Interview La Brochure Marchés Logiciels Technologie
19 juillet 2024

Déchiffrer le code de DeFi Vulnérabilités : analyse approfondie d'Alp Bassa dans la sécurité des contrats intelligents

En bref

Alp Bassa, chercheur scientifique chez Veridise, discute des outils innovants, des audits sans connaissance et de l'avenir de la sécurité de la blockchain.

Déchiffrer le code de DeFi Vulnérabilités : analyse approfondie d'Alp Bassa dans la sécurité des contrats intelligents

Dans cette interview exclusive, réalisée lors de la conférence Hack Seasons,  Alpes Bassa, chercheur scientifique à Vérifier, partage un aperçu des outils innovants de Veridise, des subtilités des audits de preuve sans connaissance et de l'avenir de la sécurité de la blockchain. Au cours de la discussion, nous explorerons l'intersection des mathématiques, de la cryptographie et de la technologie blockchain à travers les yeux de l'un des plus grands experts du secteur.

De nombreux entrepreneurs sont attirés vers leur domaine par un moment ou un événement précis. Quel a été votre voyage vers Web3?

Je viens d'un milieu universitaire. Je suis un mathématicien qui faisait des recherches en théorie des nombres, en se concentrant sur les courbes sur des champs finis, les courbes elliptiques et leurs applications en théorie du codage et en cryptographie. Ces outils sont largement utilisés, surtout maintenant que la cryptographie sans connaissance a une plus grande influence dans le monde. Web3 espace. 

J'ai vu qu'il s'y passait beaucoup de choses intéressantes. Ensuite, j'ai commencé à travailler chez Veridise, où ils réalisent des audits de sécurité et se spécialisent particulièrement dans le domaine ZK, où mon expertise s'intègre très bien.

Pourquoi avons-nous même besoin d’audits de sécurité ? Les développeurs peuvent-ils fonctionner sans eux, ou sont-ils obligatoires ?

La sécurité des systèmes nécessite un état d’esprit différent qu’il faut adopter dès la phase de développement. Tous les développeurs ne peuvent pas se concentrer simultanément sur tous les aspects du processus de développement – ​​garantir les bonnes spécifications, le bon comportement, l'efficacité, l'intégration dans une configuration plus large et la sécurité. La plupart du temps, la sécurité est un aspect qui n’est pas bien couvert tout au long du processus de développement.

Il est devenu presque impossible pour un développeur d’être suffisamment à l’aise avec divers outils complexes pour garantir qu’ils sont utilisés correctement et qu’il n’y a pas de vulnérabilités. C'est juste un état d'esprit différent qui doit être appliqué. C'est pourquoi les audits sont utiles.

Pouvez-vous nous parler des outils internes développés par Veridise et de la manière dont ils améliorent la qualité de l'audit ?

Il existe un large éventail d'outils qui peuvent être utilisés. Certains sont plus primitifs mais ne nécessitent pas trop de connaissances et sont facilement accessibles, comme les fuzzers. Certains se situent au milieu, comme les outils d’analyse statique. Ils sont assez rapides mais pas trop précis – ils peuvent donner des faux positifs. 

Il existe ensuite des outils fortement appuyés par les mathématiques, basés sur des solveurs SMT et d’autres connaissances mathématiques. Ceux-ci sont très précis mais lourds en calcul. Nous utilisons une combinaison de tous ces outils, chacun avec leurs avantages et leurs inconvénients, pour détecter les bugs et les vulnérabilités.

Quelles sont certaines des considérations de sécurité uniques auxquelles Veridise répond pour DeFi protocoles ?

Pour DeFi protocoles, nous disposons d'un outil d'analyse statique dans lequel vous indiquez au système au préalable quel type de vulnérabilités rechercher ou quelles structures viser. Il y a beaucoup d'entre eux. Par exemple, les attaques de réentrée ont été responsables du piratage de DAO en 2016. Les attaques de prêts flash ont été exploitées dans l'attaque contre Cream Finance, qui a entraîné le vol d'environ 130 millions de dollars. 

Grâce à notre expérience au fil des années d’audit, nous avons une bonne vue d’ensemble des vulnérabilités, et nos outils sont conçus pour vérifier toutes ces vulnérabilités. Lors de nos audits, nous les examinons un à un en détail pour voir si de tels risques apparaissent.

Veuillez expliquer davantage comment vous utilisez la technologie ZK et pourquoi les audits ZK sont votre principale priorité ?

