Memecahkan Kode DeFi Kerentanan: Alp Bassa Mendalami Keamanan Kontrak Cerdas
Singkatnya
Alp Bassa, Ilmuwan Riset di Veridise, membahas alat inovatif, audit tanpa bukti pengetahuan, dan masa depan keamanan blockchain.
Dalam wawancara eksklusif ini, yang diambil selama Konferensi Hack Seasons, Alpen Bassa, seorang Ilmuwan Riset di Verifikasi, berbagi wawasan tentang alat inovatif Veridise, seluk-beluk audit tanpa bukti pengetahuan, dan masa depan keamanan blockchain. Selama diskusi, kita akan mengeksplorasi titik temu antara matematika, kriptografi, dan teknologi blockchain melalui sudut pandang salah satu pakar industri terkemuka.
Banyak wirausahawan tertarik pada bidangnya karena momen atau peristiwa tertentu. Kemana perjalananmu? Web3?
Saya berasal dari latar belakang akademis. Saya seorang ahli matematika yang melakukan penelitian dalam teori bilangan, dengan fokus pada kurva pada bidang berhingga, kurva elips, dan penerapannya dalam teori pengkodean dan kriptografi. Alat-alat ini banyak digunakan, terutama sekarang dengan kriptografi tanpa pengetahuan yang memiliki pengaruh lebih besar dalam dunia kripto Web3 ruang.
Saya melihat banyak hal menarik terjadi di sana. Lalu saya mulai bekerja di Veridise, tempat mereka melakukan audit keamanan dan mengkhususkan diri khususnya pada domain ZK, yang mana keahlian saya sangat cocok.
Mengapa kita memerlukan audit keamanan? Bisakah pengembang beroperasi tanpanya, atau apakah itu wajib?
Keamanan sistem memerlukan pola pikir berbeda yang harus Anda ambil pada tahap pengembangan. Tidak semua pengembang dapat fokus pada semua aspek proses pengembangan secara bersamaan – memastikan spesifikasi, perilaku, efisiensi, integrasi ke dalam pengaturan yang lebih besar, dan keamanan yang tepat. Seringkali, keamanan merupakan aspek yang tidak tercakup dengan baik selama proses pembangunan.
Hampir mustahil bagi pengembang untuk cukup percaya diri dengan berbagai alat rumit untuk menjamin alat tersebut digunakan dengan benar dan tidak ada kerentanan. Hanya saja pola pikir berbeda yang perlu diterapkan. Itu sebabnya audit berguna.
Bisakah Anda menguraikan alat internal yang dikembangkan Veridise dan bagaimana alat tersebut meningkatkan kualitas audit?
Ada beragam alat yang dapat digunakan. Beberapa lebih primitif tetapi tidak memerlukan terlalu banyak latar belakang dan mudah diakses, seperti fuzzer. Ada pula yang berada di tengah, seperti alat analisis statis. Mereka cukup cepat namun tidak terlalu tepat – mereka dapat memberikan beberapa hasil positif palsu.
Lalu ada alat yang sangat didukung oleh matematika, berdasarkan pemecah SMT dan latar belakang matematika lainnya. Ini sangat tepat tetapi berat secara komputasi. Kami menggunakan kombinasi semua alat ini, masing-masing dengan kelebihan dan kekurangannya, untuk mendeteksi bug dan kerentanan.
Apa saja pertimbangan keamanan unik yang ditangani oleh Veridise DeFi protokol?
Untuk DeFi protokol, kami memiliki alat analisis statis di mana Anda memberi tahu sistem terlebih dahulu jenis kerentanan apa yang harus dicari atau struktur apa yang ingin dituju. Mereka ada banyak. Misalnya, serangan masuk kembali bertanggung jawab atas peretasan DAO pada tahun 2016. Serangan pinjaman kilat dieksploitasi dalam serangan terhadap Cream Finance, yang menyebabkan pencurian sekitar $130 juta.
Melalui pengalaman kami selama bertahun-tahun melakukan audit, kami memiliki gambaran yang baik tentang apa saja kerentanannya, dan alat kami dibuat untuk memeriksa semua kerentanan tersebut. Selama audit, kami memeriksanya satu per satu secara detail untuk melihat apakah risiko tersebut muncul.
