Intervju posao tržišta softver Tehnologija
Srpanj 19, 2024

Krekiranje koda DeFi Ranjivosti: Duboko poniranje Alpa Basse u sigurnost pametnih ugovora

Ukratko

Alp Bassa, znanstvenik-istraživač u Veridiseu, raspravlja o inovativnim alatima, revizijama s nultim znanjem i budućnosti sigurnosti blockchaina.

Krekiranje koda DeFi Ranjivosti: Duboko poniranje Alpa Basse u sigurnost pametnih ugovora

U ovom ekskluzivnom intervjuu, snimljenom tijekom konferencije Hack Seasons,  Alp Bassa, znanstveni znanstvenik na Veridise, dijeli uvide u Veridiseove inovativne alate, zamršenosti revizija bez znanja i budućnost sigurnosti blockchaina. Tijekom rasprave istražit ćemo sjecište matematike, kriptografije i blockchain tehnologije kroz oči jednog od vodećih stručnjaka u industriji.

Mnoge poduzetnike u njihovo područje privuče određeni trenutak ili događaj. Do čega ste putovali Web3?

Dolazim iz akademske pozadine. Ja sam matematičar koji je istraživao teoriju brojeva, fokusirajući se na krivulje preko konačnih polja, eliptične krivulje i njihove primjene u teoriji kodiranja i kriptografiji. Ovi se alati uvelike koriste, osobito sada kada kriptografija bez znanja ima veći utjecaj na Web3 prostor. 

Vidio sam da se tamo događa puno zanimljivih stvari. Zatim sam počeo raditi u Veridiseu, gdje rade sigurnosne revizije i specijalizirali su se posebno za ZK domenu, gdje se moja stručnost jako lijepo uklapa.

Zašto nam uopće trebaju sigurnosne revizije? Mogu li programeri raditi bez njih ili su obavezni?

Sigurnost sustava zahtijeva drugačiji način razmišljanja koji morate zauzeti već u fazi razvoja. Ne mogu se svi programeri usredotočiti na sve aspekte razvojnog procesa istovremeno – osiguravanje pravih specifikacija, ponašanja, učinkovitosti, integracije u veće postavke i sigurnosti. Većinu vremena, sigurnost je aspekt koji nije dobro pokriven tijekom procesa razvoja.

Programeru je postalo gotovo nemoguće biti dovoljno samopouzdan s raznim složenim alatima kako bi jamčio da se koriste ispravno i da nema ranjivosti. To je samo drugačiji način razmišljanja koji treba primijeniti. Zato su revizije korisne.

Možete li elaborirati interne alate koje je Veridise razvio i kako oni poboljšavaju kvalitetu revizije?

Postoji širok spektar alata koji se mogu koristiti. Neki su primitivniji, ali ne zahtijevaju previše pozadine i lako su dostupni, poput fuzzera. Neki su u sredini, poput alata za statičku analizu. Prilično su brzi, ali ne previše precizni – mogu dati neke lažne rezultate. 

Zatim postoje alati koji su u velikoj mjeri podržani matematikom, temeljeni na SMT rješavačima i drugoj matematičkoj pozadini. Oni su vrlo precizni, ali računalno teški. Koristimo kombinaciju svih ovih alata, svaki sa svojim prednostima i nedostacima, za otkrivanje grešaka i ranjivosti.

Koja su neka od jedinstvenih sigurnosnih pitanja kojima se Veridise bavi DeFi protokoli?

Za DeFi protokola, imamo alat za statičku analizu gdje sustavu unaprijed govorite koju vrstu ranjivosti treba tražiti ili na koje strukture ciljati. Ima ih mnogo. Na primjer, napadi ponovnog ulaska bili su odgovorni za hakiranje DAO-a 2016. Napadi na flash zajmove iskorišteni su u napadu na Cream Finance, što je uzrokovalo krađu oko 130 milijuna dolara. 

Kroz naše iskustvo tijekom godina revizije, imamo dobar pregled o tome koje su ranjivosti, a naši alati su napravljeni za provjeru svih njih. Tijekom naših revizija, detaljno ih pregledavamo jednu po jednu kako bismo vidjeli pojavljuju li se takvi rizici.

Opišite više o tome kako koristite ZK tehnologiju i zašto su ZK revizije vaš glavni prioritet?