ZK est particulièrement intéressant du point de vue de la vérification formelle car il se traduit très bien dans l’utilisation d’outils. Nous disposons d'outils particulièrement destinés à vérifier les applications ZK. Parce qu'il convient parfaitement à nos méthodes, c'est le domaine sur lequel nous nous sommes beaucoup concentrés. 

Nous avons identifié des vulnérabilités critiques dans les bibliothèques de circuits principales. Notre équipe est très forte dans ce domaine, nous avons donc décidé d'être très présents et à la frontière du Audit ZK. La plupart de nos recherches sont également motivées par les besoins et les exigences du point de vue d'un auditeur dans le domaine ZK.

En quoi votre expertise dans les circuits ZK se différencie-t-elle des autres entreprises ?

Je dirais que nos outils nous différencient beaucoup car nous sommes issus d'un milieu de vérification formelle. Nous disposons d'outils très puissants et, à l'heure actuelle, l'étendue des projets est devenue si vaste que l'effort humain à lui seul n'est pas vraiment suffisant pour avoir une bonne couverture de la base de code. C’est nécessaire, mais ce n’est pas suffisant en soi. 

Comment Veridise équilibre-t-il la révision manuelle du code avec l'analyse automatisée des outils dans son processus d'audit ?

Il y a un besoin pour les deux. Nous le constatons également dans les audits. La plupart du temps, lorsque nous effectuons un audit humain très rigoureux et que nous exécutons ensuite les outils sur la base de code, nous découvrons des vulnérabilités qui ont échappé à notre attention. Parfois, nous exécutons les outils en premier, mais ceux-ci ne peuvent détecter que certains types de structures. 

Étant donné qu’il existe de nombreux niveaux de complexité et d’abstraction dans ces systèmes, il ne suffit pas non plus de se fier aux outils. J'ai l'impression que vous ne pouvez pas vous passer de l'un ou l'autre, et je ne pense pas que cela changera à l'avenir.

Quelles sont les principales fonctionnalités de l'outil Vanguard de Veridise et comment améliore-t-il la sécurité des contrats intelligents ?

Vanguard est l'un de nos principaux outils. Il est utilisé pour l'analyse statique. Dans l'analyse statique, vous fournissez une certaine spécification du comportement prévu, puis vérifiez si cela est satisfait – si certaines propriétés sont valables sans exécuter le code. Ce n'est pas dynamique; vous n'exécutez pas le code, mais vous essayez d'évaluer statiquement s'il existe certains modèles susceptibles de provoquer des vulnérabilités. 

Vanguard est disponible en plusieurs saveurs. Nous en avons des parties qui sont assez efficaces pour améliorer la sécurité des contrats intelligents, et des parties axées sur les applications zk. 

Pouvez-vous en dire plus sur les vulnérabilités que vous avez rencontrées dans les contrats intelligents et les circuits ZK ?

Dans les circuits ZK, sur lesquels je travaille davantage, l'une des vulnérabilités les plus fréquemment rencontrées serait les circuits sous-contraints. Dans une application ZK, votre base de code se compose de deux parties : le programme lui-même (l'exécution normale) et les contraintes. Vous exigez que les contraintes reflètent le comportement de l'exécution du programme de manière individuelle. 

D’après une étude récente, environ 95 % de toutes les vulnérabilités des circuits ZK sont causées par des circuits sous-contraints. Nous disposons d'outils, comme PICUS, qui sont particulièrement destinés à détecter ces circuits sous-contraints.

Comment Veridise aborde-t-elle le processus de divulgation des vulnérabilités découvertes lors des audits ?

Bien entendu, nous ne rendons publiques les vulnérabilités à aucun moment, car quelqu'un d'autre pourrait exploiter le bogue avant qu'il ne soit corrigé, surtout si la base de code est déjà utilisée. À la fin du processus d'audit, nous remettons un rapport d'audit dans lequel nous fournissons au client une liste de tous les bugs et vulnérabilités que nous avons découverts. 

Nous donnons au client le temps de les corriger, puis il nous envoie ses correctifs, que nous examinons pour vérifier s'ils répondent réellement à tous les problèmes que nous avons soulevés. Nous avons tout rassemblé dans un rapport final. Le rapport est la propriété du client. Nous ne le rendons pas public sauf accord du client.

Si vous accédez à la page Web de Veridise, vous pouvez voir une liste de tous les rapports d'audit que les clients ont accepté de rendre publics. Dans la plupart des cas, ils acceptent que nous le rendions public. En fait, ils le veulent comme un certificat que le code a été audité et qu'il est aussi exempt de bogues que possible après un audit. 

