Vous pouvez maintenant connecter la documentation de @phylaxsystems à vos outils d'IA préférés, comme Cursor ou Claude. Rendre l'écriture des assertions simple. Voir ci-dessous :

Un autre hack que j'ai examiné récemment est Vicuna Finance de mars de cette année. Ils ont perdu 700 000 $ à cause d'une manipulation d'oracle de jetons LP sur la chaîne Sonic. L'attaque a exploité un défaut de tarification fondamental qui aurait pu être évité avec une simple assertion. Les jetons LP étaient évalués en utilisant une formule de somme basique (prix_token1 * montant_token1 + prix_token0 * montant_token0) au lieu d'une tarification équitable qui tient compte de la formule du produit constant du pool. Séquence de l'attaque : - Un grand échange de token0 à token1 a artificiellement gonflé le prix oracle des jetons LP - Dépôt de jetons LP surévalués en tant que garantie - Emprunt d'actifs maximum contre la valeur de garantie gonflée - Échange inverse du prix LP dégonflé, laissant le protocole avec une mauvaise dette La manipulation des prix est un schéma que nous voyons encore et encore, et c'est un schéma contre lequel les assertions protègent bien. Dans cet exemple, nous expérimentons avec un nouveau cheatcode qui permettra d'inspecter les appels dans la pile d'appels, ce qui est idéal pour détecter les manipulations de prix intra tx. Nous vérifions qu'un appel "swap" ne peut pas entraîner un écart de prix de plus de 5 % par rapport à la ligne de base à tout moment pendant l'exécution de la tx. C'est une méthode simple, mais puissante pour se protéger contre, par exemple, les attaques de prêts flash.

Le meilleur exemple de la capture du hack plutôt que de la surveillance du vecteur d'attaque. Regardez de près.

Les assertions sont appliquées par le réseau lui-même. Pas par un service de surveillance qui pourrait tomber en panne. Pas par un tableau de bord qui pourrait manquer quelque chose. Pas par un modèle d'IA qui pourrait se tromper. Par le même mécanisme de consensus qui valide chaque transaction. Les mêmes validateurs qui sécurisent des milliards de valeur. Le même réseau qui n'a jamais été attaqué avec succès. Lorsque votre assertion dit "cette invariant doit être respecté", le réseau l'applique. Point final. Si une transaction devait violer votre propriété de sécurité, elle ne reçoit pas d'avertissement. Elle n'est pas signalée pour révision. Elle n'est pas exécutée. Le réseau lui-même *est* votre couche de sécurité.

super excité et honoré de contribuer à @OptimismGov, surtout quand il s'agit de le faire avec des amis

Vous n'écrivez pas d'assertions en comprenant chaque vecteur d'attaque. Vous écrivez des assertions en définissant chaque état piraté.

La pile Optimism n'est pas une dApp, mais elle constitue une infrastructure critique sécurisant des milliards en TVL. Lorsque l'infrastructure échoue, des écosystèmes entiers s'effondrent. C'est pourquoi @_czepluch a traduit certains des FMA d'Optimism en assertions qui empêchent ces échecs au niveau des transactions. 🧵

Les meilleures mises à niveau de sécurité ne changent pas votre modèle de confiance. Elles l'améliorent.

Les assertions ne se soucient pas de savoir si votre code est exempt de bogues. Elles se soucient de savoir si le résultat viole les invariants de protocole. Aussi simple que cela.

rem remettre en question le statu quo n'est pas seulement un slogan, c'est un principe fondamental du bon ingénierie cela ouvre des espaces de conception que personne n'a pensé à explorer, simplement parce qu'ils n'ont jamais posé la question au départ eh bien, nous l'avons fait