المقابلة الشخصية إدارة الأعمال الأسواق تطبيقات الكمبيوتر تكنولوجيا
19 تموز، 2024

تكسير كود DeFi نقاط الضعف: الغوص العميق لـ Alp Bassa في أمان العقود الذكية

في سطور

يناقش ألب باسا، عالم الأبحاث في Veridise، الأدوات المبتكرة وعمليات تدقيق إثبات المعرفة الصفرية ومستقبل أمان blockchain.

تكسير كود DeFi نقاط الضعف: الغوص العميق لـ Alp Bassa في أمان العقود الذكية

في هذه المقابلة الحصرية، التي تم إجراؤها خلال مؤتمر Hack Seasons،  ألب باسا، عالم أبحاث في التحقق، يشارك رؤى حول أدوات Veridise المبتكرة، وتعقيدات عمليات تدقيق إثبات المعرفة الصفرية، ومستقبل أمان blockchain. خلال المناقشة، سوف نستكشف التقاطع بين الرياضيات والتشفير وتكنولوجيا blockchain من خلال عيون أحد الخبراء الرائدين في الصناعة.

ينجذب العديد من رواد الأعمال إلى مجالهم من خلال لحظة أو حدث معين. ماذا كانت رحلتك إلى Web3?

لقد جئت من خلفية أكاديمية. أنا عالم رياضيات كنت أقوم بإجراء بحث في نظرية الأعداد، مع التركيز على المنحنيات عبر المجالات المحدودة، والمنحنيات الإهليلجية، وتطبيقاتها في نظرية التشفير والتشفير. يتم استخدام هذه الأدوات بكثافة، خاصة الآن مع وجود تأثير أكبر لتشفير المعرفة الصفرية في Web3 الفضاء. 

رأيت أن هناك الكثير من الأشياء المثيرة للاهتمام تحدث هناك. ثم بدأت العمل في Veridise، حيث يقومون بعمليات التدقيق الأمني ​​ويتخصصون بشكل خاص في مجال ZK، وهو المكان الذي تتناسب فيه خبرتي بشكل جيد للغاية.

لماذا نحتاج حتى إلى عمليات التدقيق الأمني؟ هل يمكن للمطورين العمل بدونها أم أنها إلزامية؟

يتطلب أمان الأنظمة عقلية مختلفة يجب عليك اتباعها بالفعل في مرحلة التطوير. لا يمكن لجميع المطورين التركيز على جميع جوانب عملية التطوير في وقت واحد - مما يضمن المواصفات الصحيحة والسلوك والكفاءة والتكامل في إعداد أكبر والأمان. في معظم الأحيان، يعد الأمان أحد الجوانب التي لا تتم تغطيتها بشكل جيد خلال عملية التطوير.

لقد أصبح من المستحيل تقريبًا أن يكون المطور واثقًا بدرجة كافية باستخدام الأدوات المعقدة المختلفة لضمان استخدامها بشكل صحيح وعدم وجود ثغرات أمنية. إنها مجرد عقلية مختلفة يجب تطبيقها. ولهذا السبب فإن عمليات التدقيق مفيدة.

هل يمكنك توضيح الأدوات الداخلية التي طورتها شركة Veridise وكيف تعمل على تحسين جودة التدقيق؟

هناك مجموعة واسعة من الأدوات التي يمكن استخدامها. بعضها أكثر بدائية ولكنها لا تتطلب الكثير من الخلفية ويمكن الوصول إليها بسهولة، مثل الزغب. بعضها في المنتصف، مثل أدوات التحليل الثابتة. إنها سريعة جدًا ولكنها ليست دقيقة جدًا، حيث يمكن أن تعطي بعض النتائج الإيجابية الكاذبة. 

ثم هناك الأدوات المدعومة بشكل كبير بالرياضيات، والتي تعتمد على أدوات حل SMT وخلفيات رياضية أخرى. هذه دقيقة للغاية ولكنها ثقيلة من الناحية الحسابية. نحن نستخدم مزيجًا من كل هذه الأدوات، ولكل منها إيجابياتها وسلبياتها، لاكتشاف الأخطاء ونقاط الضعف.

