Interview Geschäft Märkte Software Technologie
19. Juli 2024

Den Code knacken von DeFi Schwachstellen: Alp Bassas eingehender Einblick in die Sicherheit von Smart Contracts

In Kürze

Alp Bassa, ein Forschungswissenschaftler bei Veridise, diskutiert innovative Tools, Zero-Knowledge-Proof-Audits und die Zukunft der Blockchain-Sicherheit.

Den Code knacken von DeFi Schwachstellen: Alp Bassas eingehender Einblick in die Sicherheit von Smart Contracts

In diesem exklusiven Interview, das während der Hack Seasons Conference geführt wurde,  Alp Bassa, ein Wissenschaftler bei Verifizieren, gibt Einblicke in die innovativen Tools von Veridise, die Feinheiten von Zero-Knowledge-Proof-Audits und die Zukunft der Blockchain-Sicherheit. Während der Diskussion werden wir die Schnittstelle zwischen Mathematik, Kryptographie und Blockchain-Technologie aus der Sicht eines der führenden Experten der Branche erkunden.

Viele Unternehmer werden durch einen bestimmten Moment oder ein bestimmtes Ereignis in ihr Fachgebiet gezogen. Wie war Ihr Weg dorthin? Web3?

Ich komme aus einem akademischen Umfeld. Ich bin Mathematiker und habe in der Zahlentheorie geforscht, wobei ich mich auf Kurven über endlichen Körpern, elliptische Kurven und ihre Anwendungen in der Kodierungstheorie und Kryptographie konzentriert habe. Diese Werkzeuge werden häufig verwendet, insbesondere jetzt, da die Zero-Knowledge-Kryptographie einen größeren Einfluss auf die Web3 Raum. 

Ich habe gesehen, dass dort viele interessante Dinge passierten. Dann habe ich angefangen, bei Veridise zu arbeiten, wo sie Sicherheitsprüfungen durchführen und sich insbesondere auf den ZK-Bereich spezialisieren, wo meine Expertise sehr gut passt.

Warum brauchen wir überhaupt Sicherheitsüberprüfungen? Können Entwickler ohne sie arbeiten oder sind sie obligatorisch?

Die Sicherheit der Systeme erfordert eine andere Denkweise, die Sie bereits in der Entwicklungsphase einnehmen müssen. Nicht alle Entwickler können sich auf alle Aspekte des Entwicklungsprozesses gleichzeitig konzentrieren – die richtigen Spezifikationen, das richtige Verhalten, die richtige Effizienz, die richtige Integration in ein größeres Setup und die richtige Sicherheit sicherstellen. Meistens ist Sicherheit ein Aspekt, der im gesamten Entwicklungsprozess nicht ausreichend abgedeckt wird.

Für einen Entwickler ist es fast unmöglich geworden, mit verschiedenen komplexen Tools so vertraut zu sein, dass er sicherstellen kann, dass sie richtig verwendet werden und keine Schwachstellen aufweisen. Es ist lediglich eine andere Denkweise erforderlich. Deshalb sind Audits nützlich.

Können Sie die von Veridise entwickelten internen Tools näher erläutern und erklären, wie diese die Auditqualität verbessern?

Es gibt ein breites Spektrum an Werkzeugen, die verwendet werden können. Manche sind primitiver, erfordern aber nicht zu viel Hintergrundwissen und sind leicht zugänglich, wie etwa Fuzzer. Manche liegen dazwischen, wie etwa statische Analysewerkzeuge. Sie sind ziemlich schnell, aber nicht zu genau – sie können einige falsche Ergebnisse liefern. 

Dann gibt es Tools, die stark mathematisch unterstützt werden und auf SMT-Solvern und anderen mathematischen Grundlagen basieren. Diese sind sehr präzise, ​​erfordern aber viel Rechenleistung. Wir verwenden eine Kombination all dieser Tools, jedes mit seinen Vor- und Nachteilen, um Fehler und Schwachstellen zu erkennen.

