- Topic
36k Popularity
4k Popularity
5k Popularity
39k Popularity
17k Popularity
31k Popularity
31k Popularity
3k Popularity
95k Popularity
27k Popularity
- Pin
36k Popularity
4k Popularity
5k Popularity
39k Popularity
17k Popularity
31k Popularity
31k Popularity
3k Popularity
95k Popularity
27k Popularity
Shima Capital CTO'su: Curve olayına baktığımızda, neden Çalışma Zamanı Korumasına ihtiyacımız var?
Orijinal yazar: Carl Hua, Shima Capital'in ortağı ve CTO'su
Yakın zamandaki Curve yeniden giriş istismarından sonra, güvenilir ve dayanıklı yazılım geliştirmenin temel ilkelerini öğrendiğim JPL NASA'da geçirdiğim zamanı düşünüyorum. Kripto sektörü için bu bilgiler artık her zamankinden daha önemli ve nedeni şu:
Günün sonunda insanların gerçekten önemsediği yalnızca iki tür yazılım vardır: sizi öldürebilecek yazılım ve para kaybetmenize neden olabilecek yazılım.
Herhangi bir havacılık makinesinin kritik yazılımının bütçesinin çoğunluğu (%80+) geliştirmeye değil, entegrasyona ve test etmeye tahsis edilir. Yazılım başarısız olursa, savaş uçakları, dronlar, uzay araçları vb. gibi uçan araçlar gökten düşer.
Havacılık ve uzay yazılımındaki çoğu kod (eğer kritik bir modül olarak sınıflandırılmışsa), DO-178 Seviye BA gibi son derece katı test/geliştirme standartlarına uygundur. Yalnızca her kod satırının test edilmesi gerekmez, aynı zamanda iç içe geçmiş bir mantık varsa her mantıksal koşul da özel olarak test edilir.
JPL NASA'da gelişmiş uzay uçuşu yazılımı yazmanın felsefesi, en güzel, en temiz kodu yazmak değil, birim testi kolay kod yazmaktır. Neden? Çok basit: Uzaya bir uzay aracı gönderdiğinizde yalnızca tek bir şansınız olur ve hiç kimse yüksek başarısızlık olasılığı olan bir risk almak istemez. Bu, blockchain'lerle aynı mantıktır, çünkü değişmez kod onların önemli özelliğidir ve her işlemde fonlarımızı doğru şekilde harcamak için yalnızca tek bir şansımız vardır, o halde neden dApp'leri geliştirme sürecini daha ciddiye almıyoruz?
Titiz geliştirme, test etme ve kod denetim süreçlerine rağmen, bu araçların tüm hataları ve saldırıları azaltmak için yeterli olmadığı açıktır; çünkü aslında tüm çalışma zamanı hatalarının test ve denetim yoluyla ortadan kaldırılması neredeyse imkansızdır. Peki yazılımımızı arızalardan nasıl koruruz?
Çalışma Zamanı Koruması
Çalışma zamanı koruması, yazılım uygulamalarını çalışırken kötü niyetli saldırılara karşı koruyan bir güvenlik tekniğidir. Prensibi, kod gerçekten çalışırken gerçek zamanlı algılama gerçekleştirmek ve programı kötü amaçlı verilerden ve saldırılardan korumak için programın gerçek davranışını analiz etmektir.
Yüksek güvenilirliğe sahip yazılımlara yönelik çalışma zamanı korumaları, önemli düzeyde çaba ve tasarım gerektirir çünkü bunlar, yazılımın bilinmeyen durumlara girmemesini veya arızalanmamasını sağlayan son savunma hattıdır. Bu sadece bir argüman değil, onlarca yıldır kanıtlanmış bir uygulamadır.
Bugün Web3'te DeFi uygulamalarının da aynı yüksek güvenilirliğe ihtiyacı olduğunu ve aynı yaklaşımı dikkate alması gerektiğini düşünüyorum. Ancak potansiyel sınırlamaları nedeniyle EVM, çalışma zamanı koruması gibi karmaşık görevleri yerine getirecek şekilde tasarlanmamıştır. Peki çalışma zamanı korumasını nasıl sağlıyoruz?
Bunun bir yolu Aspect programlamadır; Aspects, programın gerçek zamanlı durumu üzerinde gelişmiş kontroller gerçekleştirmek için herhangi bir akıllı sözleşme işleminin yaşam döngüsü sırasında yürütme bağlamını değiştirebilen Artela blockchain ağı tarafından tasarlanmıştır. Artela, Aspect ve EVM uyumluluğu aracılığıyla benzersiz bir çalışma zamanı koruması tasarımı sağlar ve şifreli akıllı sözleşme güvenliğinin gelecekteki temeli olma fırsatına sahiptir.
Artela, aşağıdaki makalede Eğri yeniden giriş saldırılarını önlemek için Unsurların özel kullanımını duyurdu ve birlikte iletişim kurmayı umuyor!
"Derleyici Güvenlik Açığı Çözülemedi mi? Çalışma Zamanı Koruması, DeFi zincirinde risk kontrolü ve koruma sağlar》
Orijinal bağlantı