ما هي بعض الاعتبارات الأمنية الفريدة التي تعالجها Veridise؟ DeFi البروتوكولات؟

في حالة DeFi البروتوكولات، لدينا أداة تحليل ثابتة حيث يمكنك إخبار النظام مسبقًا بنوع نقاط الضعف التي يجب البحث عنها أو الهياكل التي يجب استهدافها. هناك العديد منهم. على سبيل المثال، كانت هجمات إعادة الدخول مسؤولة عن اختراق DAO في عام 2016. وتم استغلال هجمات القروض السريعة في الهجوم على Cream Finance، والذي تسبب في سرقة حوالي 130 مليون دولار. 

من خلال خبرتنا على مدار سنوات التدقيق، لدينا نظرة عامة جيدة حول ماهية نقاط الضعف، وقد تم تصميم أدواتنا للتحقق من كل هذه الثغرات. خلال عمليات التدقيق التي نقوم بها، ننظر إليها واحدة تلو الأخرى بالتفصيل لمعرفة ما إذا كانت مثل هذه المخاطر تظهر أم لا.

يرجى توضيح المزيد حول كيفية استخدام تقنية ZK ولماذا تعتبر عمليات تدقيق ZK هي أولويتك الرئيسية؟

تعتبر ZK مثيرة للاهتمام بشكل خاص من منظور التحقق الرسمي لأنها تترجم جيدًا إلى استخدام الأدوات. لدينا أدوات تهدف بشكل خاص إلى التحقق من تطبيقات ZK. ولأنه مناسب جدًا لأساليبنا، فهذا هو المجال الذي ركزنا عليه كثيرًا. 

لقد حددنا نقاط الضعف الحرجة في مكتبات الدوائر الأساسية. فريقنا قوي جدًا في هذا المجال، لذلك قررنا أن نكون حاضرين جدًا وعلى الحدود تدقيق ZK. معظم أبحاثنا مدفوعة أيضًا بالاحتياجات والمتطلبات من وجهة نظر المدقق في مجال ZK.

كيف تختلف خبرتك في دوائر ZK عن الشركات الأخرى؟

أود أن أقول إن أدواتنا هي ما يميزنا كثيرًا لأننا نأتي إلى خلفية رسمية للتحقق. لدينا أدوات قوية جدًا، والآن أصبح حجم المشاريع كبيرًا جدًا لدرجة أن الجهد البشري وحده لا يكفي للحصول على تغطية جيدة لقاعدة التعليمات البرمجية. إنه ضروري، لكنه في حد ذاته لا يكفي. 

كيف توازن Veridise بين المراجعة اليدوية للكود والتحليل الآلي للأدوات في عملية التدقيق الخاصة بها؟

هناك حاجة لكل منهما. ونلاحظ ذلك أيضًا في عمليات التدقيق. في معظم الأحيان، عندما نقوم بتدقيق بشري صارم للغاية ثم نقوم بتشغيل الأدوات بعد ذلك على قاعدة التعليمات البرمجية، نجد بعض نقاط الضعف التي غابت عن اهتمامنا. في بعض الأحيان، نقوم بتشغيل الأدوات أولاً، لكن الأدوات يمكنها فقط اكتشاف أنواع معينة من الهياكل. 

نظرًا لوجود العديد من طبقات التعقيد والتجريد في هذه الأنظمة، فإن مجرد الاعتماد على الأدوات ليس كافيًا أيضًا. أشعر أنك لا تستطيع الاستغناء عن أي منهما، ولا أعتقد أن هذا سيتغير في المستقبل.

ما هي الميزات الرئيسية لأداة Veridise's Vanguard، وكيف تعمل على تحسين أمان العقود الذكية؟

الطليعة هي إحدى أدواتنا الرئيسية. يتم استخدامه للتحليل الثابت. في التحليل الثابت، يمكنك توفير مواصفات معينة للسلوك المقصود ثم التحقق من استيفاء ذلك - ما إذا كانت خصائص معينة ستظل ثابتة دون تشغيل التعليمات البرمجية. إنها ليست ديناميكية. لا تقوم بتنفيذ التعليمات البرمجية، ولكنك تحاول بشكل ثابت تقييم ما إذا كانت هناك أنماط معينة يمكن أن تسبب ثغرات أمنية. 

