코드 크래킹 DeFi 취약점: Alp Bassa의 스마트 계약 보안에 대한 심층 분석
요컨대
Veridise의 연구 과학자인 Alp Bassa가 혁신적인 도구, 영지식 증명 감사 및 블록체인 보안의 미래에 대해 논의합니다.
Hack Seasons 컨퍼런스에서 진행된 이 독점 인터뷰에서, 알프 바사, 연구원 검증는 Veridise의 혁신적인 도구, 영지식 증명 감사의 복잡성, 블록체인 보안의 미래에 대한 통찰력을 공유합니다. 토론 중에 우리는 업계 최고의 전문가 중 한 사람의 눈을 통해 수학, 암호화 및 블록체인 기술의 교차점을 탐구할 것입니다.
많은 기업가들은 특정한 순간이나 사건에 이끌려 자신의 분야에 매력을 느낍니다. 당신의 여행은 무엇이었나요? Web3?
나는 학문적 배경을 가지고 있습니다. 저는 유한체 위의 곡선, 타원 곡선, 코딩 이론 및 암호학에서의 응용에 중점을 두고 정수론을 연구하던 수학자입니다. 이러한 도구는 많이 사용되며, 특히 현재는 영지식 암호화가 보안에 더 큰 영향을 미치고 있습니다. Web3 공간.
나는 그곳에서 많은 흥미로운 일들이 일어나고 있다는 것을 알았습니다. 그런 다음 보안 감사를 수행하고 특히 ZK 도메인을 전문으로 하는 Veridise에서 일하기 시작했는데, 이는 내 전문 지식이 매우 잘 들어맞는 곳입니다.
보안 감사가 왜 필요한가요? 개발자는 그것들 없이도 작업할 수 있습니까, 아니면 필수입니까?
시스템 보안을 위해서는 이미 개발 단계에서 취해야 하는 다른 사고방식이 필요합니다. 모든 개발자가 개발 프로세스의 모든 측면에 동시에 집중할 수 있는 것은 아닙니다. 즉 올바른 사양, 동작, 효율성, 더 큰 설정으로의 통합 및 보안을 보장하는 것입니다. 대부분의 경우 보안은 개발 프로세스 전반에 걸쳐 잘 다루어지지 않는 측면입니다.
개발자가 다양한 복잡한 도구에 대해 자신감을 갖고 올바르게 사용되며 취약점이 없음을 보장하는 것은 거의 불가능해졌습니다. 적용해야 할 다른 사고 방식 일뿐입니다. 이것이 바로 감사가 유용한 이유입니다.
Veridise가 개발한 내부 도구와 감사 품질을 향상시키는 방법에 대해 자세히 설명해 주시겠습니까?
사용할 수 있는 도구는 매우 다양합니다. 퍼저처럼 일부는 좀 더 원시적이지만 배경 지식이 너무 많이 필요하지 않고 쉽게 접근할 수 있습니다. 일부는 정적 분석 도구처럼 중간에 있습니다. 속도는 꽤 빠르지만 너무 정확하지는 않습니다. 일부 오류가 발생할 수 있습니다.
그런 다음 SMT 솔버 및 기타 수학적 배경을 기반으로 수학이 크게 뒷받침되는 도구가 있습니다. 이는 매우 정확하지만 계산량이 많습니다. 우리는 각각 장단점이 있는 이러한 모든 도구를 조합하여 사용하여 버그와 취약점을 찾아냅니다.
Veridise가 다루는 고유한 보안 고려 사항은 무엇입니까? DeFi 프로토콜?
럭셔리 DeFi 프로토콜에는 어떤 종류의 취약점을 찾아야 하는지, 어떤 구조를 목표로 해야 하는지 시스템에 미리 알려주는 정적 분석 도구가 있습니다. 그들 중 다수가 있습니다. 예를 들어, 2016년 DAO 해킹의 원인은 재진입 공격이었습니다. Cream Finance 공격에는 플래시 대출 공격이 악용되어 약 130억 XNUMX천만 달러를 도난당했습니다.