Harap uraikan lebih lanjut tentang cara Anda menggunakan teknologi ZK dan mengapa audit ZK menjadi prioritas utama Anda?
ZK sangat menarik dari sudut pandang verifikasi formal karena dapat diterapkan dengan baik dalam penggunaan alat. Kami memiliki alat yang khusus ditujukan untuk memeriksa aplikasi ZK. Karena sangat cocok dengan metode kami, itulah area yang banyak kami fokuskan.
Kami telah mengidentifikasi kerentanan kritis di perpustakaan sirkuit inti. Tim kami sangat kuat di bidang itu, jadi kami memutuskan untuk hadir dan menjadi yang terdepan audit ZK. Sebagian besar penelitian kami juga dilatarbelakangi oleh kebutuhan dan persyaratan dari sudut pandang auditor pada domain ZK.
Apa perbedaan keahlian Anda dalam sirkuit ZK dengan perusahaan lain?
Menurut saya, alat kami sangat membedakan kami karena kami berasal dari latar belakang verifikasi formal. Kami memiliki alat yang sangat kuat, dan saat ini, cakupan proyek telah menjadi begitu besar sehingga upaya manusia saja tidak cukup untuk mendapatkan cakupan basis kode yang baik. Itu perlu, tapi itu saja tidak cukup.
Bagaimana Veridise menyeimbangkan peninjauan kode manual dengan analisis alat otomatis dalam proses auditnya?
Ada kebutuhan untuk keduanya. Kami juga memperhatikannya dalam audit. Seringkali, ketika kami melakukan audit manusia yang sangat ketat dan kemudian menjalankan alat pada basis kode, kami menemukan beberapa kerentanan yang luput dari perhatian kami. Terkadang, kami menjalankan alat terlebih dahulu, namun alat tersebut hanya dapat mendeteksi jenis struktur tertentu.
Karena ada begitu banyak lapisan kerumitan dan abstraksi dalam sistem ini, hanya mengandalkan alat saja tidak cukup. Saya merasa Anda tidak dapat hidup tanpa salah satu dari keduanya, dan menurut saya hal itu tidak akan berubah di masa depan.
Apa saja fitur utama alat Vanguard Veridise, dan bagaimana cara meningkatkan keamanan kontrak pintar?
Vanguard adalah salah satu alat utama kami. Ini digunakan untuk analisis statis. Dalam analisis statis, Anda memberikan spesifikasi tertentu dari perilaku yang diinginkan dan kemudian memeriksa apakah spesifikasi tersebut terpenuhi – apakah properti tertentu berlaku tanpa menjalankan kode. Ini tidak dinamis; Anda tidak mengeksekusi kodenya, tetapi Anda secara statis mencoba menilai apakah ada pola tertentu yang dapat menyebabkan kerentanan.
Vanguard hadir dalam banyak rasa. Kami memiliki bagian yang cukup bagus untuk meningkatkan keamanan kontrak pintar, dan bagian yang berfokus pada aplikasi zk.
Bisakah Anda menjelaskan lebih lanjut tentang kerentanan yang Anda temui di kontrak pintar dan sirkuit ZK?
Di sirkuit ZK, yang lebih banyak saya kerjakan, salah satu kerentanan yang paling sering ditemui adalah sirkuit yang dibatasi. Dalam aplikasi ZK, basis kode Anda terdiri dari dua bagian: program itu sendiri (eksekusi normal) dan batasannya. Anda memerlukan batasan yang mencerminkan perilaku eksekusi program secara satu-ke-satu.
Menurut makalah baru-baru, sekitar 95% dari semua kerentanan di sirkuit ZK disebabkan oleh sirkuit yang kurang dibatasi. Kami memiliki alat, seperti PICUS, yang secara khusus ditujukan untuk mendeteksi sirkuit yang memiliki batasan terbatas.
Bagaimana pendekatan Veridise terhadap proses pengungkapan kerentanan yang ditemukan selama audit?
