Wywiad Biznes rynki Tworzenie Technologia
19 lipca 2024 r.

Złamanie kodu DeFi Luki w zabezpieczeniach: głębokie zanurzenie się Alp Bassy w zabezpieczenia inteligentnych kontraktów

W skrócie

Alp Bassa, pracownik naukowy w Veridise, omawia innowacyjne narzędzia, audyty sprawdzające wiedzę zerową i przyszłość bezpieczeństwa blockchain.

Złamanie kodu DeFi Luki w zabezpieczeniach: głębokie zanurzenie się Alp Bassy w zabezpieczenia inteligentnych kontraktów

W tym ekskluzywnym wywiadzie przeprowadzonym podczas konferencji Hack Seasons:  Alp Bassa, pracownik naukowy w firmie Zweryfikuj, dzieli się spostrzeżeniami na temat innowacyjnych narzędzi Veridise, zawiłości audytów opartych na wiedzy zerowej oraz przyszłości bezpieczeństwa blockchain. Podczas dyskusji przyjrzymy się skrzyżowaniu matematyki, kryptografii i technologii blockchain oczami jednego z czołowych ekspertów w branży.

Wielu przedsiębiorców do swojej branży przyciąga konkretny moment lub wydarzenie. Do czego zmierzała Twoja podróż Web3?

Pochodzę ze środowiska akademickiego. Jestem matematykiem, który prowadził badania w teorii liczb, koncentrując się na krzywych na polach skończonych, krzywych eliptycznych i ich zastosowaniach w teorii kodowania i kryptografii. Narzędzia te są intensywnie wykorzystywane, zwłaszcza obecnie, gdy kryptografia o wiedzy zerowej ma większy wpływ na szyfrowanie Web3 miejsca. 

Widziałem, że działo się tam wiele ciekawych rzeczy. Następnie rozpocząłem pracę w Veridise, gdzie przeprowadzają audyty bezpieczeństwa i specjalizują się szczególnie w domenie ZK, gdzie moja wiedza bardzo dobrze wpasowuje się.

Dlaczego w ogóle potrzebujemy audytów bezpieczeństwa? Czy programiści mogą działać bez nich, czy są one obowiązkowe?

Bezpieczeństwo systemów wymaga innego sposobu myślenia, który trzeba przyjąć już na etapie rozwoju. Nie wszyscy programiści mogą skupić się na wszystkich aspektach procesu programowania jednocześnie – zapewniając odpowiednie specyfikacje, zachowanie, wydajność, integrację z większą konfiguracją i bezpieczeństwo. W większości przypadków bezpieczeństwo jest aspektem, który nie jest dobrze uwzględniony w całym procesie programowania.

Prawie niemożliwe stało się, aby programista miał wystarczającą pewność co do różnych złożonych narzędzi, aby zagwarantować, że będą one używane prawidłowo i że nie będą zawierały luk. To po prostu inny sposób myślenia, który należy zastosować. Dlatego audyty są przydatne.

Czy możesz opisać wewnętrzne narzędzia opracowane przez firmę Veridise i sposób, w jaki poprawiają one jakość audytu?

Istnieje szerokie spektrum narzędzi, z których można skorzystać. Niektóre są bardziej prymitywne, ale nie wymagają zbyt dużego tła i są łatwo dostępne, jak fuzzery. Niektóre są pośrodku, jak narzędzia do analizy statycznej. Są dość szybkie, ale niezbyt dokładne – mogą dawać fałszywe alarmy. 

Istnieją także narzędzia w dużym stopniu wspierane przez matematykę, oparte na solwerach SMT i innych podstawach matematycznych. Są one bardzo precyzyjne, ale wymagają dużych obliczeń. Używamy kombinacji wszystkich tych narzędzi, każde z ich zaletami i wadami, aby wychwytywać błędy i luki w zabezpieczeniach.

Jakie są wyjątkowe względy bezpieczeństwa, którymi zajmuje się firma Veridise? DeFi protokoły?

W razie zamówieenia projektu DeFi protokołów, dysponujemy narzędziem do analizy statycznej, za pomocą którego z góry informujesz system, jakiego rodzaju luk ma szukać lub w jakie struktury ma celować. Dużo ich. Na przykład ataki typu reentrancy były odpowiedzialne za włamanie do DAO w 2016 r. Ataki dotyczące pożyczek flash zostały wykorzystane w ataku na Cream Finance, w wyniku którego skradziono około 130 milionów dolarów. 

Dzięki naszemu wieloletniemu doświadczeniu w przeprowadzaniu audytów mamy dobry przegląd luk w zabezpieczeniach, a nasze narzędzia służą do sprawdzania ich wszystkich. Podczas naszych audytów szczegółowo im się przyglądamy, czy nie pojawiają się takie ryzyka.

Proszę, opisz więcej, w jaki sposób wykorzystujesz technologię ZK i dlaczego audyty ZK są Twoim głównym priorytetem?

