Haastatella Bisnes markkinat Tuotteemme Elektroniikka
Heinäkuu 19, 2024

Koodin murtaminen DeFi Haavoittuvuudet: Alp Bassan syvä sukellus älykkään sopimusturvaan

Lyhyesti

Alp Bassa, Veridisen tutkija, keskustelee innovatiivisista työkaluista, nollatietoturvatarkastuksista ja lohkoketjun turvallisuuden tulevaisuudesta.

Koodin murtaminen DeFi Haavoittuvuudet: Alp Bassan syvä sukellus älykkään sopimusturvaan

Tässä eksklusiivisessa haastattelussa, joka on otettu Hack Seasons -konferenssin aikana,  Alp Bassa, tutkija osoitteessa Veridise, jakaa näkemyksiä Veridisen innovatiivisista työkaluista, nollatietoturvatarkastusten monimutkaisuudesta ja lohkoketjun turvallisuuden tulevaisuudesta. Keskustelun aikana tutkimme matematiikan, kryptografian ja lohkoketjuteknologian risteyskohtaa yhden alan johtavan asiantuntijan silmin.

Moni yrittäjä vetää alalleen tietty hetki tai tapahtuma. Mihin matkasi oli Web3?

Olen kotoisin akateemisesta taustasta. Olen matemaatikko, joka tutki lukuteoriaa keskittyen äärellisten kenttien ylittäviin käyriin, elliptisiin käyriin ja niiden sovelluksiin koodausteoriassa ja kryptografiassa. Näitä työkaluja käytetään paljon, varsinkin nyt, kun nollatietoisella salauksella on suurempi vaikutus Web3 tilaa. 

Näin, että siellä tapahtui paljon mielenkiintoista. Sitten aloin työskennellä Veridisellä, jossa he tekevät tietoturva-auditointeja ja ovat erikoistuneet erityisesti ZK-alueeseen, johon asiantuntemukseni sopii erittäin hyvin.

Miksi edes tarvitsemme tietoturvatarkastuksia? Voivatko kehittäjät toimia ilman niitä vai ovatko ne pakollisia?

Järjestelmien turvallisuus vaatii erilaista ajattelutapaa, joka on omaksuttava jo kehitysvaiheessa. Kaikki kehittäjät eivät voi keskittyä kaikkiin kehitysprosessin osa-alueisiin samanaikaisesti – varmistamaan oikeat tekniset tiedot, käyttäytyminen, tehokkuus, integrointi laajempaan kokoonpanoon ja tietoturva. Useimmiten turvallisuus on näkökohta, jota ei käsitellä hyvin koko kehitysprosessin ajan.

Kehittäjän on tullut lähes mahdottomaksi olla riittävän varma useiden monimutkaisten työkalujen kanssa varmistaakseen, että niitä käytetään oikein ja ettei niissä ole haavoittuvuuksia. Se on vain erilainen ajattelutapa, jota on sovellettava. Siksi auditoinnit ovat hyödyllisiä.

Voitko kertoa tarkemmin Veridisen kehittämistä sisäisistä työkaluista ja kuinka ne parantavat tarkastuksen laatua?

On olemassa laaja kirjo työkaluja, joita voidaan käyttää. Jotkut ovat primitiivisempiä, mutta eivät vaadi liikaa taustaa ja ovat helposti saatavilla, kuten fuzzerit. Jotkut ovat keskellä, kuten staattiset analyysityökalut. Ne ovat melko nopeita, mutta eivät liian tarkkoja – ne voivat antaa vääriä positiivisia tuloksia. 

Sitten on työkaluja, jotka tukevat voimakkaasti matematiikkaa, jotka perustuvat SMT-ratkaisijoihin ja muuhun matemaattiseen taustaan. Nämä ovat erittäin tarkkoja, mutta laskennallisesti raskaita. Käytämme kaikkien näiden työkalujen yhdistelmää, jokaisella on hyvät ja huonot puolensa, löytääksemme vikoja ja haavoittuvuuksia.

