インタビュー ビジネス 市場 ソフトウェア テクノロジー
2024年7月11日

コードを解読する DeFi 脆弱性: Alp Bassa によるスマート コントラクト セキュリティの徹底調査

簡単に言えば

Veridise の研究科学者 Alp Bassa 氏が、革新的なツール、ゼロ知識証明監査、ブロックチェーン セキュリティの将来について語ります。

コードを解読する DeFi 脆弱性: Alp Bassa によるスマート コントラクト セキュリティの徹底調査

Hack Seasonsカンファレンス中に行われたこの独占インタビューでは、  アルプバッサ、研究科学者 検証するは、Veridise の革新的なツール、ゼロ知識証明監査の複雑さ、ブロックチェーン セキュリティの将来についての洞察を共有します。ディスカッションでは、業界を代表する専門家の視点から、数学、暗号化、ブロックチェーン テクノロジーの交差点を探ります。

多くの起業家は、特定の瞬間や出来事によって自分の分野に引き寄せられます。 Web3?

私は学術的なバックグラウンドを持っています。私は数論の研究をしていた数学者で、特に有限体上の曲線、楕円曲線、そしてそれらの符号理論と暗号への応用に焦点を当てていました。これらのツールは、特にゼロ知識暗号が暗号理論に大きな影響を与えている現在、頻繁に使用されています。 Web3 スペース。 

そこでは興味深いことがたくさんあることに気づきました。その後、セキュリティ監査を実施し、特に ZK ドメインを専門とする Veridise で働き始めました。そこに私の専門知識がとてもよく当てはまります。

なぜセキュリティ監査が必要なのでしょうか? 開発者はセキュリティ監査なしでも作業できますか、それとも必須ですか?

システムのセキュリティには、開発段階からすでに取り入れておくべき異なる考え方が必要です。すべての開発者が、適切な仕様、動作、効率、大規模なセットアップへの統合、セキュリティの確保など、開発プロセスのすべての側面に同時に集中できるわけではありません。ほとんどの場合、セキュリティは開発プロセス全体を通じて十分にカバーされていない側面です。

開発者がさまざまな複雑なツールを正しく使用し、脆弱性がないことを保証できるほど自信を持つことは、ほぼ不可能になっています。適用する必要があるのは、単に異なる考え方だけです。監査が役立つのはそのためです。

Veridise が開発した社内ツールと、それが監査品質をどのように向上させるかについて詳しく説明していただけますか?

使用できるツールは多岐にわたります。ファジング ツールのように、より原始的ですが、あまり多くの背景知識を必要とせず、簡単にアクセスできるものもあります。静的分析ツールのように、中間のものもあります。これらは非常に高速ですが、正確性に欠け、誤検知が発生することがあります。 

さらに、SMT ソルバーやその他の数学的背景に基づいた、数学に大きく支えられたツールもあります。これらは非常に正確ですが、計算量が多くなります。私たちは、それぞれ長所と短所があるこれらすべてのツールを組み合わせて、バグや脆弱性を検出します。

Veridiseが対処する独自のセキュリティ上の考慮事項にはどのようなものがありますか? DeFi プロトコル?

DeFi プロトコルには、どのような脆弱性を探すか、どのような構造を狙うかを事前にシステムに指示する静的分析ツールがあります。そのようなツールはたくさんあります。たとえば、2016 年の DAO ハッキングは再入攻撃が原因でした。フラッシュ ローン攻撃は、Cream Finance への攻撃で悪用され、約 130 億 XNUMX 万ドルが盗まれました。 

長年にわたる監査の経験を通じて、私たちは脆弱性が何であるかをよく把握しており、私たちのツールはこれらすべてをチェックするように作られています。監査中は、そのようなリスクが現れていないか、それらを一つずつ詳しく調べます。

ZK テクノロジーをどのように使用しているか、また ZK 監査が最優先事項である理由について詳しく説明してください。

ZK は形式検証の観点から特に興味深いものです。ツールの使用に非常によく適合するからです。当社には、ZK アプリケーションのチェックに特化したツールがあります。当社の手法に非常に適しているため、当社はこの分野に重点的に取り組んできました。 

コア回路ライブラリに重大な脆弱性を発見しました。私たちのチームはこの分野に非常に強いので、この分野で最前線に立つことを決意しました。 ZK監査私たちの研究のほとんどは、ZK ドメインにおける監査人の観点からのニーズと要件によって動機付けられています。

ZK 回路に関する貴社の専門知識は、他社とどのように差別化されますか?