수년간의 감사 경험을 통해 우리는 취약점이 무엇인지에 대한 좋은 개요를 얻었으며 우리의 도구는 이러한 모든 것을 확인하도록 만들어졌습니다. 감사를 진행하는 동안 이러한 위험이 나타나는지 확인하기 위해 하나씩 자세히 살펴봅니다.
ZK 기술을 사용하는 방법과 ZK 감사가 최우선 순위인 이유에 대해 자세히 설명해주세요.
ZK는 도구 사용으로 매우 잘 변환되기 때문에 공식 검증 관점에서 특히 흥미롭습니다. 우리는 특히 ZK 애플리케이션 검사를 목표로 하는 도구를 보유하고 있습니다. 우리 방식에 너무 적합하기 때문에 우리가 많이 집중했던 부분이에요.
우리는 핵심 회로 라이브러리에서 심각한 취약점을 확인했습니다. 우리 팀은 그 분야에서 매우 강하기 때문에 우리는 현재의 선두에 서기로 결정했습니다. ZK 감사. 우리 연구의 대부분은 또한 ZK 영역에 대한 감사자의 관점에서 요구되는 요구 사항에 의해 동기가 부여됩니다.
ZK 회로에 대한 귀하의 전문 지식은 다른 회사와 어떻게 차별화됩니까?
우리 도구는 우리를 많이 차별화하는 요소라고 말하고 싶습니다. 왜냐하면 우리는 공식적인 검증 배경을 갖고 있기 때문입니다. 우리는 매우 강력한 도구를 보유하고 있으며, 이제 프로젝트의 규모가 너무 커져서 인간의 노력만으로는 코드베이스를 제대로 다루기에는 충분하지 않습니다. 꼭 필요하지만 그 자체로는 충분하지 않습니다.
Veridise는 감사 프로세스에서 수동 코드 검토와 자동화된 도구 분석의 균형을 어떻게 유지합니까?
둘 다 필요합니다. 우리는 감사에서도 이를 발견했습니다. 대부분의 경우 매우 엄격한 인적 감사를 수행한 다음 나중에 코드베이스에서 도구를 실행할 때 우리가 주의를 끌지 못한 몇 가지 취약점을 발견합니다. 때로는 도구를 먼저 실행하지만 도구는 특정 종류의 구조만 감지할 수 있습니다.
이러한 시스템에는 복잡성과 추상화 계층이 너무 많기 때문에 도구에만 의존하는 것만으로는 충분하지 않습니다. 둘 중 하나 없이는 할 수 없을 것 같고, 앞으로도 변하지 않을 것 같아요.
Veridise Vanguard 도구의 주요 기능은 무엇이며 스마트 계약 보안을 어떻게 향상합니까?
Vanguard는 우리의 주요 도구 중 하나입니다. 정적 분석에 사용됩니다. 정적 분석에서는 의도한 동작에 대한 특정 사양을 제공한 다음 그것이 만족되는지, 즉 코드를 실행하지 않고도 특정 속성이 유지되는지 확인합니다. 역동적이지 않습니다. 코드를 실행하지는 않지만 취약점을 유발할 수 있는 특정 패턴이 있는지 정적으로 평가하려고 합니다.
Vanguard는 다양한 맛으로 제공됩니다. 우리는 향상된 스마트 계약 보안에 상당히 좋은 부분과 zk 애플리케이션에 초점을 맞춘 부분을 가지고 있습니다.
스마트 계약 및 ZK 회로에서 직면한 취약점에 대해 더 자세히 설명해 주실 수 있나요?
제가 더 많이 연구하고 있는 ZK 회로에서 가장 일반적으로 발생하는 취약점 중 하나는 제한이 부족한 회로입니다. ZK 애플리케이션에서 코드베이스는 프로그램 자체(일반 실행)와 제약 조건이라는 두 부분으로 구성됩니다. 제약 조건은 프로그램 실행 동작을 일대일 방식으로 반영해야 합니다.
A에 따라 최근 논문, ZK 회로의 모든 취약점 중 약 95%는 제한이 부족한 회로로 인해 발생합니다. 우리는 특히 제약이 부족한 회로를 탐지하는 것을 목표로 하는 PICUS와 같은 도구를 보유하고 있습니다.
