Czy naprawdę chcesz być ostatnim łańcuchem bez natywnego zabezpieczenia sieci?

Brak blokady. Ponieważ gdy sieć się zintegrowała, mogą uruchamiać oprogramowanie na zawsze, a dApps mogą pisać asercje na zawsze, wszystko bez naszej pomocy. Rozwiązanie zabezpieczające, które nie jest neutralne, nie jest warte zachodu.

Audyty są niezbędne. Monitorowanie jest kluczowe. Zapobieganie to brakujący element.

- weryfikowalna bezpieczeństwo i oceny finansowe dla dapps i aktywów (wkrótce)

I słyszałem... ...że jest demo.

Możesz teraz podłączyć dokumentację @phylaxsystems do swoich ulubionych narzędzi AI, takich jak Cursor lub Claude. Ułatwia to pisanie asercji. Zobacz poniżej:

Kolejny hack, który ostatnio przeanalizowałem, to Vicuna Finance z marca tego roku. Stracili 700 tys. dolarów przez manipulację oraklem tokenów LP na łańcuchu Sonic. Atak wykorzystał fundamentalną wadę wyceny, którą można było zapobiec prostym assertem. Tokeny LP były wyceniane za pomocą podstawowej formuły sumy (price_token1 * amount_token1 + price_token0 * amount_token0) zamiast uczciwej wyceny, która uwzględnia formułę stałego produktu puli. Sekwencja ataku: - Duża wymiana z tokena0 na token1 sztucznie zawyżyła cenę orakla tokenów LP - Złożenie przewartościowanych tokenów LP jako zabezpieczenia - Pożyczenie maksymalnych aktywów przeciwko zawyżonej wartości zabezpieczenia - Odwrócenie wymiany, co spowodowało spadek ceny LP, pozostawiając protokół z złym długiem Manipulacja cenami to wzór, który widzimy w kółko, i jest to wzór, przeciwko któremu asserty dobrze chronią. W tym przykładzie eksperymentujemy z nowym kodem oszustwa, który pozwoli na inspekcję wywołań w stosie wywołań, co jest idealne do wykrywania manipulacji cenami wewnątrz transakcji. Sprawdzamy, że wywołanie "swap" nie może spowodować, że cena odchyla się o więcej niż 5% od wartości bazowej w dowolnym momencie podczas wykonywania transakcji. To prosty, ale potężny sposób na ochronę przed, na przykład, atakami flash loan.

Najlepszym przykładem jest złapanie hacka, a nie monitorowanie wektora ataku. Obserwuj uważnie.

Asercje są egzekwowane przez samą sieć. Nie przez usługę monitorującą, która może przestać działać. Nie przez pulpit nawigacyjny, który może coś przeoczyć. Nie przez model AI, który może się pomylić. Przez ten sam mechanizm konsensusu, który weryfikuje każdą transakcję. Te same walidatory, które zabezpieczają miliardy wartości. Ta sama sieć, która nigdy nie została skutecznie zaatakowana. Kiedy twoja asercja mówi "ten invariant musi być spełniony", sieć to egzekwuje. Kropka. Jeśli transakcja naruszyłaby twoją właściwość bezpieczeństwa, nie dostaje ostrzeżenia. Nie jest oznaczana do przeglądu. Nie jest wykonywana. Sama sieć *jest* twoją warstwą bezpieczeństwa.

super podekscytowany i zaszczycony, że mogę przyczynić się do @OptimismGov, zwłaszcza gdy chodzi o robienie tego z frens