ZK jest szczególnie interesujący z formalnego punktu widzenia weryfikacji, ponieważ bardzo dobrze przekłada się na wykorzystanie narzędzi. Posiadamy narzędzia, które są szczególnie nastawione na sprawdzanie aplikacji ZK. Ponieważ jest to bardzo odpowiednie dla naszych metod, jest to obszar, na którym bardzo się skupiliśmy. 

Zidentyfikowaliśmy krytyczne luki w podstawowych bibliotekach obwodów. Nasz zespół jest bardzo mocny w tej dziedzinie, dlatego postanowiliśmy być bardzo obecni i na pograniczu Kontrola ZK. Motywacją większości naszych badań są także potrzeby i wymagania z perspektywy audytora domeny ZK.

Czym różni się Twoja wiedza w zakresie obwodów ZK od innych firm?

Powiedziałbym, że nasze narzędzia są tym, co nas bardzo wyróżnia, ponieważ wywodzimy się z formalnego doświadczenia weryfikacyjnego. Mamy bardzo mocne narzędzia i obecnie zakres projektów stał się tak duży, że sam wysiłek ludzki nie wystarczy, aby dobrze pokryć bazę kodu. Jest to konieczne, ale samo w sobie nie wystarczy. 

W jaki sposób Veridise równoważy ręczny przegląd kodu z automatyczną analizą narzędzi w procesie audytu?

Jedno i drugie jest potrzebne. Zauważamy to także w audytach. W większości przypadków, gdy przeprowadzamy bardzo rygorystyczny audyt przez ludzi, a następnie uruchamiamy narzędzia w bazie kodu, znajdujemy pewne luki w zabezpieczeniach, które umknęły naszej uwadze. Czasami najpierw uruchamiamy narzędzia, ale mogą one wykryć tylko określone rodzaje struktur. 

Ponieważ w tych systemach jest tak wiele warstw komplikacji i abstrakcji, samo poleganie na narzędziach również nie wystarczy. Czuję, że nie możesz obejść się bez żadnego z nich i nie sądzę, żeby to się zmieniło w przyszłości.

Jakie są kluczowe funkcje narzędzia Vanguard firmy Veridise i w jaki sposób poprawia ono bezpieczeństwo inteligentnych kontraktów?

Vanguard jest jednym z naszych głównych narzędzi. Służy do analizy statycznej. W analizie statycznej podajesz określoną specyfikację zamierzonego zachowania, a następnie sprawdzasz, czy jest ona spełniona – czy pewne właściwości zachowują się bez uruchamiania kodu. To nie jest dynamiczne; nie wykonujesz kodu, ale statycznie próbujesz ocenić, czy istnieją pewne wzorce, które mogą powodować luki. 

Vanguard jest dostępny w wielu smakach. Mamy jego części, które są całkiem dobre do poprawy bezpieczeństwa inteligentnych kontraktów, oraz części skupiające się na aplikacjach ZK. 

Czy możesz bardziej szczegółowo opisać luki, które napotkałeś w inteligentnych kontraktach i obwodach ZK?

W obwodach ZK, nad którymi więcej pracuję, jedną z najczęściej spotykanych luk są obwody o niedostatecznym ograniczeniu. W aplikacji ZK baza kodu składa się z dwóch części: samego programu (normalne wykonanie) i ograniczeń. Wymagane jest, aby ograniczenia odzwierciedlały zachowanie wykonywania programu w sposób jeden do jednego. 

Według Ostatni artykuł, około 95% wszystkich luk w zabezpieczeniach obwodów ZK jest spowodowanych obwodami o niedostatecznym obciążeniu. Posiadamy narzędzia takie jak PICUS, które są szczególnie ukierunkowane na wykrywanie obwodów o niedostatecznych ograniczeniach.

Jak Veridise podchodzi do procesu ujawniania luk wykrytych podczas audytów?

Oczywiście nie publikujemy na żadnym etapie informacji o lukach w zabezpieczeniach, ponieważ ktoś inny może wykorzystać błąd, zanim zostanie on naprawiony, zwłaszcza jeśli baza kodu jest już używana. Na koniec procesu audytu dostarczamy raport z audytu, w którym przekazujemy klientowi listę wszystkich wykrytych przez nas błędów i luk. 

Dajemy klientowi trochę czasu na ich naprawienie, a następnie wysyła nam swoje poprawki, które sprawdzamy, aby sprawdzić, czy rzeczywiście rozwiązują wszystkie zgłoszone przez nas problemy. Zebraliśmy to wszystko w raporcie końcowym. Raport jest własnością Klienta. Nie podajemy ich do wiadomości publicznej, chyba że klient wyrazi na to zgodę.

Jeśli wejdziesz na stronę internetową Veridise, zobaczysz listę wszystkich raportów z audytów, które klienci zgodzili się upublicznić. W większości przypadków nie mają nic przeciwko, żebyśmy to upublicznili. W rzeczywistości chcą tego jako certyfikatu, że kod został poddany audytowi i jest tak wolny od błędów, jak to tylko możliwe po audycie. 