ZK je posebno zanimljiv iz perspektive formalne provjere jer se vrlo dobro prevodi u korištenje alata. Imamo alate koji su posebno usmjereni na provjeru ZK prijava. Budući da je toliko prikladan za naše metode, to je područje na koje smo se dosta usredotočili. 

Identificirali smo kritične ranjivosti u bibliotekama osnovnih sklopova. Naš tim je vrlo jak na tom polju, pa smo odlučili biti vrlo prisutni i na samoj granici ZK revizija. Većina naših istraživanja također je motivirana potrebama i zahtjevima iz revizorove perspektive ZK domene.

Po čemu se vaša stručnost u ZK sklopovima razlikuje od drugih tvrtki?

Rekao bih da su naši alati ono po čemu se mnogo razlikujemo jer dolazimo iz službene pozadine verifikacije. Imamo vrlo snažne alate, a do sada je obujam projekata postao toliko velik da sam ljudski napor zapravo nije dovoljan za dobru pokrivenost baze koda. Neophodno je, ali samo po sebi nije dovoljno. 

Kako Veridise uravnotežuje ručni pregled koda s automatiziranom analizom alata u svom procesu revizije?

Postoji potreba za jednima i drugima. Primjećujemo to iu revizijama. Većinu vremena, kada provodimo vrlo rigoroznu ljudsku reviziju i zatim pokrećemo alate nakon toga na bazi koda, nalazimo neke ranjivosti koje su izmakle našoj pozornosti. Ponekad prvo pokrenemo alate, ali alati mogu otkriti samo određene vrste struktura. 

Budući da postoji toliko mnogo slojeva komplikacije i apstrakcije u ovim sustavima, samo oslanjanje na alate također nije dovoljno. Osjećam da ne možete bez nijednog od njih i mislim da se to neće promijeniti u budućnosti.

Koje su ključne značajke Veridiseovog alata Vanguard i kako on poboljšava sigurnost pametnih ugovora?

Vanguard je jedan od naših glavnih alata. Koristi se za statičku analizu. U statičkoj analizi pružate određenu specifikaciju namjeravanog ponašanja i zatim provjeravate je li to zadovoljeno – zadržavaju li se određena svojstva bez pokretanja koda. Nije dinamičan; ne izvršavate kod, već statički pokušavate procijeniti postoje li određeni obrasci koji bi mogli uzrokovati ranjivosti. 

Vanguard dolazi u mnogim okusima. Imamo dijelove koji su prilično dobri za poboljšanu sigurnost pametnih ugovora i dijelove koji se fokusiraju na zk aplikacije. 

Možete li elaborirati više o ranjivostima na koje ste naišli u pametnim ugovorima i ZK sklopovima?

U ZK sklopovima, na kojima više radim, jedna od ranjivosti koja se najčešće susreće bila bi nedovoljno ograničena kola. U ZK aplikaciji, vaša baza koda sastoji se od dva dijela: samog programa (normalno izvođenje) i ograničenja. Zahtijevate da ograničenja odražavaju ponašanje izvršavanja programa na način jedan na jedan. 

Prema novine, oko 95% svih ranjivosti u ZK sklopovima uzrokovano je nedovoljno ograničenim sklopovima. Imamo alate, kao što je PICUS, koji je posebno usmjeren na otkrivanje tih nedovoljno ograničenih krugova.

Kako Veridise pristupa procesu otkrivanja ranjivosti otkrivenih tijekom revizija?

Naravno, ni u jednom trenutku ne objavljujemo ranjivosti jer bi netko drugi mogao iskoristiti grešku prije nego što se popravi, osobito ako se baza koda već koristi. Na kraju postupka revizije isporučujemo izvješće o reviziji u kojem klijentu dajemo popis svih grešaka i ranjivosti koje smo otkrili. 

Kupcu dajemo malo vremena da to popravi, a zatim nam šalje svoje popravke koje pregledavamo kako bismo provjerili rješavaju li doista sve probleme koje smo postavili. Sve smo to spojili u konačno izvješće. Izvješće je vlasništvo kupca. Ne objavljujemo ih osim ako se kupac ne slaže.

Ako odete na web stranicu Veridise, možete vidjeti popis svih revizijskih izvješća koja su korisnici pristali objaviti. U većini slučajeva, slažu se s tim da to objavimo. Zapravo, žele to kao potvrdu da je kod revidiran i da nema grešaka onoliko koliko može biti nakon revizije. 

Kako Veridise prilagođava svoje procese revizije za različite blockchain platforme i jezike?

