Colloquio Affari Mercati Software Tecnologia
Luglio 19, 2024

Decifrare il codice di DeFi Vulnerabilità: l'approfondimento di Alp Bassa nella sicurezza dei contratti intelligenti

In Breve

Alp Bassa, ricercatrice presso Veridise, parla di strumenti innovativi, audit a conoscenza zero e futuro della sicurezza blockchain.

Decifrare il codice di DeFi Vulnerabilità: l'approfondimento di Alp Bassa nella sicurezza dei contratti intelligenti

In questa intervista esclusiva, scattata durante la Hack Seasons Conference,  Alpe Bassa, ricercatore presso Veridificare, condivide approfondimenti sugli strumenti innovativi di Veridise, sulle complessità degli audit a conoscenza zero e sul futuro della sicurezza blockchain. Durante la discussione, esploreremo l'intersezione tra matematica, crittografia e tecnologia blockchain attraverso gli occhi di uno dei maggiori esperti del settore.

Molti imprenditori sono attratti dal loro settore da un momento o da un evento specifico. Qual è stato il tuo viaggio? Web3?

Vengo da un background accademico. Sono un matematico che stava svolgendo ricerche sulla teoria dei numeri, concentrandosi sulle curve su campi finiti, sulle curve ellittiche e sulle loro applicazioni nella teoria dei codici e nella crittografia. Questi strumenti sono ampiamente utilizzati, soprattutto ora che la crittografia a conoscenza zero ha una maggiore influenza nel settore Web3 spazio. 

Ho visto che stavano accadendo molte cose interessanti lì. Poi ho iniziato a lavorare presso Veridise, dove eseguono controlli di sicurezza e sono specializzati in particolare nel dominio ZK, dove la mia esperienza si adatta molto bene.

Perché abbiamo bisogno di controlli di sicurezza? Gli sviluppatori possono operare senza di essi o sono obbligatori?

La sicurezza dei sistemi richiede una mentalità diversa che bisogna adottare già in fase di sviluppo. Non tutti gli sviluppatori possono concentrarsi su tutti gli aspetti del processo di sviluppo contemporaneamente, garantendo le giuste specifiche, comportamento, efficienza, integrazione in una configurazione più ampia e sicurezza. Nella maggior parte dei casi, la sicurezza è un aspetto che non viene trattato adeguatamente durante il processo di sviluppo.

È diventato quasi impossibile per uno sviluppatore avere sufficiente dimestichezza con i vari strumenti complessi da garantire che vengano utilizzati correttamente e che non vi siano vulnerabilità. È solo una mentalità diversa che deve essere applicata. Ecco perché gli audit sono utili.

Potete approfondire gli strumenti interni che Veridise ha sviluppato e come migliorano la qualità dell'audit?

C'è un ampio spettro di strumenti che possono essere utilizzati. Alcuni sono più primitivi ma non richiedono troppo background e sono facilmente accessibili, come i fuzzer. Alcuni sono nel mezzo, come gli strumenti di analisi statica. Sono abbastanza veloci ma non troppo precisi: possono dare alcuni falsi positivi. 

Poi ci sono strumenti fortemente supportati dalla matematica, basati su solutori SMT e altri fondamenti matematici. Questi sono molto precisi ma computazionalmente pesanti. Utilizziamo una combinazione di tutti questi strumenti, ciascuno con i propri pro e contro, per individuare bug e vulnerabilità.

Quali sono alcune delle considerazioni di sicurezza uniche a cui Veridise si rivolge? DeFi protocolli?

Nel DeFi protocolli, disponiamo di uno strumento di analisi statica in cui si comunica in anticipo al sistema che tipo di vulnerabilità cercare o su quali strutture puntare. Ce ne sono molti. Ad esempio, gli attacchi di rientro sono stati responsabili dell’hacking DAO del 2016. Gli attacchi di prestiti flash sono stati sfruttati nell’attacco a Cream Finance, che ha causato il furto di circa 130 milioni di dollari. 

Grazie alla nostra esperienza nel corso degli anni di audit, abbiamo una buona panoramica di quali siano le vulnerabilità e i nostri strumenti sono progettati per verificarle tutte. Durante i nostri audit, li esaminiamo uno per uno in dettaglio per vedere se compaiono tali rischi.

Spiega meglio come utilizzi la tecnologia ZK e perché gli audit ZK sono la tua priorità principale?

