Кракване на кода на DeFi Уязвимости: Дълбокото потапяне на Alp Bassa в сигурността на интелигентните договори
Накратко
Алп Баса, изследовател във Veridise, обсъжда иновативни инструменти, одити с доказателство за нулево знание и бъдещето на сигурността на блокчейн.
В това ексклузивно интервю, взето по време на конференцията Hack Seasons, Алп Баса, научен сътрудник в Проверете, споделя прозрения за иновативните инструменти на Veridise, тънкостите на доказателствените одити с нулево знание и бъдещето на сигурността на блокчейн. По време на дискусията ще изследваме пресечната точка на математиката, криптографията и блокчейн технологията през очите на един от водещите експерти в индустрията.
Много предприемачи са привлечени към своята област от конкретен момент или събитие. До какво беше вашето пътуване Web3?
Аз идвам от академична среда. Аз съм математик, който правеше изследвания в теорията на числата, фокусирайки се върху криви над крайни полета, елиптични криви и техните приложения в теорията на кодирането и криптографията. Тези инструменти се използват много, особено сега, когато криптографията с нулево знание има по-голямо влияние в Web3 пространство.
Видях, че там се случват много интересни неща. След това започнах работа във Veridise, където извършват одити на сигурността и са специализирани по-специално в ZK домейна, където моята експертиза се вписва много добре.
Защо изобщо се нуждаем от одити на сигурността? Могат ли разработчиците да работят без тях или са задължителни?
Сигурността на системите изисква различно мислене, което трябва да приемете още на етапа на разработка. Не всички разработчици могат да се съсредоточат върху всички аспекти на процеса на разработка едновременно – осигуряване на правилните спецификации, поведение, ефективност, интегриране в по-голяма настройка и сигурност. През повечето време сигурността е аспект, който не е обхванат добре в процеса на разработка.
Стана почти невъзможно за разработчика да бъде достатъчно уверен с различни сложни инструменти, за да гарантира, че се използват правилно и че няма уязвимости. Това е просто различно мислене, което трябва да се приложи. Ето защо одитите са полезни.
Можете ли да разкажете по-подробно за собствените инструменти, които Veridise е разработил, и как те подобряват качеството на одита?
Има широк спектър от инструменти, които могат да се използват. Някои са по-примитивни, но не изискват твърде много фон и са лесно достъпни, като fuzzers. Някои са по средата, като инструменти за статичен анализ. Те са доста бързи, но не прекалено точни – могат да дадат някои фалшиви положителни резултати.
След това има инструменти, които са силно подкрепени от математика, базирани на SMT решаващи средства и друга математическа подготовка. Те са много прецизни, но тежки за изчисления. Ние използваме комбинация от всички тези инструменти, всеки със своите плюсове и минуси, за улавяне на грешки и уязвимости.
Кои са някои от уникалните съображения за сигурност, които Veridise разглежда DeFi протоколи?
За DeFi протоколи, разполагаме с инструмент за статичен анализ, при който вие предварително казвате на системата какъв вид уязвимости да търси или към какви структури да се стреми. Има много от тях. Например атаките за повторно влизане бяха отговорни за хакването на DAO от 2016 г. Атаките с флаш заем бяха използвани при атаката срещу Cream Finance, което доведе до кражбата на около 130 милиона долара.
Чрез нашия опит през годините на одит, ние имаме добър преглед на това какви са уязвимостите и нашите инструменти са направени да проверяват за всички тях. По време на нашите одити ние ги разглеждаме един по един в детайли, за да видим дали се появяват подобни рискове.
Моля, разкажете повече за това как използвате ZK технологията и защо ZK одитите са ваш основен приоритет?
ZK е особено интересен от гледна точка на формалната проверка, защото се превежда много добре в използването на инструменти. Имаме инструменти, които са специално насочени към проверка на ZK приложения. Тъй като е толкова подходящ за нашите методи, това е областта, върху която сме се фокусирали много.
Идентифицирахме критични уязвимости в библиотеките на основните вериги. Нашият екип е много силен в тази област, така че решихме да бъдем много присъстващи и на границата на ЗК одит. Повечето от нашите изследвания също са мотивирани от нужди и изисквания от гледна точка на одитора по отношение на ZK домейна.
Как вашият опит в ZK схемите се отличава от други компании?
Бих казал, че нашите инструменти са това, което ни отличава много, защото идваме от официален опит за проверка. Разполагаме с много силни инструменти и досега обхватът на проектите е станал толкова голям, че човешките усилия сами по себе си не са достатъчни за добро покритие на кодовата база. Необходимо е, но само по себе си не е достатъчно.
Как Veridise балансира ръчния преглед на кода с автоматизирания анализ на инструмента в своя процес на одит?
Има нужда и от двете. Забелязваме го и в одитите. През повечето време, когато правим много строг човешки одит и след това стартираме инструментите в кодовата база, откриваме някои уязвимости, които са убягнали от нашето внимание. Понякога първо стартираме инструментите, но инструментите могат да открият само определени видове структури.
