Quebrando o Código de DeFi Vulnerabilidades: o mergulho profundo de Alp Bassa na segurança de contratos inteligentes
Em Breve
Alp Bassa, cientista pesquisador da Veridise, discute ferramentas inovadoras, auditorias à prova de conhecimento zero e o futuro da segurança blockchain.
Nesta entrevista exclusiva, realizada durante a Hack Seasons Conference, Alp Bassa, cientista pesquisador da Veridise, compartilha insights sobre as ferramentas inovadoras da Veridise, as complexidades das auditorias à prova de conhecimento zero e o futuro da segurança do blockchain. Durante a discussão, exploraremos a interseção entre matemática, criptografia e tecnologia blockchain através dos olhos de um dos principais especialistas do setor.
Muitos empreendedores são atraídos para sua área por um momento ou evento específico. Qual foi sua jornada para Web3?
Eu venho de uma formação acadêmica. Sou um matemático que fazia pesquisas em teoria dos números, com foco em curvas sobre campos finitos, curvas elípticas e suas aplicações na teoria da codificação e na criptografia. Essas ferramentas são muito utilizadas, especialmente agora que a criptografia de conhecimento zero tem uma influência maior no Web3 espaço.
Vi que havia muitas coisas interessantes acontecendo ali. Depois comecei a trabalhar na Veridise, onde eles fazem auditorias de segurança e se especializam principalmente no domínio ZK, onde minha experiência se encaixa muito bem.
Por que precisamos de auditorias de segurança? Os desenvolvedores podem operar sem eles ou são obrigatórios?
A segurança dos sistemas requer uma mentalidade diferente que você deve adotar já na fase de desenvolvimento. Nem todos os desenvolvedores podem se concentrar em todos os aspectos do processo de desenvolvimento simultaneamente – garantindo as especificações, comportamento, eficiência, integração em uma configuração maior e segurança corretos. Na maioria das vezes, a segurança é um aspecto que não é bem abordado durante todo o processo de desenvolvimento.
Tornou-se quase impossível para um desenvolvedor ter confiança suficiente com várias ferramentas complexas para garantir que sejam usadas corretamente e que não haja vulnerabilidades. É apenas uma mentalidade diferente que precisa ser aplicada. É por isso que as auditorias são úteis.
Você pode explicar melhor as ferramentas internas que a Veridise desenvolveu e como elas melhoram a qualidade da auditoria?
Há uma ampla gama de ferramentas que podem ser usadas. Alguns são mais primitivos, mas não exigem muito conhecimento e são facilmente acessíveis, como fuzzers. Alguns estão no meio, como ferramentas de análise estática. Eles são bastante rápidos, mas não muito exatos – podem dar alguns falsos positivos.
Depois, há ferramentas que são fortemente apoiadas pela matemática, baseadas em solucionadores SMT e outras bases matemáticas. Eles são muito precisos, mas computacionalmente pesados. Usamos uma combinação de todas essas ferramentas, cada uma com seus prós e contras, para detectar bugs e vulnerabilidades.
Quais são algumas das considerações de segurança exclusivas que a Veridise aborda para DeFi protocolos?
Escolha DeFi protocolos, temos uma ferramenta de análise estática onde você informa antecipadamente ao sistema que tipo de vulnerabilidades procurar ou quais estruturas procurar. Existem muitos deles. Por exemplo, os ataques de reentrada foram responsáveis pelo hack do DAO em 2016. Os ataques de empréstimo instantâneo foram explorados no ataque ao Cream Finance, que causou o roubo de cerca de US$ 130 milhões.
Através de nossa experiência ao longo de anos de auditoria, temos uma boa visão geral de quais são as vulnerabilidades e nossas ferramentas são feitas para verificar todas elas. Durante nossas auditorias, analisamos detalhadamente um por um para ver se tais riscos aparecem.
Explique mais sobre como você usa a tecnologia ZK e por que as auditorias ZK são sua principal prioridade.
ZK é particularmente interessante do ponto de vista da verificação formal porque se traduz muito bem no uso de ferramentas. Dispomos de ferramentas que se destinam especialmente à verificação de aplicações ZK. Por ser tão adequado aos nossos métodos, é nessa área que nos concentramos bastante.
Identificamos vulnerabilidades críticas nas principais bibliotecas de circuitos. A nossa equipa é muito forte nessa área, por isso decidimos estar muito presentes e na fronteira do Auditoria ZK. A maior parte de nossa pesquisa também é motivada por necessidades e requisitos do ponto de vista de um auditor no domínio ZK.
Como sua experiência em circuitos ZK se diferencia de outras empresas?
Eu diria que nossas ferramentas são o que nos diferencia muito porque temos uma experiência formal em verificação. Temos ferramentas muito fortes e, neste momento, a extensão dos projetos tornou-se tão grande que o esforço humano por si só não é suficiente para ter uma boa cobertura da base de código. É necessário, mas por si só não é suficiente.
Como a Veridise equilibra a revisão manual de código com a análise automatizada de ferramentas em seu processo de auditoria?