الطليعة تأتي في العديد من النكهات. لدينا أجزاء منه جيدة جدًا لتحسين أمان العقود الذكية، وأجزاء تركز على تطبيقات zk. 

هل يمكنك توضيح المزيد حول نقاط الضعف التي واجهتها في العقود الذكية ودوائر ZK؟

في دوائر ZK، التي أعمل عليها أكثر، ستكون إحدى نقاط الضعف الأكثر شيوعًا هي الدوائر غير المقيدة. في تطبيق ZK، تتكون قاعدة التعليمات البرمجية الخاصة بك من جزأين: البرنامج نفسه (التنفيذ العادي) والقيود. أنت تطلب أن تعكس القيود سلوك تنفيذ البرنامج بطريقة فردية. 

ووفقا ل ورقة الزوار، حوالي 95% من جميع نقاط الضعف في دوائر ZK ناتجة عن دوائر غير مقيدة. لدينا أدوات، مثل PICUS، والتي تهدف بشكل خاص إلى اكتشاف تلك الدوائر غير المقيدة.

كيف تتعامل Veridise مع عملية الكشف عن نقاط الضعف المكتشفة أثناء عمليات التدقيق؟

بالطبع، نحن لا نعلن عن الثغرات الأمنية في أي وقت لأن شخصًا آخر قد يستغل الخطأ قبل إصلاحه، خاصة إذا كانت قاعدة التعليمات البرمجية قيد الاستخدام بالفعل. في نهاية عملية التدقيق، نقوم بتسليم تقرير تدقيق حيث نعطي العميل قائمة بجميع الأخطاء ونقاط الضعف التي اكتشفناها. 

نمنح العميل بعض الوقت لإصلاح هذه الأخطاء، ثم يرسل إلينا إصلاحاته، والتي نقوم بمراجعتها للتحقق مما إذا كان يعالج بالفعل جميع المشكلات التي أثرناها. ونجمع كل ذلك في تقرير نهائي. التقرير ملك للعميل . نحن لا نعلن عنها إلا إذا وافق العميل.

إذا ذهبت إلى صفحة Veridise على الويب، يمكنك رؤية قائمة بجميع تقارير التدقيق التي وافق العملاء على نشرها للعامة. في معظم الحالات، لا بأس بجعل الأمر علنيًا. في الواقع، يريدونها كشهادة بأن الكود قد تم تدقيقه وأنه خالي من الأخطاء قدر الإمكان بعد التدقيق. 

كيف تقوم Veridise بتكييف عمليات التدقيق الخاصة بها مع منصات ولغات blockchain المختلفة؟

كما تعلمون، المجال نابض بالحياة للغاية، وكل يوم هناك سلاسل جديدة، ولغات جديدة، وطرق جديدة للتعبير عن دوائر ZK. ونحن نرى ذلك أيضًا مع المشاريع الواردة وطلبات التدقيق التي تعتمد على بيئات أو لغات مختلفة. نحن نسير مع التدفق، ونرى من أين تأتي الطلبات، ويكون لدينا شعور بالاتجاه الذي سيتطور فيه المجال في المستقبل القريب. 

نحن نحاول تكييف أدواتنا لتلبية احتياجات المجتمع. وسيستمر هذا في المستقبل، حيث سنغير الأمور ديناميكيًا وفقًا لكيفية تطور المجال.

هل يمكنك توضيح المزيد حول الأدوات التي تخطط لتنفيذها في المستقبل؟ 

أحد الاتجاهات التي ستتغير فيها الأدوات في المستقبل القريب هو أننا سنقدم الأمان كخدمة. يُطلق عليها اسم منصة SaaS الخاصة بنا، حيث سنوفر الأدوات للأشخاص لاستخدامها أثناء عملية التطوير. 