Тъй като в тези системи има толкова много нива на усложнение и абстракция, просто разчитането на инструментите също не е достатъчно. Чувствам, че не можете без нито един от тях и не мисля, че това ще се промени в бъдеще.
Какви са ключовите характеристики на инструмента Vanguard на Veridise и как той подобрява сигурността на интелигентния договор?
Vanguard е един от нашите основни инструменти. Използва се за статичен анализ. При статичния анализ предоставяте определена спецификация на предвиденото поведение и след това проверявате дали това е изпълнено – дали определени свойства се запазват, без да изпълнявате кода. Не е динамичен; вие не изпълнявате кода, но статично се опитвате да прецените дали има определени модели, които могат да причинят уязвимости.
Vanguard се предлага в много вкусове. Имаме части от него, които са доста добри за подобрена сигурност на интелигентни договори, и части, фокусирани върху zk приложения.
Можете ли да разкажете повече за уязвимостите, които сте срещали в интелигентните договори и ZK вериги?
В ZK схемите, върху които работя повече, една от най-често срещаните уязвимости биха били схемите с недостатъчно ограничение. В ZK приложение вашата кодова база се състои от две части: самата програма (нормалното изпълнение) и ограниченията. Вие изисквате ограниченията да отразяват поведението на изпълнението на програмата по начин едно към едно.
Според скорошно хартия, около 95% от всички уязвимости в ZK веригите са причинени от недостатъчно ограничени вериги. Разполагаме с инструменти като PICUS, които са специално насочени към откриване на тези недостатъчно ограничени вериги.
Как Veridise подхожда към процеса на разкриване на уязвимости, открити по време на одити?
Разбира се, ние не правим уязвимостите публични в нито един момент, защото някой друг може да използва грешката, преди да бъде коригирана, особено ако кодовата база вече се използва. В края на процеса на одит ние предоставяме одитен доклад, в който даваме на клиента списък с всички грешки и уязвимости, които сме открили.
Даваме на клиента известно време да ги поправи и след това те ни изпращат своите корекции, които ние преглеждаме, за да проверим дали наистина решават всички повдигнати от нас проблеми. Обединяваме всичко това в окончателен доклад. Докладът е собственост на клиента. Ние не го правим публично достояние, освен ако клиентът не се съгласи.
Ако отидете на уеб страницата на Veridise, можете да видите списък с всички одитни доклади, които клиентите са се съгласили да направят публични. В повечето случаи са съгласни да го направим публично достояние. Всъщност те го искат като сертификат, че кодът е одитиран и е толкова без грешки, колкото може да бъде след одит.
Как Veridise адаптира своите процеси за одит за различни блокчейн платформи и езици?
Както знаете, областта е много жизнена и всеки ден има нови вериги, нови езици и нови начини за изразяване на ZK вериги. Виждаме това и с входящите проекти и заявките за одити, които се основават на различни среди или езици. Пускаме се по течението, виждаме откъде идват заявките и имаме представа в каква посока ще се развие полето в близко бъдеще.
Опитваме се да адаптираме нашите инструменти към нуждите на общността. Това ще продължи и в бъдеще, където ще променяме нещата динамично според това как се развива областта.
Можете ли да разкажете повече за инструментите, които планирате да приложите в бъдеще?
Една посока, в която инструментите ще се променят в близко бъдеще, е, че ще предлагаме сигурност като услуга. Нарича се нашата SaaS платформа, където ще предоставим инструментите, които хората да използват по време на процеса на разработка.
Вместо първо да завършим целия проект и след това да направим одит, ние ще направим нашите инструменти полезни в настройка, където разработчиците могат да ги използват, докато разработват, за да гарантират, че кодът, който разработват, е защитен и не съдържа никакви уязвимости. SaaS трябва да бъде наличен в близко бъдеще.
Отказ от отговорност
В съответствие с Доверете се насоките на проекта, моля, имайте предвид, че предоставената на тази страница информация не е предназначена да бъде и не трябва да се тълкува като правен, данъчен, инвестиционен, финансов или каквато и да е друга форма на съвет. Важно е да инвестирате само това, което можете да си позволите да загубите, и да потърсите независим финансов съвет, ако имате някакви съмнения. За допълнителна информация предлагаме да се обърнете към правилата и условията, както и към страниците за помощ и поддръжка, предоставени от издателя или рекламодателя. MetaversePost се ангажира с точно, безпристрастно отчитане, но пазарните условия подлежат на промяна без предизвестие.
За автора
Виктория е писател по различни технологични теми, включително Web3.0, AI и криптовалути. Нейният богат опит й позволява да пише проницателни статии за по-широка аудитория.
Още статииВиктория е писател по различни технологични теми, включително Web3.0, AI и криптовалути. Нейният богат опит й позволява да пише проницателни статии за по-широка аудитория.