私たちは形式検証のバックグラウンドを持っているので、ツールこそが私たちを大きく差別化していると言えるでしょう。私たちは非常に強力なツールを持っていますが、今ではプロジェクトの範囲が非常に大きくなっており、コードベースを十分にカバーするには人間の努力だけでは十分ではありません。それは必要ですが、それだけでは十分ではありません。 

Veridise は監査プロセスにおいて、手動コードレビューと自動ツール分析のバランスをどのように取っているのでしょうか?

どちらも必要です。監査でもそのことに気づきます。ほとんどの場合、人間による厳格な監査を行い、その後コードベースでツールを実行すると、気づかなかった脆弱性が見つかります。最初にツールを実行することもありますが、ツールでは特定の種類の構造しか検出できません。 

これらのシステムには多くの複雑さと抽象化のレイヤーがあるため、ツールだけに頼るだけでは不十分です。どちらか一方が欠けてもやっていけないと感じており、今後もそれは変わらないと思います。

Veridise の Vanguard ツールの主な機能は何ですか? また、スマート コントラクトのセキュリティをどのように向上させますか?

Vanguard は当社の主要ツールの 1 つです。静的分析に使用されます。静的分析では、意図した動作の特定の仕様を提供し、それが満たされているかどうか、つまりコードを実行せずに特定のプロパティが保持されているかどうかを確認します。これは動的ではありません。コードを実行するのではなく、脆弱性を引き起こす可能性のある特定のパターンがあるかどうかを静的に評価します。 

Vanguard にはさまざまな種類があります。スマート コントラクトのセキュリティ向上に非常に優れた部分と、zk アプリケーションに重点を置いた部分があります。 

スマート コントラクトと ZK 回路で遭遇した脆弱性について詳しく説明していただけますか?

私が主に取り組んでいる ZK 回路では、最もよく遭遇する脆弱性の 1 つが制約不足の回路です。ZK アプリケーションでは、コードベースはプログラム自体 (通常の実行) と制約の 2 つの部分で構成されます。制約はプログラム実行の動作を 1 対 1 で反映する必要があります。 

によると、 最近の論文ZK 回路の脆弱性の約 95% は、制約が不十分な回路によって引き起こされます。当社には、特に制約が不十分な回路を検出することを目的とした PICUS などのツールがあります。

Veridise は、監査中に発見された脆弱性の開示プロセスにどのように取り組んでいますか?

もちろん、特にコードベースがすでに使用されている場合は、バグが修正される前に他の誰かがそのバグを悪用する可能性があるため、脆弱性を公表することはありません。監査プロセスの最後に、発見したすべてのバグと脆弱性のリストを顧客に提供する監査レポートを提供します。 

お客様には修正のための時間を与え、その後、修正案をお送りいただきます。弊社はそれをレビューし、弊社が指摘した問題がすべて解決されているかどうかを確認します。そして、すべてを最終レポートにまとめます。レポートはお客様の所有物です。お客様の同意がない限り、公開することはありません。

Veridise の Web ページにアクセスすると、顧客が公開することに同意したすべての監査レポートのリストを見ることができます。ほとんどの場合、顧客はそれを公開することに賛成しています。実際、顧客はコードが監査され、監査後にバグがほとんどないことを証明するものとしてそれを希望しています。 

Veridise は、さまざまなブロックチェーン プラットフォームや言語に合わせて監査プロセスをどのように適応させているのでしょうか?

ご存知のとおり、この分野は非常に活気にあふれており、毎日のように新しいチェーン、新しい言語、ZK 回路を表現する新しい方法が登場しています。さまざまな環境や言語に基づくプロジェクトや監査のリクエストも増えており、その傾向が見られます。私たちは流れに沿って進み、リクエストがどこから来るのかを確認し、近い将来にこの分野がどの方向に進化していくのかを感じています。 

私たちは、コミュニティのニーズに応えるためにツールを適応させようとしています。この取り組みは今後も継続し、分野の発展に応じて動的に変更を加えていきます。

今後導入を計画しているツールについて詳しく説明していただけますか? 

