Shima Capital CTO: Refletindo sobre o evento Curve, por que precisamos de proteção em tempo de execução?

Autor original: Carl Hua, sócio e CTO da Shima Capital

Após a recente exploração de reentrância da Curve, reflito sobre meu tempo na JPL NASA, onde aprendi os princípios-chave do desenvolvimento de software confiável e resiliente. Para a indústria cripto, esses insights são agora mais importantes do que nunca, e aqui está o porquê:

No final das contas, existem apenas dois tipos de software com os quais as pessoas realmente se importam: software que pode matar você e software que pode fazer você perder dinheiro.

A maior parte do orçamento (mais de 80%) do software crítico de qualquer máquina aeroespacial não é alocada para o desenvolvimento em si, mas para integração e testes. Se o software falhar, veículos voadores caem do céu – caças, drones, naves espaciais, etc.

A maior parte do código em software aeroespacial (se classificado como módulo crítico) adere a padrões de teste/desenvolvimento extremamente rigorosos, como DO-178 Nível BA. Não apenas cada linha de código precisa ser testada, mas se houver lógica aninhada, cada condição lógica também será testada especificamente.

Na JPL NASA, a filosofia de escrever um software de voo espacial avançado não é escrever o código mais bonito e limpo, mas escrever um código que seja fácil de testar na unidade. Por que? É simples: quando você envia uma espaçonave ao espaço, você só tem uma chance e ninguém quer correr riscos com alta probabilidade de falha. Essa é a mesma lógica dos blockchains, já que o código imutável é sua característica importante e só temos uma chance de gastar nossos fundos corretamente em cada transação, então por que não levamos o processo de desenvolvimento de dApps mais a sério?

Apesar dos rigorosos processos de desenvolvimento, teste e auditoria de código, esses meios claramente não são suficientes para mitigar todos os bugs e ataques, pois na verdade é quase impossível eliminar todos os bugs de tempo de execução por meio de testes e auditorias. Então, como protegemos nosso software contra falhas?

Proteção em tempo de execução

A proteção em tempo de execução é uma técnica de segurança que protege aplicativos de software contra ataques maliciosos enquanto estão em execução. Seu princípio é realizar a detecção em tempo real quando o código está realmente em execução e analisar o comportamento real do programa para protegê-lo de dados e ataques maliciosos.

As proteções de tempo de execução para software de alta confiabilidade exigem esforço e design significativos porque são a última linha de defesa para garantir que o software não entre em estados desconhecidos ou falhe. Este não é apenas um argumento, mas décadas de prática comprovada.

Hoje, na Web3, acho que os aplicativos DeFi precisam da mesma alta confiabilidade e devem considerar a mesma abordagem. No entanto, devido às suas potenciais limitações, o EVM não foi projetado para lidar com tarefas complexas, como proteção em tempo de execução. Então, como fornecemos proteção em tempo de execução?

Uma maneira é por meio da programação Aspect, Aspects é projetado pela rede blockchain Artela, que é capaz de alternar o contexto de execução durante o ciclo de vida de qualquer transação de contrato inteligente para realizar verificações avançadas no estado em tempo real do programa. A Artela oferece um design exclusivo de proteção em tempo de execução por meio da compatibilidade com Aspect e EVM, e tem a oportunidade de se tornar a base futura da segurança de contrato inteligente criptografado.

Artela anunciou o uso específico de Aspectos na prevenção de ataques de reentrada no Curve no artigo a seguir e espera se comunicar juntos!

"Vulnerabilidade do compilador não resolvida? A proteção em tempo de execução realiza controle de risco e proteção na cadeia DeFi》

link original