Et annet hack jeg har sett på nylig er Vicuna Finance fra mars i år. De tapte $700K gjennom LP-token-orakelmanipulasjon på Sonic-kjeden. Angrepet utnyttet en grunnleggende prisfeil som kunne vært forhindret med en enkel påstand. LP-tokens ble priset ved å bruke en grunnleggende sumformel (price_token1 * amount_token1 + price_token0 * amount_token0) i stedet for rettferdig prising som tar hensyn til poolens konstante produktformel. Angrepssekvens: - Stor swap fra token0 til token1 kunstig oppblåst LP-token orakelpris - Sett inn overvurderte LP-tokens som sikkerhet - Lån maksimale eiendeler mot oppblåst sikkerhetsverdi - Omvendt swap deflaterte LP-prisen, og etterlot protokollen med tap på gjeld Prismanipulasjon er et mønster vi ser om og om igjen, og det er et mønster som påstander beskytter godt mot. I dette eksemplet eksperimenterer vi med en ny juksekode som vil tillate inspeksjon av samtaler i callstacken, som er ideell for å oppdage intra tx-prismanipulasjoner. Vi sjekker at en "swap"-samtale ikke kan resultere i at prisen avviker mer enn 5 % fra grunnlinjen på noe tidspunkt under tx-utførelsen. Det er en enkel, men kraftig måte å beskytte seg mot for eksempel flash-låneangrep.

Det beste eksemplet på å fange hacket i stedet for å overvåke angrepsvektoren. Følg nøye med.

Påstander håndheves av nettverket selv. Ikke av en overvåkingstjeneste som kan gå ned. Ikke av et dashbord som kanskje går glipp av noe. Ikke av en AI-modell som kan gjette feil. Med den samme konsensusmekanismen som validerer hver transaksjon. De samme validatorene som sikrer milliarder i verdi. Det samme nettverket som aldri har blitt angrepet. Når påstanden din sier «denne invarianten må holde», håndhever nettverket den. Periode. Hvis en transaksjon krenker sikkerhetsegenskapen din, får den ingen advarsel. Den blir ikke flagget for gjennomgang. Det fungerer ikke. Selve nettverket *er* ditt sikkerhetslag.

Superbegeistret og beæret over å bidra til @OptimismGov, spesielt når det kommer til å gjøre det med frens

Du skriver ikke påstander ved å forstå hver angrepsvektor. Du skriver påstander ved å definere hver hacket tilstand.

Optimism Stack er ikke en dApp, men det er kritisk infrastruktur som sikrer milliarder i TVL. Når infrastrukturen svikter, går hele økosystemer ned. Det er derfor @_czepluch oversatt noen av Optimisms FMA-er til påstander som forhindrer disse feilene på transaksjonsnivå. 🧵

De beste sikkerhetsoppgraderingene endrer ikke tillitsmodellen din. De forbedrer det.

Påstander bryr seg ikke om koden din er feilfri. De bryr seg om utfallet bryter med protokollinvarianter. Enkelt som.

Å stille spørsmål ved status quo er ikke bare et motto, det er et grunnleggende prinsipp for god ingeniørkunst det åpner opp designrom som ingen har tenkt på å utforske, bare fordi de aldri stilte spørsmålet i utgangspunktet vel, det gjorde vi

Lederen vår er tilbake i aksjon.