ZK è particolarmente interessante dal punto di vista della verifica formale perché si traduce molto bene nell'utilizzo di strumenti. Disponiamo di strumenti particolarmente mirati al controllo delle applicazioni ZK. Poiché è così adatto ai nostri metodi, è l'area su cui ci siamo concentrati molto. 

Abbiamo identificato vulnerabilità critiche nelle librerie dei circuiti principali. Il nostro team è molto forte in questo campo, quindi abbiamo deciso di essere molto presenti e all'avanguardia Controllo ZK. La maggior parte della nostra ricerca è motivata anche da bisogni e requisiti dal punto di vista dell'auditor nell'ambito ZK.

In che modo la tua esperienza nei circuiti ZK si differenzia da quella di altre società?

Direi che i nostri strumenti sono ciò che ci differenzia molto perché veniamo da un background di verifica formale. Disponiamo di strumenti molto potenti e ormai la portata dei progetti è diventata così ampia che lo sforzo umano da solo non è realmente sufficiente per avere una buona copertura del codice base. È necessario, ma da solo non è sufficiente. 

In che modo Veridise riesce a bilanciare la revisione manuale del codice con l'analisi automatizzata degli strumenti nel processo di audit?

C'è bisogno di entrambi. Lo notiamo anche negli audit. Nella maggior parte dei casi, quando eseguiamo controlli umani molto rigorosi e successivamente eseguiamo gli strumenti sul codice base, troviamo alcune vulnerabilità che sono sfuggite alla nostra attenzione. A volte eseguiamo prima gli strumenti, ma gli strumenti possono rilevare solo determinati tipi di strutture. 

Dato che ci sono così tanti livelli di complicazione e astrazione in questi sistemi, fare affidamento solo sugli strumenti non è sufficiente. Sento che non puoi fare a meno di nessuno dei due, e non credo che questo cambierà in futuro.

Quali sono le caratteristiche principali dello strumento Vanguard di Veridise e in che modo migliora la sicurezza dei contratti intelligenti?

Vanguard è uno dei nostri strumenti principali. Viene utilizzato per l'analisi statica. Nell'analisi statica, si fornisce una determinata specifica del comportamento previsto e quindi si verifica se ciò è soddisfatto, ovvero se determinate proprietà vengono mantenute senza eseguire il codice. Non è dinamico; non esegui il codice, ma provi staticamente a valutare se esistono determinati modelli che potrebbero causare vulnerabilità. 

Vanguard è disponibile in molti gusti. Abbiamo parti che sono abbastanza buone per migliorare la sicurezza dei contratti intelligenti e parti incentrate sulle applicazioni zk. 

Puoi approfondire le vulnerabilità che hai riscontrato nei contratti intelligenti e nei circuiti ZK?

Nei circuiti ZK, su cui lavoro di più, una delle vulnerabilità più comunemente riscontrate sarebbero i circuiti sottovincolati. In un'applicazione ZK, la base di codice è composta da due parti: il programma stesso (la normale esecuzione) e i vincoli. È necessario che i vincoli riflettano il comportamento dell'esecuzione del programma in modo uno a uno. 

Secondo un carta recente, circa il 95% di tutte le vulnerabilità nei circuiti ZK sono causate da circuiti sottovincolati. Disponiamo di strumenti, come PICUS, che è particolarmente mirato a rilevare i circuiti sottovincolati.

In che modo Veridise affronta il processo di divulgazione delle vulnerabilità scoperte durante gli audit?

Naturalmente, non rendiamo mai pubbliche le vulnerabilità perché qualcun altro potrebbe sfruttare il bug prima che venga risolto, soprattutto se il codice base è già in uso. Alla fine del processo di audit, consegniamo un rapporto di audit in cui forniamo al cliente un elenco di tutti i bug e le vulnerabilità che abbiamo scoperto. 

Diamo al cliente un po' di tempo per risolverli, quindi ci invia le soluzioni, che esaminiamo per verificare se risolvono davvero tutti i problemi sollevati. Abbiamo raccolto il tutto in un report finale. Il rapporto è di proprietà del cliente. Non lo rendiamo pubblico a meno che il cliente non sia d'accordo.

Se vai alla pagina web di Veridise, puoi vedere un elenco di tutti i rapporti di audit che i clienti hanno accettato di rendere pubblici. Nella maggior parte dei casi, sono d'accordo che lo rendiamo pubblico. In effetti, lo vogliono come un certificato che il codice è stato controllato e che è privo di bug come può essere dopo un controllo. 