Mitä ainutlaatuisia turvallisuusnäkökohtia Veridise käsittelee? DeFi protokollat?

varten DeFi protokollia, meillä on staattinen analyysityökalu, jossa kerrot järjestelmälle etukäteen, millaisia ​​haavoittuvuuksia etsiä tai mihin rakenteisiin pyrkiä. Niitä on paljon. Esimerkiksi DAO:n vuoden 2016 hakkeroinnista johtuivat paluuhyökkäykset. Flash-lainahyökkäyksiä käytettiin hyväksi Cream Financeen kohdistuneessa hyökkäyksessä, joka aiheutti noin 130 miljoonan dollarin varastamisen. 

Vuosien auditointikokemuksemme ansiosta meillä on hyvä yleiskuva haavoittuvuuksista, ja työkalumme on tehty tarkistamaan nämä kaikki. Tarkastuksissamme tarkastelemme niitä yksitellen yksityiskohtaisesti nähdäksemme, esiintyykö tällaisia ​​riskejä.

Kerro lisää siitä, kuinka käytät ZK-tekniikkaa ja miksi ZK-tarkastukset ovat tärkein prioriteettisi?

ZK on erityisen mielenkiintoinen muodollisen todentamisen näkökulmasta, koska se muuttuu erittäin hyvin työkalujen käyttöön. Meillä on työkaluja, jotka on tarkoitettu erityisesti ZK-sovellusten tarkistamiseen. Koska se sopii hyvin menetelmiimme, olemme keskittyneet siihen paljon. 

Olemme tunnistaneet kriittisiä haavoittuvuuksia ydinpiirikirjastoista. Tiimimme on tällä alalla erittäin vahva, joten päätimme olla hyvin läsnä ja rajalla ZK auditointi. Suurin osa tutkimuksestamme on myös motivoitunut tarpeisiin ja vaatimuksiin tarkastajan näkökulmasta ZK-alueella.

Miten asiantuntemuksesi ZK-piireistä erottuu muista yrityksistä?

Sanoisin, että työkalumme erottavat meidät paljon, koska meillä on muodollinen todentamistausta. Meillä on erittäin vahvat työkalut, ja tähän mennessä projektien laajuus on kasvanut niin suureksi, että pelkkä ihmisen ponnistus ei todellakaan riitä koodikannan hyvään kattamiseen. Se on välttämätöntä, mutta se ei yksinään riitä. 

Miten Veridise tasapainottaa manuaalista koodia automaattisella työkaluanalyysillä auditointiprosessissaan?

Molemmille on tarvetta. Huomaamme sen myös auditoinneissa. Suurimman osan ajasta, kun teemme erittäin tiukkaa inhimillistä auditointia ja käytämme työkaluja sen jälkeen koodikannassa, löydämme haavoittuvuuksia, jotka ovat jääneet huomioimatta. Joskus suoritamme työkalut ensin, mutta työkalut voivat havaita vain tietynlaisia ​​rakenteita. 

Koska näissä järjestelmissä on niin monia monimutkaisia ​​ja abstraktioita kerroksia, pelkkä työkaluihin luottaminen ei myöskään riitä. Minusta tuntuu, että et tule toimeen ilman kumpaakaan, enkä usko, että se muuttuu tulevaisuudessa.

Mitkä ovat Veridisen Vanguard-työkalun tärkeimmät ominaisuudet ja miten se parantaa älykkäiden sopimusten turvallisuutta?

Vanguard on yksi tärkeimmistä työkaluistamme. Sitä käytetään staattiseen analyysiin. Staattisessa analyysissä annat tietyn määrityksen aiotulle toiminnalle ja tarkistat sitten, toteutuuko se – ovatko tietyt ominaisuudet voimassa ilman koodin suorittamista. Se ei ole dynaaminen; et suorita koodia, mutta yrität staattisesti arvioida, onko olemassa tiettyjä malleja, jotka voivat aiheuttaa haavoittuvuuksia. 