W jaki sposób Veridise dostosowuje swoje procesy audytu do różnych platform i języków blockchain?

Jak wiecie, dziedzina ta jest bardzo tętniąca życiem i każdego dnia pojawiają się nowe łańcuchy, nowe języki i nowe sposoby wyrażania obwodów ZK. Widzimy to także w przypadku napływających projektów i próśb o audyty opartych na różnych środowiskach lub językach. Płyniemy z nurtem, widzimy, skąd płyną prośby i mamy przeczucie, w jakim kierunku będzie ewoluować ta dziedzina w najbliższej przyszłości. 

Staramy się dostosowywać nasze narzędzia do potrzeb społeczności. Będzie to kontynuowane w przyszłości, gdzie będziemy dynamicznie zmieniać sytuację w zależności od rozwoju danej dziedziny.

Czy możesz bardziej szczegółowo opisać narzędzia, które planujesz wdrożyć w przyszłości? 

Jednym z kierunków zmian narzędzi w najbliższej przyszłości jest oferowanie bezpieczeństwa jako usługi. Nazywa się to naszą platformą SaaS, na której udostępnimy narzędzia do wykorzystania w procesie rozwoju. 

Zamiast najpierw kończyć cały projekt, a następnie przeprowadzać audyt, sprawimy, że nasze narzędzia będą przydatne w konfiguracji, w której programiści będą mogli z nich korzystać podczas programowania, aby upewnić się, że opracowywany przez nich kod jest bezpieczny i nie zawiera żadnych luk. SaaS powinien być dostępny w najbliższej przyszłości.

Odpowiedzialność

Zgodnie z Zaufaj wytycznym projektu, należy pamiętać, że informacje zawarte na tej stronie nie mają na celu i nie powinny być interpretowane jako porady prawne, podatkowe, inwestycyjne, finansowe lub jakiekolwiek inne formy porad. Ważne jest, aby inwestować tylko tyle, na utratę czego możesz sobie pozwolić, a w przypadku jakichkolwiek wątpliwości zasięgnąć niezależnej porady finansowej. Aby uzyskać więcej informacji, sugerujemy zapoznać się z warunkami oraz stronami pomocy i wsparcia udostępnianymi przez wydawcę lub reklamodawcę. MetaversePost zobowiązuje się do sporządzania dokładnych i bezstronnych raportów, jednakże warunki rynkowe mogą ulec zmianie bez powiadomienia.

O autorze

Victoria jest autorką publikacji na różne tematy technologiczne, m.in Web3.0, sztuczna inteligencja i kryptowaluty. Jej bogate doświadczenie pozwala jej pisać wnikliwe artykuły dla szerszego grona odbiorców.

Więcej artykułów
Wiktoria d’Este
Wiktoria d’Este

Victoria jest autorką publikacji na różne tematy technologiczne, m.in Web3.0, sztuczna inteligencja i kryptowaluty. Jej bogate doświadczenie pozwala jej pisać wnikliwe artykuły dla szerszego grona odbiorców.

Hot Stories
Dołącz do naszego newslettera.
Najnowsze wiadomości

Od Ripple do Big Green DAO: jak projekty kryptowalutowe przyczyniają się do działalności charytatywnej

Przyjrzyjmy się inicjatywom wykorzystującym potencjał walut cyfrowych na cele charytatywne.

Dowiedz się więcej

AlphaFold 3, Med-Gemini i inne: sposób, w jaki sztuczna inteligencja zmieni opiekę zdrowotną w 2024 r.

Sztuczna inteligencja objawia się na różne sposoby w opiece zdrowotnej, od odkrywania nowych korelacji genetycznych po wzmacnianie zrobotyzowanych systemów chirurgicznych…

Dowiedz się więcej
Czytaj więcej
Czytaj więcej
Eclipse wprowadza tETH w celu uproszczenia zarabiania nagród za ponowne obstawianie
Raport aktualności Technologia
Eclipse wprowadza tETH w celu uproszczenia zarabiania nagród za ponowne obstawianie
9 września 2024 r.
Czatbot COTI AI jest już dostępny, zapewniając natychmiastowe wsparcie dla programistów
Raport aktualności Technologia
Czatbot COTI AI jest już dostępny, zapewniając natychmiastowe wsparcie dla programistów
9 września 2024 r.
QCP Capital dostrzega długoterminowy sentyment wzrostowy w obliczu stabilizacji rynku kryptowalut i przewidywanej zmienności
rynki Raport aktualności Technologia
QCP Capital dostrzega długoterminowy sentyment wzrostowy w obliczu stabilizacji rynku kryptowalut i przewidywanej zmienności
9 września 2024 r.
Orbitt MM będzie napędzał wzmacniacze głośności w pompach.Zabawa dla projektów opartych na Solanie
Raport aktualności Technologia
Orbitt MM będzie napędzał wzmacniacze głośności w pompach.Zabawa dla projektów opartych na Solanie
9 września 2024 r.
CRYPTOMERIA LABS PTE. SP. Z O.O.