“代码即法律 → 标准即法律”…… 建议使用不可变性测试预先阻止黑客攻击。
);)
(来源:a16zcrypto.com/team/daejun-park/)
从“法规即法律”到“规范即法律”
在最近的一篇文章中,a16z Crypto 的高级区块链安全研究员 Daejun Park 认为,去中心化金融 (DeFi) 协议需要从“代码即法律”转变为“规范即法律”。
研究员朴建议采用更有原则的安全方法,具体做法是通过标准化规范和不变检查来硬编码安全保证,并自动撤销违反预定义规则的交易。
他解释说:“几乎所有已知的漏洞都可以通过这些检查检测到,并且可以在运行时阻止黑客攻击。”
去年代码漏洞造成的损失接近 6.5 亿美元。
根据 Slowmist 的一份报告,去年黑客通过代码漏洞窃取了超过 6.49 亿美元。
即使是自 2021 年以来一直运营的老牌协议 Balancer,也因去年 11 月的代码漏洞遭受了 1.28 亿美元的损失。开发人员担心,黑客越来越多地利用人工智能 (AI) 来寻找漏洞。
DeFi生态系统长期以来一直将智能合约代码本身视为绝对规则,遵循“代码即法律”的原则。然而,一系列大规模黑客攻击事件清楚地暴露了这种方法的局限性。
也有人提出担忧,称“这不是万灵药”。
然而,业内一些人士谨慎乐观地认为,不变性测试并非万灵药。
Immunefi 的安全主管表示:“免疫检查并非万灵药”,并补充说,免疫检查“可能会增加燃气成本,并赶走用户”。
“对于许多漏洞来说,很难编写不变的规则来检测攻击而不产生误报,”Asymmetric Research 的联合创始人表示。
尽管如此,业界普遍认为需要从根本上改变方法以加强 DeFi 安全性,而 a16z Crypto 的提案有望成为未来讨论 DeFi 安全标准的重要起点。
崔周勋 joohoon@blockstreet.co.kr