Was sind einige der einzigartigen Sicherheitsaspekte, die Veridise berücksichtigt für DeFi Protokolle?

für DeFi Protokolle, wir haben ein statisches Analysetool, mit dem Sie dem System im Voraus mitteilen, nach welchen Schwachstellen es suchen oder welche Strukturen es anvisieren soll. Davon gibt es viele. So waren beispielsweise Reentrancy-Angriffe für den DAO-Hack von 2016 verantwortlich. Flash-Loan-Angriffe wurden beim Angriff auf Cream Finance ausgenutzt, bei dem etwa 130 Millionen Dollar gestohlen wurden. 

Durch unsere langjährige Erfahrung im Auditing haben wir einen guten Überblick über die Schwachstellen und unsere Tools sind darauf ausgelegt, alle Schwachstellen zu erkennen. Während unserer Audits sehen wir uns jede Schwachstelle einzeln im Detail an, um zu sehen, ob solche Risiken auftreten.

Bitte erläutern Sie genauer, wie Sie die ZK-Technologie nutzen und warum ZK-Audits für Sie oberste Priorität haben.

ZK ist aus der Perspektive der formalen Verifizierung besonders interessant, da es sich sehr gut in die Verwendung von Tools umsetzen lässt. Wir haben Tools, die speziell auf die Überprüfung von ZK-Anwendungen ausgerichtet sind. Da es für unsere Methoden so gut geeignet ist, haben wir uns stark auf diesen Bereich konzentriert. 

Wir haben kritische Schwachstellen in den Kernschaltungsbibliotheken identifiziert. Unser Team ist auf diesem Gebiet sehr stark, daher haben wir uns entschieden, sehr präsent und an der Spitze der ZK WirtschaftsprüfungDer Großteil unserer Forschung ist auch durch die Bedürfnisse und Anforderungen eines Wirtschaftsprüfers im ZK-Bereich motiviert.

Wie unterscheidet sich Ihre Expertise im Bereich ZK-Schaltungen von der anderer Unternehmen?

Ich würde sagen, dass unsere Tools das sind, was uns stark von anderen unterscheidet, da wir aus einem formalen Verifizierungshintergrund kommen. Wir haben sehr starke Tools und mittlerweile ist der Umfang der Projekte so groß geworden, dass menschliche Anstrengung allein nicht mehr ausreicht, um eine gute Abdeckung der Codebasis zu erreichen. Das ist notwendig, aber allein nicht genug. 

Wie gleicht Veridise in seinem Auditprozess die manuelle Codeüberprüfung mit der automatisierten Toolanalyse aus?

Beides ist erforderlich. Das merken wir auch bei den Audits. Wenn wir sehr gründliche Audits durch Menschen durchführen und die Tools anschließend auf der Codebasis ausführen, finden wir meistens einige Schwachstellen, die unserer Aufmerksamkeit entgangen sind. Manchmal führen wir die Tools zuerst aus, aber die Tools können nur bestimmte Arten von Strukturen erkennen. 

Da diese Systeme so viele Ebenen der Komplexität und Abstraktion aufweisen, reicht es auch nicht aus, sich nur auf die Tools zu verlassen. Ich habe das Gefühl, dass man auf keines von beiden verzichten kann, und ich glaube nicht, dass sich das in Zukunft ändern wird.

Was sind die Hauptfunktionen des Vanguard-Tools von Veridise und wie verbessert es die Sicherheit von Smart Contracts?

Vanguard ist eines unserer Haupttools. Es wird für die statische Analyse verwendet. Bei der statischen Analyse geben Sie eine bestimmte Spezifikation des beabsichtigten Verhaltens an und prüfen dann, ob diese erfüllt ist – ob bestimmte Eigenschaften gelten, ohne den Code auszuführen. Es ist nicht dynamisch; Sie führen den Code nicht aus, aber Sie versuchen statisch zu beurteilen, ob bestimmte Muster vorhanden sind, die Schwachstellen verursachen könnten. 