Há necessidade de ambos. Notamos isso também nas auditorias. Na maioria das vezes, quando fazemos auditorias humanas muito rigorosas e depois executamos as ferramentas na base de código, encontramos algumas vulnerabilidades que escaparam à nossa atenção. Às vezes, executamos as ferramentas primeiro, mas elas só conseguem detectar certos tipos de estruturas.
Como existem tantas camadas de complicação e abstração nesses sistemas, confiar apenas nas ferramentas também não é suficiente. Sinto que você não pode viver sem nenhum deles e não acho que isso mudará no futuro.
Quais são os principais recursos da ferramenta Vanguard da Veridise e como ela melhora a segurança dos contratos inteligentes?
Vanguard é uma de nossas principais ferramentas. É usado para análise estática. Na análise estática, você fornece uma determinada especificação do comportamento pretendido e, em seguida, verifica se isso é satisfeito – se certas propriedades são mantidas sem executar o código. Não é dinâmico; você não executa o código, mas tenta avaliar estaticamente se existem certos padrões que podem causar vulnerabilidades.
Vanguard vem em vários sabores. Temos partes dele que são muito boas para melhorar a segurança de contratos inteligentes e partes focadas em aplicativos zk.
Você pode explicar mais sobre as vulnerabilidades encontradas em contratos inteligentes e circuitos ZK?
Nos circuitos ZK, nos quais trabalho mais, uma das vulnerabilidades mais comumente encontradas seriam os circuitos sub-restritos. Em uma aplicação ZK, sua base de código consiste em duas partes: o próprio programa (a execução normal) e as restrições. Você exige que as restrições reflitam o comportamento da execução do programa de maneira individual.
De acordo com uma artigo recente, cerca de 95% de todas as vulnerabilidades em circuitos ZK são causadas por circuitos sub-restritos. Temos ferramentas, como o PICUS, que tem como objetivo principal detectar circuitos sub-restritos.
Como a Veridise aborda o processo de divulgação de vulnerabilidades descobertas durante auditorias?
É claro que não tornamos as vulnerabilidades públicas em nenhum momento porque outra pessoa pode explorar o bug antes de ser corrigido, especialmente se a base de código já estiver em uso. No final do processo de auditoria, entregamos um relatório de auditoria onde entregamos ao cliente uma lista de todos os bugs e vulnerabilidades que descobrimos.
Damos ao cliente algum tempo para corrigi-los e então ele nos envia suas correções, que analisamos para verificar se elas realmente resolvem todos os problemas que levantamos. Reunimos tudo num relatório final. O relatório é propriedade do cliente. Não o tornamos público a menos que o cliente concorde.
Se você acessar a página da Veridise, poderá ver uma lista de todos os relatórios de auditoria que os clientes concordaram em tornar públicos. Na maioria dos casos, eles concordam que tornemos isso público. Na verdade, eles querem um certificado de que o código foi auditado e está tão livre de bugs quanto possível após uma auditoria.
Como a Veridise adapta seus processos de auditoria para diferentes plataformas e linguagens de blockchain?
Como você sabe, o campo é muito vibrante e a cada dia surgem novas cadeias, novas linguagens e novas formas de expressar circuitos ZK. Vemos isso também com os projetos recebidos e solicitações de auditorias baseadas em diferentes ambientes ou idiomas. Seguimos o fluxo, vemos de onde vêm as solicitações e temos uma noção de em que direção o campo evoluirá no futuro próximo.
Tentamos adaptar nossas ferramentas para atender às necessidades da comunidade. Isto continuará no futuro, onde mudaremos as coisas de forma dinâmica de acordo com a evolução do campo.
Você pode explicar mais sobre as ferramentas que planeja implementar no futuro?
Uma direção em que as ferramentas mudarão num futuro próximo é que ofereceremos segurança como serviço. Chama-se nossa plataforma SaaS, onde disponibilizaremos as ferramentas para as pessoas utilizarem durante o processo de desenvolvimento.
Em vez de primeiro terminar o projeto inteiro e depois fazer uma auditoria, tornaremos nossas ferramentas úteis em uma configuração onde os desenvolvedores possam usá-las durante o desenvolvimento para garantir que o código que estão desenvolvendo seja seguro e não contenha nenhuma vulnerabilidade. O SaaS deverá estar disponível num futuro próximo.
Aviso Legal
Em linha com a Diretrizes do Projeto Trust, observe que as informações fornecidas nesta página não se destinam e não devem ser interpretadas como aconselhamento jurídico, tributário, de investimento, financeiro ou qualquer outra forma. É importante investir apenas o que você pode perder e procurar aconselhamento financeiro independente se tiver alguma dúvida. Para mais informações, sugerimos consultar os termos e condições, bem como as páginas de ajuda e suporte fornecidas pelo emissor ou anunciante. MetaversePost está comprometida com relatórios precisos e imparciais, mas as condições de mercado estão sujeitas a alterações sem aviso prévio.
Sobre o autor
Victoria é escritora sobre uma variedade de tópicos de tecnologia, incluindo Web3.0, IA e criptomoedas. Sua vasta experiência lhe permite escrever artigos perspicazes para um público mais amplo.
Mais artigosVictoria é escritora sobre uma variedade de tópicos de tecnologia, incluindo Web3.0, IA e criptomoedas. Sua vasta experiência lhe permite escrever artigos perspicazes para um público mais amplo.