Vanguardilla on monia makuja. Meillä on siitä osia, jotka ovat varsin hyviä älykkäiden sopimusten turvallisuuden parantamiseen, ja osia, jotka keskittyvät zk-sovelluksiin. 

Voitko kertoa lisää haavoittuvuuksista, joita olet kohdannut älykkäissä sopimuksissa ja ZK-piireissä?

ZK-piireissä, joiden parissa työskentelen enemmän, yksi yleisimmistä haavoittuvuuksista olisi alirajoitetut piirit. ZK-sovelluksessa koodikantasi koostuu kahdesta osasta: itse ohjelmasta (normaali suoritus) ja rajoituksista. Edellytät, että rajoitukset kuvastavat ohjelman suorittamisen käyttäytymistä yksitellen. 

Mukaan viime paperi, noin 95 % kaikista ZK-piirien haavoittuvuuksista johtuu alirajoitteisista piireistä. Meillä on työkaluja, kuten PICUS, joka on erityisesti tarkoitettu havaitsemaan alirajoitetut piirit.

Miten Veridise lähestyy tarkastusten aikana havaittujen haavoittuvuuksien paljastamisprosessia?

Emme tietenkään julkista haavoittuvuuksia missään vaiheessa, koska joku muu saattaa hyödyntää vikaa ennen kuin se on korjattu, varsinkin jos koodikanta on jo käytössä. Tarkastusprosessin lopussa toimitamme tarkastusraportin, jossa annamme asiakkaalle luettelon kaikista löytämistämme vioista ja haavoittuvuuksista. 

Annamme asiakkaalle jonkin aikaa korjata ne, ja sitten hän lähettää meille korjauksensa, jonka tarkistamme tarkistaaksemme, vastaavatko ne todella kaikki esiin ottamamme ongelmat. Kokosimme kaiken loppuraportiksi. Raportti on asiakkaan omaisuutta. Emme julkaise sitä, ellei asiakas suostu siihen.

Jos siirryt Veridisen verkkosivulle, näet luettelon kaikista tarkastusraporteista, jotka asiakkaat ovat suostuneet julkistamaan. Useimmissa tapauksissa he hyväksyvät sen, että julkaisemme sen. Itse asiassa he haluavat sen varmenteena siitä, että koodi on tarkastettu ja että se on niin vapaa vioista kuin se voi olla tarkastuksen jälkeen. 

Kuinka Veridise mukauttaa auditointiprosessinsa eri lohkoketjualustoille ja -kielille?

Kuten tiedätte, kenttä on erittäin elinvoimainen, ja joka päivä tulee uusia ketjuja, uusia kieliä ja uusia tapoja ilmaista ZK-piirejä. Näemme tämän myös tulevissa projekteissa ja auditointipyynnöissä, jotka perustuvat eri ympäristöihin tai kieliin. Kuljemme virran mukana, katsomme, mistä pyynnöt tulevat, ja tunnemme, mihin suuntaan ala kehittyy lähitulevaisuudessa. 

Yritämme mukauttaa työkalumme vastaamaan yhteisön tarpeisiin. Tämä jatkuu myös tulevaisuudessa, jolloin muutamme asioita dynaamisesti alan kehittymisen mukaan.

Voitko kertoa tarkemmin työkaluista, joita aiot ottaa käyttöön tulevaisuudessa? 

Yksi suunta, johon työkalut muuttuvat lähitulevaisuudessa, on se, että tarjoamme turvallisuutta palveluna. Sitä kutsutaan SaaS-alustaksi, jossa tarjoamme työkalut ihmisten käyttöön kehitysprosessin aikana. 