Vanguard gibt es in vielen Varianten. Wir haben Teile davon, die sich gut für eine verbesserte Sicherheit von Smart Contracts eignen, und Teile, die sich auf ZK-Anwendungen konzentrieren. 

Können Sie näher auf die Schwachstellen eingehen, die Sie in Smart Contracts und ZK-Schaltkreisen festgestellt haben?

In ZK-Schaltkreisen, an denen ich mehr arbeite, sind Schaltkreise mit zu geringen Einschränkungen eine der am häufigsten auftretenden Schwachstellen. In einer ZK-Anwendung besteht Ihre Codebasis aus zwei Teilen: dem Programm selbst (der normalen Ausführung) und den Einschränkungen. Sie verlangen, dass die Einschränkungen das Verhalten der Programmausführung eins zu eins widerspiegeln. 

Gemäß einer jüngsten PapierEtwa 95 % aller Schwachstellen in ZK-Schaltkreisen werden durch unterbeschränkte Schaltkreise verursacht. Wir verfügen über Tools wie PICUS, das speziell auf die Erkennung dieser unterbeschränkten Schaltkreise ausgerichtet ist.

Wie geht Veridise beim Offenlegungsprozess für Schwachstellen vor, die bei Audits entdeckt werden?

Natürlich machen wir Schwachstellen zu keinem Zeitpunkt öffentlich, da jemand anderes den Fehler ausnutzen könnte, bevor er behoben ist, insbesondere wenn die Codebasis bereits verwendet wird. Am Ende des Prüfprozesses liefern wir einen Prüfbericht, in dem wir dem Kunden eine Liste aller Fehler und Schwachstellen geben, die wir entdeckt haben. 

Wir geben dem Kunden etwas Zeit, diese Probleme zu beheben. Anschließend sendet er uns seine Korrekturen, die wir überprüfen, um zu prüfen, ob sie wirklich alle von uns angesprochenen Probleme beheben. Alles fassen wir in einem Abschlussbericht zusammen. Der Bericht ist Eigentum des Kunden. Wir veröffentlichen ihn nicht, es sei denn, der Kunde stimmt zu.

Auf der Veridise-Webseite finden Sie eine Liste aller Prüfberichte, deren Veröffentlichung die Kunden zugestimmt haben. In den meisten Fällen sind sie damit einverstanden, dass wir sie veröffentlichen. Tatsächlich möchten sie sie als Zertifikat, dass der Code geprüft wurde und nach einer Prüfung so fehlerfrei ist, wie er nur sein kann. 

Wie passt Veridise seine Auditprozesse an verschiedene Blockchain-Plattformen und Sprachen an?

Wie Sie wissen, ist das Feld sehr lebendig und jeden Tag gibt es neue Ketten, neue Sprachen und neue Möglichkeiten, ZK-Schaltkreise auszudrücken. Das sehen wir auch bei den eingehenden Projekten und Auditanfragen, die auf unterschiedlichen Umgebungen oder Sprachen basieren. Wir gehen mit dem Strom, sehen, woher die Anfragen kommen, und haben ein Gespür dafür, in welche Richtung sich das Feld in naher Zukunft entwickeln wird. 

Wir versuchen, unsere Tools an die Bedürfnisse der Community anzupassen. Dies wird auch in Zukunft so bleiben, indem wir Dinge dynamisch ändern, je nachdem, wie sich das Feld weiterentwickelt.

Können Sie näher auf die Tools eingehen, die Sie in Zukunft implementieren möchten? 

Eine Richtung, in die sich die Tools in naher Zukunft ändern werden, ist, dass wir Sicherheit als Service anbieten werden. Das wird unsere sogenannte SaaS-Plattform sein, auf der wir die Tools den Leuten zur Verfügung stellen, die sie während des Entwicklungsprozesses nutzen können. 

