“代碼即法律 → 標準即法律”…… 建議使用不可變性測試預先阻止黑客攻擊。
);)
(來源:a16zcrypto.com/team/daejun-park/)
從“法規即法律”到“規範即法律”
在最近的一篇文章中,a16z Crypto 的高級區塊鏈安全研究員 Daejun Park 認為,去中心化金融 (DeFi) 協議需要從“代碼即法律”轉變為“規範即法律”。
研究員樸建議採用更有原則的安全方法,具體做法是通過標準化規範和不變檢查來硬編碼安全保證,並自動撤銷違反預定義規則的交易。
他解釋說:“幾乎所有已知的漏洞都可以通過這些檢查檢測到,並且可以在運行時阻止黑客攻擊。”
去年代碼漏洞造成的損失接近 6.5 億美元。
根據 Slowmist 的一份報告,去年黑客通過代碼漏洞竊取了超過 6.49 億美元。
即使是自 2021 年以來一直運營的老牌協議 Balancer,也因去年 11 月的代碼漏洞遭受了 1.28 億美元的損失。開發人員擔心,黑客越來越多地利用人工智能 (AI) 來尋找漏洞。
DeFi生態系統長期以來一直將智能合約代碼本身視為絕對規則,遵循“代碼即法律”的原則。然而,一系列大規模黑客攻擊事件清楚地暴露了這種方法的侷限性。
也有人提出擔憂,稱“這不是萬靈藥”。
然而,業內一些人士謹慎樂觀地認為,不變性測試並非萬靈藥。
Immunefi 的安全主管表示:“免疫檢查並非萬靈藥”,並補充說,免疫檢查“可能會增加燃氣成本,並趕走用戶”。
“對於許多漏洞來說,很難編寫不變的規則來檢測攻擊而不產生誤報,”Asymmetric Research 的聯合創始人表示。
儘管如此,業界普遍認為需要從根本上改變方法以加強 DeFi 安全性,而 a16z Crypto 的提案有望成為未來討論 DeFi 安全標準的重要起點。
崔周勳 joohoon@blockstreet.co.kr
