Peretasan lain, yang saya lihat baru-baru ini adalah Vicuna Finance dari Maret tahun ini. Mereka kehilangan $700 ribu melalui manipulasi oracle token LP di rantai Sonic. Serangan itu mengeksploitasi kelemahan harga mendasar yang bisa dicegah dengan pernyataan sederhana. Token LP dihargai menggunakan rumus jumlah dasar (price_token1 * amount_token1 + price_token0 * amount_token0) alih-alih penetapan harga wajar yang memperhitungkan rumus produk konstan kumpulan. Urutan serangan: - Pertukaran besar dari token0 ke token1 harga oracle token LP yang meningkat secara artifisial - Setor token LP yang dinilai terlalu tinggi sebagai jaminan - Pinjam aset maksimum terhadap nilai agunan yang melambung - Reverse swap mengempiskan harga LP, meninggalkan protokol dengan hutang macet Manipulasi harga adalah pola yang kita lihat berulang kali, dan ini adalah pola yang dilindungi dengan baik oleh pernyataan. Dalam contoh ini, kita bereksperimen dengan cheatcode baru yang akan memungkinkan pemeriksaan panggilan di callstack, yang ideal untuk mendeteksi manipulasi harga intra tx. Kami memeriksa bahwa panggilan "swap" tidak dapat mengakibatkan harga menyimpang lebih dari 5% dari baseline kapan saja selama eksekusi tx. Ini adalah cara sederhana namun ampuh untuk melindungi terhadap, misalnya, serangan pinjaman kilat.

Contoh terbaik untuk menangkap peretasan daripada memantau vektor serangan. Perhatikan baik-baik.

Pernyataan ditegakkan oleh jaringan itu sendiri. Bukan oleh layanan pemantauan yang mungkin turun. Bukan dengan dasbor yang mungkin melewatkan sesuatu. Bukan oleh model AI yang mungkin salah menebak. Dengan mekanisme konsensus yang sama yang memvalidasi setiap transaksi. Validator yang sama yang mengamankan nilai miliaran. Jaringan yang sama yang tidak pernah berhasil diserang. Ketika pernyataan Anda mengatakan "invarian ini harus bertahan", jaringan menegakkannya. Masa. Jika transaksi akan melanggar properti keamanan Anda, transaksi tersebut tidak akan mendapatkan peringatan. Itu tidak ditandai untuk ditinjau. Itu tidak dieksekusi. Jaringan itu sendiri *adalah* lapisan keamanan Anda.

Sangat bersemangat dan terhormat untuk berkontribusi pada @OptimismGov, terutama dalam hal melakukannya dengan frens

Anda tidak menulis pernyataan dengan memahami setiap vektor serangan. Anda menulis pernyataan dengan mendefinisikan setiap status yang diretas.

Optimism Stack bukanlah dApp, tetapi merupakan infrastruktur penting yang mengamankan miliaran TVL. Ketika infrastruktur gagal, seluruh ekosistem turun. Itulah sebabnya @_czepluch menerjemahkan beberapa FMA Optimism ke dalam pernyataan yang mencegah kegagalan ini di tingkat transaksi. 🧵

Peningkatan keamanan terbaik tidak mengubah model kepercayaan Anda. Mereka meningkatkannya.

Pernyataan tidak peduli jika kode Anda bebas bug. Mereka peduli jika hasilnya melanggar invarian protokol. Sesederhana itu.

Mempertanyakan status quo bukan hanya motto, ini adalah prinsip dasar dari rekayasa yang baik Ini membuka ruang desain yang tidak pernah dipikirkan oleh siapa pun untuk dijelajahi, hanya karena mereka tidak pernah mengajukan pertanyaan itu sejak awal yah, kami melakukannya

Pemimpin kami kembali beraksi.