Anstatt zuerst das gesamte Projekt abzuschließen und dann ein Audit durchzuführen, werden wir unsere Tools in einem Setup nutzbar machen, in dem Entwickler sie während der Entwicklung verwenden können, um sicherzustellen, dass der von ihnen entwickelte Code sicher ist und keine Schwachstellen enthält. Das SaaS sollte in naher Zukunft verfügbar sein.

Haftungsausschluss

Im Einklang mit der Richtlinien des Trust-ProjektsBitte beachten Sie, dass die auf dieser Seite bereitgestellten Informationen nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung gedacht sind und nicht als solche interpretiert werden sollten. Es ist wichtig, nur so viel zu investieren, wie Sie sich leisten können, zu verlieren, und im Zweifelsfall eine unabhängige Finanzberatung einzuholen. Für weitere Informationen empfehlen wir einen Blick auf die Allgemeinen Geschäftsbedingungen sowie die Hilfe- und Supportseiten des Herausgebers oder Werbetreibenden. MetaversePost ist einer genauen, unvoreingenommenen Berichterstattung verpflichtet, die Marktbedingungen können sich jedoch ohne Vorankündigung ändern.

Über den Autor

Victoria schreibt über eine Vielzahl von Technologiethemen, darunter Web3.0, KI und Kryptowährungen. Ihre umfangreiche Erfahrung ermöglicht es ihr, aufschlussreiche Artikel für ein breiteres Publikum zu schreiben.

Weitere Artikel
Victoria d'Este
Victoria d'Este

Victoria schreibt über eine Vielzahl von Technologiethemen, darunter Web3.0, KI und Kryptowährungen. Ihre umfangreiche Erfahrung ermöglicht es ihr, aufschlussreiche Artikel für ein breiteres Publikum zu schreiben.

Von Ripple zum Big Green DAO: Wie Kryptowährungsprojekte zur Wohltätigkeit beitragen

Lassen Sie uns Initiativen erkunden, die das Potenzial digitaler Währungen für wohltätige Zwecke nutzen.

Mehr Erfahren

AlphaFold 3, Med-Gemini und andere: Die Art und Weise, wie KI das Gesundheitswesen im Jahr 2024 verändert

KI manifestiert sich im Gesundheitswesen auf verschiedene Weise, von der Aufdeckung neuer genetischer Zusammenhänge bis hin zur Stärkung robotergestützter chirurgischer Systeme ...

Mehr Erfahren
Mehr erfahren
Mehr Info
DFG, Jsquare, Ticker Capital und Starbase veranstalten gemeinsam ein Meetup und enthüllen Web3 Investitionstrends während der KBW2024
Lifestyle Nachrichtenbericht Technologie
DFG, Jsquare, Ticker Capital und Starbase veranstalten gemeinsam ein Meetup und enthüllen Web3 Investitionstrends während der KBW2024
6. September 2024
Binance Zu Airdrop USDC an FRONT- und SLF-Inhaber nach Abschluss der Token-Umbenennung
Märkte Nachrichtenbericht
Binance Zu Airdrop USDC an FRONT- und SLF-Inhaber nach Abschluss der Token-Umbenennung
6. September 2024
BNB Chain kündigt viertes TVL-Anreizprogramm mit 300,000 US-Dollar Belohnung an
Featured Nachrichtenbericht Technologie
BNB Chain kündigt viertes TVL-Anreizprogramm mit 300,000 US-Dollar Belohnung an
6. September 2024
Milliarden-Dollar-Deals: KI-Sicherheits-Startup sammelt 1 Milliarde Dollar ein, während Nvidia 100 Millionen Dollar in japanische KI-Firma investiert
Digest Geschäft Märkte Software Technologie
Milliarden-Dollar-Deals: KI-Sicherheits-Startup sammelt 1 Milliarde Dollar ein, während Nvidia 100 Millionen Dollar in japanische KI-Firma investiert
6. September 2024