Sen sijaan, että ensin lopettaisimme koko projektin ja teemme sitten auditoinnin, teemme työkaluistamme hyödyllisiä asennuksessa, jossa kehittäjät voivat käyttää niitä kehitystyön aikana varmistaakseen, että heidän kehittämänsä koodi on turvallinen eikä sisällä haavoittuvuuksia. SaaS:n pitäisi olla saatavilla lähitulevaisuudessa.

Vastuun kieltäminen

Mukaisesti Luottamusprojektin ohjeetHuomaa, että tällä sivulla annettuja tietoja ei ole tarkoitettu eikä niitä tule tulkita oikeudellisiksi, verotukselliseksi, sijoitus-, rahoitus- tai minkään muun muodon neuvoiksi. On tärkeää sijoittaa vain sen verran, mitä sinulla on varaa menettää, ja pyytää riippumatonta talousneuvontaa, jos sinulla on epäilyksiä. Lisätietoja saat käyttöehdoista sekä myöntäjän tai mainostajan tarjoamista ohje- ja tukisivuista. MetaversePost on sitoutunut tarkkaan, puolueettomaan raportointiin, mutta markkinaolosuhteet voivat muuttua ilman erillistä ilmoitusta.

Author

Victoria on kirjailija useista teknologia-aiheista, mukaan lukien Web3.0, tekoäly ja kryptovaluutat. Hänen laajan kokemuksensa ansiosta hän voi kirjoittaa oivaltavia artikkeleita laajemmalle yleisölle.

lisää artikkeleita
Victoria d'Este
Victoria d'Este

Victoria on kirjailija useista teknologia-aiheista, mukaan lukien Web3.0, tekoäly ja kryptovaluutat. Hänen laajan kokemuksensa ansiosta hän voi kirjoittaa oivaltavia artikkeleita laajemmalle yleisölle.

Hot Stories
Liity uutiskirjeemme jäseneksi.
Uusimmat uutiset

Ripplesta The Big Green DAO:hon: Kuinka kryptovaluuttaprojektit edistävät hyväntekeväisyyttä

Tutkitaan aloitteita, joilla hyödynnetään digitaalisten valuuttojen potentiaalia hyväntekeväisyyteen.

Tiedä enemmän

AlphaFold 3, Med-Gemini ja muut: The Way AI Transforms Healthcare vuonna 2024

Tekoäly ilmenee monin eri tavoin terveydenhuollossa, uusien geneettisten korrelaatioiden paljastamisesta robottikirurgisten järjestelmien voimaannuttamiseen...

Tiedä enemmän
Lue lisää
Lue lisää
Aleph Zero käynnistää NEON-ohjelman helpottaakseen yritysten pääsyä siihen Web3
Bisnes Uutisraportti Elektroniikka
Aleph Zero käynnistää NEON-ohjelman helpottaakseen yritysten pääsyä siihen Web3
Syyskuu 10, 2024
Kangas tekee yhteistyötä Polygon Labsin kanssa ottaakseen käyttöön todennettavia prosessointiyksiköitä nollateknologiaa varten
Uutisraportti Elektroniikka
Kangas tekee yhteistyötä Polygon Labsin kanssa ottaakseen käyttöön todennettavia prosessointiyksiköitä nollateknologiaa varten
Syyskuu 10, 2024
Gate Group laajentaa toimintaansa Euroopassa Gate.MT:llä, joka on asetettu johtoon MiCA-säännösten mukaisesti vuonna 2025
markkinat Uutisraportti Elektroniikka
Gate Group laajentaa toimintaansa Euroopassa Gate.MT:llä, joka on asetettu johtoon MiCA-säännösten mukaisesti vuonna 2025
Syyskuu 10, 2024
Paxos laajenee Arbitrumiin ja aikoo tuoda tunnuksensa verkostoon
Uutisraportti Elektroniikka
Paxos laajenee Arbitrumiin ja aikoo tuoda tunnuksensa verkostoon
Syyskuu 10, 2024