In che modo Veridise adatta i propri processi di audit alle diverse piattaforme e linguaggi blockchain?

Come sai, il campo è molto vivace e ogni giorno nascono nuove catene, nuovi linguaggi e nuovi modi di esprimere i circuiti ZK. Lo vediamo anche con i progetti in arrivo e le richieste di audit che si basano su ambienti o linguaggi diversi. Seguiamo il flusso, vediamo da dove provengono le richieste e abbiamo la sensazione di quale direzione si evolverà il settore nel prossimo futuro. 

Cerchiamo di adattare i nostri strumenti per rispondere alle esigenze della comunità. Ciò continuerà in futuro, dove cambieremo le cose in modo dinamico a seconda di come si evolve il campo.

Puoi approfondire gli strumenti che intendi implementare in futuro? 

Una direzione in cui gli strumenti cambieranno nel prossimo futuro è che offriremo la sicurezza come servizio. Si chiama la nostra piattaforma SaaS, dove renderemo disponibili gli strumenti affinché le persone possano utilizzarli durante il processo di sviluppo. 

Invece di finire prima l'intero progetto e poi fare un controllo, renderemo utili i nostri strumenti in una configurazione in cui gli sviluppatori possano usarli durante lo sviluppo per garantire che il codice che stanno sviluppando sia sicuro e non contenga alcuna vulnerabilità. Il SaaS dovrebbe essere disponibile nel prossimo futuro.

Negazione di responsabilità

In linea con la Linee guida del progetto Trust, si prega di notare che le informazioni fornite in questa pagina non intendono essere e non devono essere interpretate come consulenza legale, fiscale, di investimento, finanziaria o di qualsiasi altra forma. È importante investire solo ciò che puoi permetterti di perdere e chiedere una consulenza finanziaria indipendente in caso di dubbi. Per ulteriori informazioni, suggeriamo di fare riferimento ai termini e alle condizioni nonché alle pagine di aiuto e supporto fornite dall'emittente o dall'inserzionista. MetaversePost si impegna a fornire report accurati e imparziali, ma le condizioni di mercato sono soggette a modifiche senza preavviso.

Circa l'autore

Victoria è una scrittrice su una varietà di argomenti tecnologici, tra cui Web3.0, AI e criptovalute. La sua vasta esperienza le consente di scrivere articoli approfonditi per un pubblico più ampio.

Altri articoli
Vittoria d'Este
Vittoria d'Este

Victoria è una scrittrice su una varietà di argomenti tecnologici, tra cui Web3.0, AI e criptovalute. La sua vasta esperienza le consente di scrivere articoli approfonditi per un pubblico più ampio.

Hot Stories
Iscriviti alla nostra newsletter.
Notizie

Da Ripple a The Big Green DAO: come i progetti di criptovaluta contribuiscono alla beneficenza

Esploriamo le iniziative che sfruttano il potenziale delle valute digitali per cause di beneficenza.

Per saperne di più

AlphaFold 3, Med-Gemini e altri: il modo in cui l'intelligenza artificiale trasforma l'assistenza sanitaria nel 2024

L'intelligenza artificiale si manifesta in vari modi nel settore sanitario, dalla scoperta di nuove correlazioni genetiche al potenziamento dei sistemi chirurgici robotici...

Per saperne di più
Scopri di più
Per saperne di più
Eclipse introduce tETH per semplificare l'ottenimento di ricompense di restaking
Notizie Tecnologia
Eclipse introduce tETH per semplificare l'ottenimento di ricompense di restaking
9 settembre 2024
Il chatbot COTI AI è attivo e fornisce supporto immediato agli sviluppatori
Notizie Tecnologia
Il chatbot COTI AI è attivo e fornisce supporto immediato agli sviluppatori
9 settembre 2024
QCP Capital vede un sentimento rialzista a lungo termine in mezzo alla stabilizzazione del mercato delle criptovalute e alla prevista volatilità
Mercati Notizie Tecnologia
QCP Capital vede un sentimento rialzista a lungo termine in mezzo alla stabilizzazione del mercato delle criptovalute e alla prevista volatilità
9 settembre 2024
Orbitt MM per potenziare il volume su Pump.Fun per progetti basati su Solana
Notizie Tecnologia
Orbitt MM per potenziare il volume su Pump.Fun per progetti basati su Solana
9 settembre 2024
LABORATORI DI CRITTOMERIA PTE. srl.