ có một cuộc kiểm toán hợp đồng thông minh duy nhất. Các dự án thực hiện điều này dường như nghĩ rằng kiểm toán nhằm mục đích tiếp thị hơn là bảo mật thực tế. Mặc dù đúng là các nhà đầu tư cũng như người dùng nên tránh xa các dự án chưa có bất kỳ loại kiểm toán hợp đồng thông minh nào, họ cũng nên đảm bảo rằng các dự án mà họ đầu tư đang thực hiện một cách tiếp cận tích cực, từ đầu đến cuối đối với Bảo vệ.

Bạn có thể tự hỏi 'tại sao một dự án lại cần các cuộc đánh giá thường xuyên? Người ta không nên bao quát toàn bộ dự án sao? '. Đây là một quan niệm sai lầm phổ biến (và tốn kém). Mặc dù bất kỳ cuộc đánh giá hợp đồng thông minh nào tốt đều phải cung cấp đánh giá toàn diện về mã cơ bản của dự án, nhưng nó không thể đánh giá bất kỳ thay đổi hoặc cập nhật nào xảy ra sau khi đánh giá xảy ra, đặc biệt là bất kỳ lúc nào có thay đổi đối với mã cơ bản.

Tất nhiên, bất kỳ dự án công nghệ nào không bao giờ cập nhật sẽ sớm trở nên thừa, và điều này đặc biệt đúng trong thế giới web3 phát triển nhanh chóng. Bất kỳ nhà đầu tư hoặc người dùng công nghệ giỏi nào cũng biết tránh một dự án từ chối cập nhật và phát triển, nhưng họ thường xuyên bỏ tiền vào các dự án không bao giờ (hoặc hiếm khi) cập nhật bảo mật của họ. Để trở lại ẩn dụ về sự sạch sẽ, điều này giống như bắt tay với ai đó sau khi họ nói rằng họ đã không rửa tay trong một năm.

Đi theo Khai thác Deus Finance như một ví dụ, đã chứng kiến một kẻ tấn công rút gần 16 triệu đô la Mỹ tiền quỹ. Trong khi Deus đã kiểm toán các hợp đồng thông minh của họ, kẻ tấn công có thể nhắm mục tiêu vào một hợp đồng thông minh mới chưa được kiểm toán bằng một cuộc tấn công flashloan tinh vi. Trong suốt cuộc tấn công, tin tặc đã có thể thay đổi giá của mã thông báo DEI của Deus và thu được lợi ích của hành động giá có thể dự đoán được này. Họ đã làm như vậy bằng cách thao túng một nhóm cho vay được sử dụng bởi oracle - một nút mã thông dịch dữ liệu - quyết định giá của mã thông báo.

Giờ đây, bất kỳ hợp đồng thông minh nào có giá trị bằng đồng xu của nó sẽ cảnh báo bạn về những nguy hiểm khi sử dụng một nhà tiên tri xác định giá bằng cách sử dụng một cặp giao dịch vì chúng có thể dễ dàng bị thao túng. Tuy nhiên, vì hợp đồng thông minh dễ bị tấn công nằm ngoài phạm vi kiểm toán ban đầu, nên các kiểm toán viên không có cơ hội làm nổi bật vấn đề.

Deus phải là một lời cảnh báo rõ ràng cho các dự án rằng họ phải coi kiểm toán hợp đồng thông minh là một tính năng liên tục trong khuôn khổ bảo mật của họ và yêu cầu họ kiểm tra mỗi khi có một thay đổi quan trọng đối với dự án. Tuy nhiên, không phải tất cả các cuộc kiểm toán đều bình đẳng. Thời gian và một lần nữa chúng ta thấy các dự án được quy hoạch tốt mắc phải sai sót của kiểm toán tồi.

Lấy gần đây Khai thác FEG như một ví dụ. Mã thông báo meme quản trị siêu giảm phát FEG (Feed Every Gorilla) gần đây đã bị tấn công bởi hai cuộc tấn công cho vay nhanh, tổng cộng đã rút hết 3,2 triệu USD tiền từ giao thức trong vòng hai ngày.

Trong mỗi cuộc tấn công, tin tặc (hoặc tin tặc) nhắm vào cùng một lỗ hổng trong hợp đồng thông minh của FEG. Phân tích của CertiK về việc khai thác đã phát hiện ra rằng điều này là do một lỗ hổng trong mã thông báo [[Chức năng Swap-To-Swap] (https://docs.fegtoken.com/fegex/smartswap#:~:text=Swap%2DTo%2DSwap%20 (S2S, found% 20in% 20the% 20next% 20section) , trực tiếp lấy "đường dẫn" đầu vào của người dùng như một bên đáng tin cậy mà không cần bất kỳ biện pháp vệ sinh nào. Nói một cách dễ hiểu, lỗ hổng này cho phép hacker liên tục gọi các chức năng cho phép họ nhận được các khoản phụ cấp không giới hạn và rút hết hợp đồng tài sản của nó.

Có lẽ điều khó chịu nhất đối với FEG là thực tế là lỗ hổng này lẽ ra phải được phát hiện bởi một cuộc kiểm tra hợp đồng thông minh. Mặc dù FEG đã kiểm toán các hợp đồng thông minh của họ, nhưng các kiểm toán viên nên nhận thấy rằng thông số "đường dẫn" không đáng tin cậy của FEG đã được chuyển tới giao thức và được chấp thuận cho chi tiêu tài sản của hợp đồng. Bất kỳ cuộc kiểm toán tốt nào sau đó sẽ đánh dấu đây là mức độ nghiêm trọng chính và khuyên dự án nên hành động và chỉnh sửa cho phù hợp.

Có một bài học cần rút ra ở đây cho ngành bảo mật tiền điện tử - đó là khi tin tặc tiếp tục tìm ra những cách mới và khéo léo để khai thác các dự án, thì việc kiểm toán viên chỉ cần cập nhật các kiểm tra của họ để đối phó với các cuộc tấn công mới là không còn đủ. Thay vào đó, họ phải liên tục cập nhật công nghệ của mình để khi một cuộc tấn công mới xảy ra, họ đã chuẩn bị sẵn sàng cho nó.

Cả hai cách khai thác này không chỉ làm nổi bật nhu cầu kiểm tra hợp đồng thông minh nghiêm ngặt và thường xuyên mà còn cần có một phương pháp tiếp cận chủ động, nhất quán, từ đầu đến cuối đối với bảo mật web3. Điều này dẫn đến sự thay đổi theo hướng coi bảo mật là thứ cần được xây dựng và duy trì thay vì chỉ là một nhãn hiệu để mua và bán. Điều này áp dụng cho các nhóm cần cập nhật bảo mật của dự án song song với công nghệ của họ và cũng cho các công ty kiểm toán, những người cần dự đoán các cuộc tấn công, thay vì chỉ phản ứng với chúng.