Tentu saja, kami tidak mempublikasikan kerentanan kapan pun karena orang lain mungkin mengeksploitasi bug tersebut sebelum diperbaiki, terutama jika basis kode sudah digunakan. Di akhir proses audit, kami mengirimkan laporan audit di mana kami memberikan pelanggan daftar semua bug dan kerentanan yang kami temukan.
Kami memberikan waktu kepada pelanggan untuk memperbaikinya, lalu mereka mengirimkan perbaikannya kepada kami, yang kami tinjau untuk memeriksa apakah perbaikan tersebut benar-benar mengatasi semua masalah yang kami ajukan. Kami merangkum semuanya dalam laporan akhir. Laporan tersebut adalah milik pelanggan. Kami tidak mempublikasikannya kecuali pelanggan menyetujuinya.
Jika Anda membuka halaman web Veridise, Anda dapat melihat daftar semua laporan audit yang disetujui pelanggan untuk dipublikasikan. Dalam sebagian besar kasus, mereka tidak keberatan jika kami mempublikasikannya. Faktanya, mereka menginginkannya sebagai sertifikat bahwa kode tersebut telah diaudit dan bebas dari bug setelah diaudit.
Bagaimana Veridise mengadaptasi proses auditnya untuk platform dan bahasa blockchain yang berbeda?
Seperti yang Anda ketahui, bidang ini sangat dinamis, dan setiap hari ada rantai baru, bahasa baru, dan cara baru untuk mengekspresikan sirkuit ZK. Kami juga melihatnya pada proyek yang masuk dan permintaan audit yang didasarkan pada lingkungan atau bahasa yang berbeda. Kami mengikuti arus, melihat dari mana permintaan berasal, dan mengetahui ke arah mana bidang ini akan berkembang dalam waktu dekat.
Kami mencoba menyesuaikan alat kami untuk memenuhi kebutuhan masyarakat. Hal ini akan terus berlanjut di masa depan, di mana kami akan mengubah berbagai hal secara dinamis sesuai dengan perkembangan bidang tersebut.
Bisakah Anda menguraikan lebih lanjut tentang alat yang Anda rencanakan untuk diterapkan di masa depan?
Salah satu arah perubahan alat ini dalam waktu dekat adalah kami akan menawarkan keamanan sebagai layanan. Ini disebut platform SaaS kami, tempat kami akan menyediakan alat untuk digunakan orang-orang selama proses pengembangan.
Daripada menyelesaikan seluruh proyek terlebih dahulu dan kemudian melakukan audit, kami akan menjadikan alat kami berguna dalam pengaturan di mana pengembang dapat menggunakannya saat mengembangkan untuk memastikan bahwa kode yang mereka kembangkan aman dan tidak mengandung kerentanan apa pun. SaaS akan tersedia dalam waktu dekat.
Penolakan tanggung jawab
Sejalan dengan Percayai pedoman Proyek, harap dicatat bahwa informasi yang diberikan pada halaman ini tidak dimaksudkan untuk dan tidak boleh ditafsirkan sebagai nasihat hukum, pajak, investasi, keuangan, atau bentuk nasihat lainnya. Penting untuk hanya menginvestasikan jumlah yang mampu Anda tanggung kerugiannya dan mencari nasihat keuangan independen jika Anda ragu. Untuk informasi lebih lanjut, kami menyarankan untuk merujuk pada syarat dan ketentuan serta halaman bantuan dan dukungan yang disediakan oleh penerbit atau pengiklan. MetaversePost berkomitmen terhadap pelaporan yang akurat dan tidak memihak, namun kondisi pasar dapat berubah tanpa pemberitahuan.
Tentang Penulis
Victoria adalah seorang penulis di berbagai topik teknologi termasuk Web3.0, AI dan mata uang kripto. Pengalamannya yang luas memungkinkan dia untuk menulis artikel yang berwawasan luas untuk khalayak yang lebih luas.
lebih artikelVictoria adalah seorang penulis di berbagai topik teknologi termasuk Web3.0, AI dan mata uang kripto. Pengalamannya yang luas memungkinkan dia untuk menulis artikel yang berwawasan luas untuk khalayak yang lebih luas.