Comment Veridise adapte-t-elle ses processus d'audit aux différentes plateformes et langages blockchain ?

Comme vous le savez, le domaine est très dynamique et chaque jour apparaissent de nouvelles chaînes, de nouveaux langages et de nouvelles façons d'exprimer les circuits ZK. Nous le constatons également avec les projets entrants et les demandes d’audit basées sur différents environnements ou langages. Nous suivons le courant, voyons d'où viennent les demandes et avons une idée de la direction dans laquelle le domaine évoluera dans un avenir proche. 

Nous essayons d'adapter nos outils pour répondre aux besoins de la communauté. Cela continuera dans le futur, où nous changerons les choses de manière dynamique en fonction de l'évolution du domaine.

Pouvez-vous nous en dire plus sur les outils que vous envisagez de mettre en œuvre à l'avenir ? 

L’une des directions dans lesquelles les outils évolueront dans un avenir proche est que nous proposerons la sécurité en tant que service. C'est ce qu'on appelle notre plate-forme SaaS, où nous mettrons les outils à la disposition des utilisateurs pendant le processus de développement. 

Plutôt que de terminer d'abord l'intégralité du projet puis de procéder à un audit, nous rendrons nos outils utiles dans une configuration où les développeurs pourront les utiliser pendant le développement pour garantir que le code qu'ils développent est sécurisé et ne contient aucune vulnérabilité. Le SaaS devrait être disponible dans un avenir proche.

Clause de Non-responsabilité

En ligne avec la Lignes directrices du projet de confiance, veuillez noter que les informations fournies sur cette page ne sont pas destinées à être et ne doivent pas être interprétées comme des conseils juridiques, fiscaux, d'investissement, financiers ou toute autre forme de conseil. Il est important d’investir uniquement ce que vous pouvez vous permettre de perdre et de demander des conseils financiers indépendants en cas de doute. Pour plus d'informations, nous vous suggérons de vous référer aux conditions générales ainsi qu'aux pages d'aide et de support mises à disposition par l'émetteur ou l'annonceur. MetaversePost s'engage à fournir des rapports précis et impartiaux, mais les conditions du marché sont susceptibles de changer sans préavis.

A propos de l'auteur

Victoria est une écrivaine sur une variété de sujets technologiques, notamment Web3.0, IA et crypto-monnaies. Sa vaste expérience lui permet d’écrire des articles perspicaces destinés à un public plus large.

Plus d'articles
Victoria d'Este
Victoria d'Este

Victoria est une écrivaine sur une variété de sujets technologiques, notamment Web3.0, IA et crypto-monnaies. Sa vaste expérience lui permet d’écrire des articles perspicaces destinés à un public plus large.

De Ripple au Big Green DAO : comment les projets de crypto-monnaie contribuent à la charité

Explorons les initiatives exploitant le potentiel des monnaies numériques pour des causes caritatives.

Savoir Plus

AlphaFold 3, Med-Gemini et autres : la façon dont l'IA transforme les soins de santé en 2024

L'IA se manifeste de diverses manières dans le domaine des soins de santé, de la découverte de nouvelles corrélations génétiques à l'autonomisation des systèmes chirurgicaux robotisés...

Savoir Plus
En savoir plus
Plus d'informations
Eclipse présente tETH pour un gain simplifié des récompenses de re-staking
Rapport de nouvelles Technologie
Eclipse présente tETH pour un gain simplifié des récompenses de re-staking
9 septembre 2024
Le chatbot COTI AI est mis en service et offre une assistance instantanée aux développeurs
Rapport de nouvelles Technologie
Le chatbot COTI AI est mis en service et offre une assistance instantanée aux développeurs
9 septembre 2024
QCP Capital constate un sentiment haussier à long terme dans un contexte de stabilisation du marché des crypto-monnaies et de volatilité anticipée
Marchés Rapport de nouvelles Technologie
QCP Capital constate un sentiment haussier à long terme dans un contexte de stabilisation du marché des crypto-monnaies et de volatilité anticipée
9 septembre 2024
Orbitt MM va alimenter les augmentations de volume sur Pump.Fun pour les projets basés sur Solana
Rapport de nouvelles Technologie
Orbitt MM va alimenter les augmentations de volume sur Pump.Fun pour les projets basés sur Solana
9 septembre 2024
CRYPTOMERIA LABS PTE. LTD.