بدلاً من الانتهاء أولاً من المشروع بأكمله ثم إجراء التدقيق، سنجعل أدواتنا مفيدة في الإعداد حيث يمكن للمطورين استخدامها أثناء التطوير للتأكد من أن التعليمات البرمجية التي يقومون بتطويرها آمنة ولا تحتوي على أي ثغرات أمنية. يجب أن تكون SaaS متاحة في المستقبل القريب.

إخلاء مسؤولية

تتماشى مع المبادئ التوجيهية لمشروع الثقةيرجى ملاحظة أن المعلومات المقدمة في هذه الصفحة ليس المقصود منها ولا ينبغي تفسيرها على أنها نصيحة قانونية أو ضريبية أو استثمارية أو مالية أو أي شكل آخر من أشكال المشورة. من المهم أن تستثمر فقط ما يمكنك تحمل خسارته وأن تطلب مشورة مالية مستقلة إذا كانت لديك أي شكوك. لمزيد من المعلومات، نقترح الرجوع إلى الشروط والأحكام بالإضافة إلى صفحات المساعدة والدعم المقدمة من جهة الإصدار أو المعلن. MetaversePost تلتزم بتقارير دقيقة وغير متحيزة، ولكن ظروف السوق عرضة للتغيير دون إشعار.

نبذة عن الكاتب

فيكتوريا كاتبة في مجموعة متنوعة من موضوعات التكنولوجيا بما في ذلك Web3.0 والذكاء الاصطناعي والعملات المشفرة. خبرتها الواسعة تسمح لها بكتابة مقالات ثاقبة لجمهور أوسع.

المزيد من المقالات
فيكتوريا ديستي
فيكتوريا ديستي

فيكتوريا كاتبة في مجموعة متنوعة من موضوعات التكنولوجيا بما في ذلك Web3.0 والذكاء الاصطناعي والعملات المشفرة. خبرتها الواسعة تسمح لها بكتابة مقالات ثاقبة لجمهور أوسع.

Hot Stories
اشترك في صحيفتنا الإخبارية.
آخـر الأخبار

من Ripple إلى The Big Green DAO: كيف تساهم مشاريع العملة المشفرة في الأعمال الخيرية

دعونا نستكشف المبادرات التي تستغل إمكانات العملات الرقمية لأغراض خيرية.

المزيد

AlphaFold 3 وMed-Gemini وآخرون: الطريقة التي يغير بها الذكاء الاصطناعي الرعاية الصحية في عام 2024

يتجلى الذكاء الاصطناعي بطرق مختلفة في مجال الرعاية الصحية، بدءًا من الكشف عن الارتباطات الجينية الجديدة وحتى تمكين الأنظمة الجراحية الروبوتية...

المزيد
تفاصيل أكثر
المزيد
أطلقت شركة Aleph Zero برنامج NEON لتسهيل دخول المؤسسات إلى Web3
إدارة الأعمال تقرير الأخبار تكنولوجيا
أطلقت شركة Aleph Zero برنامج NEON لتسهيل دخول المؤسسات إلى Web3
10 سبتمبر 2024
تتعاون شركة Fabric مع Polygon Labs لتقديم وحدات معالجة قابلة للتحقق لتكنولوجيا المعرفة الصفرية
تقرير الأخبار تكنولوجيا
تتعاون شركة Fabric مع Polygon Labs لتقديم وحدات معالجة قابلة للتحقق لتكنولوجيا المعرفة الصفرية
10 سبتمبر 2024
توسع مجموعة Gate عملياتها الأوروبية من خلال Gate.MT، ومن المقرر أن تقود بموجب لوائح MiCA في عام 2025
الأسواق تقرير الأخبار تكنولوجيا
توسع مجموعة Gate عملياتها الأوروبية من خلال Gate.MT، ومن المقرر أن تقود بموجب لوائح MiCA في عام 2025
10 سبتمبر 2024
توسعت شركة Paxos إلى Arbitrum، وتخطط لإحضار منصة التوكن الخاصة بها إلى الشبكة
تقرير الأخبار تكنولوجيا
توسعت شركة Paxos إلى Arbitrum، وتخطط لإحضار منصة التوكن الخاصة بها إلى الشبكة
10 سبتمبر 2024
CRYPTOMERIA LABS PTE. المحدودة.