Kao što znate, polje je vrlo živahno i svaki dan postoje novi lanci, novi jezici i novi načini izražavanja ZK sklopova. Vidimo to i s pristiglim projektima i zahtjevima za revizije koji se temelje na različitim okruženjima ili jezicima. Pustimo tok, vidimo odakle dolaze zahtjevi i imamo osjećaj u kojem će se smjeru to područje razvijati u bliskoj budućnosti. 

Pokušavamo prilagoditi svoje alate kako bi zadovoljili potrebe zajednice. To će se nastaviti iu budućnosti, gdje ćemo dinamički mijenjati stvari u skladu s razvojem polja.

Možete li elaborirati više o alatima koje planirate implementirati u budućnosti? 

Jedan smjer u kojem će se alati promijeniti u bliskoj budućnosti je da ćemo ponuditi sigurnost kao uslugu. Zove se naša SaaS platforma, gdje ćemo alate učiniti dostupnima ljudima za korištenje tijekom procesa razvoja. 

Umjesto da prvo završimo cijeli projekt i potom napravimo reviziju, naše ćemo alate učiniti korisnima u postavkama u kojima ih programeri mogu koristiti tijekom razvoja kako bi osigurali da je kod koji razvijaju siguran i da ne sadrži nikakve ranjivosti. SaaS bi trebao biti dostupan u bliskoj budućnosti.

Izjava o odricanju od odgovornosti

U skladu s Smjernice projekta povjerenja, imajte na umu da informacije navedene na ovoj stranici nemaju namjeru i ne smiju se tumačiti kao pravni, porezni, investicijski, financijski ili bilo koji drugi oblik savjeta. Važno je ulagati samo ono što si možete priuštiti izgubiti i potražiti neovisni financijski savjet ako imate bilo kakvih nedoumica. Za dodatne informacije predlažemo da pogledate odredbe i uvjete, kao i stranice za pomoć i podršku koje pruža izdavatelj ili oglašivač. MetaversePost je predan točnom, nepristranom izvješćivanju, ali tržišni uvjeti podložni su promjenama bez prethodne najave.

O autoru

Victoria je spisateljica o raznim tehnološkim temama, uključujući Web3.0, AI i kriptovalute. Njezino veliko iskustvo omogućuje joj pisanje pronicljivih članaka za širu publiku.

Više članaka
Viktorija d'Este
Viktorija d'Este

Victoria je spisateljica o raznim tehnološkim temama, uključujući Web3.0, AI i kriptovalute. Njezino veliko iskustvo omogućuje joj pisanje pronicljivih članaka za širu publiku.

Hot Stories
Pridružite se našem biltenu.
Najnovije vijesti

Od Ripplea do Big Green DAO-a: Kako projekti kriptovaluta pridonose dobrotvornim aktivnostima

Istražimo inicijative koje iskorištavaju potencijal digitalnih valuta u dobrotvorne svrhe.

Znati više

AlphaFold 3, Med-Gemini i drugi: način na koji umjetna inteligencija transformira zdravstvo 2024.

AI se manifestira na različite načine u zdravstvu, od otkrivanja novih genetskih korelacija do osnaživanja robotskih kirurških sustava...

Znati više
opširnije
Čitaj više
Aleph Zero pokreće NEON program za olakšavanje ulaska poduzeća u Web3
posao Vijesti Tehnologija
Aleph Zero pokreće NEON program za olakšavanje ulaska poduzeća u Web3
Rujna 10, 2024
Fabric se udružuje s Polygon Labs kako bi uveo provjerljive procesorske jedinice za tehnologiju bez znanja
Vijesti Tehnologija
Fabric se udružuje s Polygon Labs kako bi uveo provjerljive procesorske jedinice za tehnologiju bez znanja
Rujna 10, 2024
Grupa Gate proširuje europske operacije s tvrtkom Gate.MT, koja će 2025. godine biti vodeći prema propisima MiCA
tržišta Vijesti Tehnologija
Grupa Gate proširuje europske operacije s tvrtkom Gate.MT, koja će 2025. godine biti vodeći prema propisima MiCA
Rujna 10, 2024
Paxos se širi na Arbitrum, planira donijeti svoju platformu za tokenizaciju na mrežu
Vijesti Tehnologija
Paxos se širi na Arbitrum, planira donijeti svoju platformu za tokenizaciju na mrežu
Rujna 10, 2024
CRYPTOMERIA LABS PTE. LTD.