Veridise는 감사 중에 발견된 취약점에 대한 공개 프로세스에 어떻게 접근합니까?
물론, 버그가 수정되기 전에 다른 사람이 버그를 악용할 수 있기 때문에 우리는 어떤 시점에서도 취약점을 공개하지 않습니다. 특히 코드베이스가 이미 사용 중인 경우에는 더욱 그렇습니다. 감사 프로세스가 끝나면 우리가 발견한 모든 버그와 취약점 목록을 고객에게 제공하는 감사 보고서를 제공합니다.
우리는 고객에게 문제를 해결할 시간을 주고 고객은 수정 사항을 우리에게 보냅니다. 우리는 이를 검토하여 우리가 제기한 모든 문제가 실제로 해결되었는지 확인합니다. 우리는 이 모든 것을 최종 보고서에 정리했습니다. 보고서는 고객의 자산입니다. 고객이 동의하지 않는 한 공개하지 않습니다.
베리다이스 홈페이지에 접속하시면 고객이 공개하기로 동의한 모든 감사보고서 목록을 보실 수 있습니다. 대부분의 경우 공개해도 괜찮습니다. 실제로 그들은 코드가 감사되었으며 감사 후에 가능한 한 버그가 없다는 인증서를 원합니다.
Veridise는 다양한 블록체인 플랫폼 및 언어에 대한 감사 프로세스를 어떻게 조정합니까?
아시다시피 이 분야는 매우 활발하며 매일 새로운 체인, 새로운 언어, ZK 회로를 표현하는 새로운 방식이 있습니다. 우리는 들어오는 프로젝트와 다양한 환경이나 언어를 기반으로 하는 감사 요청에서도 이를 확인합니다. 우리는 흐름에 따라 요청이 어디서 오는지 확인하고 가까운 미래에 해당 분야가 어떤 방향으로 발전할 것인지에 대한 느낌을 갖습니다.
우리는 지역사회의 요구 사항을 해결하기 위해 도구를 조정하려고 노력합니다. 이는 앞으로도 계속될 것이며, 해당 분야가 어떻게 진화하는지에 따라 동적으로 상황을 변화시킬 것입니다.
앞으로 구현하려는 도구에 대해 더 자세히 설명해주실 수 있나요?
가까운 미래에 도구가 변경될 한 가지 방향은 보안을 서비스로 제공한다는 것입니다. 이를 SaaS 플랫폼이라고 하며, 개발 과정에서 사람들이 사용할 수 있는 도구를 제공할 것입니다.
먼저 전체 프로젝트를 완료하고 감사를 수행하는 대신 개발자가 개발 중인 코드가 안전하고 취약점이 없는지 확인하기 위해 개발하는 동안 사용할 수 있는 설정에서 도구를 유용하게 만들 것입니다. SaaS는 가까운 시일 내에 제공될 예정입니다.
책임 부인
줄 안 트러스트 프로젝트 지침, 이 페이지에 제공된 정보는 법률, 세금, 투자, 재정 또는 기타 형태의 조언을 제공하기 위한 것이 아니며 해석되어서도 안 됩니다. 손실을 감수할 수 있는 만큼만 투자하고 의심스러운 경우 독립적인 재정 조언을 구하는 것이 중요합니다. 자세한 내용은 이용약관은 물론 발행자나 광고주가 제공하는 도움말 및 지원 페이지를 참조하시기 바랍니다. MetaversePost 는 정확하고 편견 없는 보고를 위해 최선을 다하고 있지만 시장 상황은 예고 없이 변경될 수 있습니다.
저자에 관하여
Victoria는 다음을 포함한 다양한 기술 주제를 다루는 작가입니다. Web3.0, AI 및 암호화폐. 그녀의 광범위한 경험을 통해 그녀는 더 많은 청중을 위한 통찰력 있는 기사를 작성할 수 있습니다.
더 많은 기사Victoria는 다음을 포함한 다양한 기술 주제를 다루는 작가입니다. Web3.0, AI 및 암호화폐. 그녀의 광범위한 경험을 통해 그녀는 더 많은 청중을 위한 통찰력 있는 기사를 작성할 수 있습니다.