近い将来にツールが変化する方向の 1 つは、セキュリティをサービスとして提供することです。これは SaaS プラットフォームと呼ばれ、開発プロセス中にユーザーがツールを使用できるようにします。 

まずプロジェクト全体を完了してから監査を行うのではなく、開発者が開発中にツールを使用できる設定でツールを役立て、開発中のコードが安全で脆弱性がないことを確認できるようにします。SaaS は近い将来に利用可能になる予定です。

免責事項

に沿って トラストプロジェクトのガイドライン, このページで提供される情報は、法律、税金、投資、財務、またはその他の形式のアドバイスを目的としたものではなく、そのように解釈されるべきではないことに注意してください。 損失しても許容できる金額のみを投資し、疑問がある場合は独立した財務上のアドバイスを求めることが重要です。 詳細については、利用規約のほか、発行者または広告主が提供するヘルプおよびサポート ページを参照することをお勧めします。 MetaversePost は正確で公平なレポートに努めていますが、市場の状況は予告なく変更される場合があります。

著者について

ビクトリアは、次のようなさまざまなテクノロジー関連のトピックについて執筆しています。 Web3.0、AI、仮想通貨。彼女の豊富な経験により、幅広い読者に向けて洞察力に富んだ記事を書くことができます。

より多くの記事
ヴィクトリア・デステ
ヴィクトリア・デステ

ビクトリアは、次のようなさまざまなテクノロジー関連のトピックについて執筆しています。 Web3.0、AI、仮想通貨。彼女の豊富な経験により、幅広い読者に向けて洞察力に富んだ記事を書くことができます。

Hot Stories

Eclipse、再ステーキング報酬の獲得を簡素化するtETHを導入

by アリサ・デビッドソン
2024 年 9 月 09 日

COTI AI チャットボットが稼働開始、開発者に即時サポートを提供

by アリサ・デビッドソン
2024 年 9 月 09 日
ニュースレターにご参加ください。
最新ニュース

Eclipse、再ステーキング報酬の獲得を簡素化するtETHを導入

by アリサ・デビッドソン
2024 年 9 月 09 日

COTI AI チャットボットが稼働開始、開発者に即時サポートを提供

by アリサ・デビッドソン
2024 年 9 月 09 日

リップルからビッググリーンDAOまで:仮想通貨プロジェクトはどのように慈善活動に貢献するのか

慈善活動のためにデジタル通貨の可能性を活用する取り組みを検討してみましょう。

詳細を知りたい

AlphaFold 3、Med-Gemini、その他: AI が 2024 年に医療を変革する方法

AI は、新しい遺伝的相関関係の発見からロボット手術システムの強化に至るまで、医療分野でさまざまな形で現れます。

詳細を知りたい
続きを読む
続きを読む
Eclipse、再ステーキング報酬の獲得を簡素化するtETHを導入
ニュースレポート テクノロジー
Eclipse、再ステーキング報酬の獲得を簡素化するtETHを導入
2024 年 9 月 9 日
COTI AI チャットボットが稼働開始、開発者に即時サポートを提供
ニュースレポート テクノロジー
COTI AI チャットボットが稼働開始、開発者に即時サポートを提供
2024 年 9 月 9 日
QCPキャピタルは、暗号通貨市場の安定化と予想されるボラティリティの中で長期的な強気の感情を予測
市場 ニュースレポート テクノロジー
QCPキャピタルは、暗号通貨市場の安定化と予想されるボラティリティの中で長期的な強気の感情を予測
2024 年 9 月 9 日
Orbitt MM が Solana ベースのプロジェクト向けに Pump.Fun のボリューム ブーストを強化
ニュースレポート テクノロジー
Orbitt MM が Solana ベースのプロジェクト向けに Pump.Fun のボリューム ブーストを強化
2024 年 9 月 9 日
CRYPTOMERIA LABS PTE。 株式会社。