Взлом Кодекса DeFi Уязвимости: глубокое погружение Альпа Басса в безопасность смарт-контрактов
Коротко
Альп Басса, научный сотрудник Veridise, обсуждает инновационные инструменты, аудиты с нулевым разглашением и будущее безопасности блокчейна.
В этом эксклюзивном интервью, взятом во время конференции Hack Seasons, Альп Басса, научный сотрудник компании Проверить, делится информацией об инновационных инструментах Veridise, тонкостях аудита с нулевым разглашением и будущем безопасности блокчейна. В ходе дискуссии мы рассмотрим пересечение математики, криптографии и технологии блокчейн глазами одного из ведущих экспертов отрасли.
Многих предпринимателей привлекает в свою сферу определенный момент или событие. Куда вы ехали Web3?
Я имею академическое образование. Я математик, который проводил исследования в области теории чисел, уделяя особое внимание кривым над конечными полями, эллиптическим кривым и их приложениям в теории кодирования и криптографии. Эти инструменты широко используются, особенно сейчас, когда криптография с нулевым разглашением имеет большее влияние в Web3 пространстве.
Я увидел, что там происходит много интересного. Затем я начал работать в Veridise, где они проводят аудит безопасности и специализируются, в частности, на области ZK, и здесь мой опыт очень хорошо вписывается.
Зачем нам вообще нужен аудит безопасности? Могут ли разработчики работать без них или они обязательны?
Безопасность систем требует другого подхода, который вам придется принять уже на этапе разработки. Не все разработчики могут сосредоточиться на всех аспектах процесса разработки одновременно – обеспечении правильных спецификаций, поведения, эффективности, интеграции в более крупную систему и безопасности. В большинстве случаев безопасность — это аспект, который недостаточно хорошо освещается в процессе разработки.
Разработчику стало практически невозможно быть достаточно уверенным в использовании различных сложных инструментов, чтобы гарантировать их правильное использование и отсутствие уязвимостей. Просто нужно применить другой образ мышления. Вот почему аудиты полезны.
Можете ли вы рассказать подробнее о собственных инструментах, разработанных Veridise, и о том, как они повышают качество аудита?
Существует широкий спектр инструментов, которые можно использовать. Некоторые из них более примитивны, но не требуют особых знаний и легко доступны, например фаззеры. Некоторые из них находятся посередине, например, инструменты статического анализа. Они довольно быстрые, но не слишком точные – могут давать ложные срабатывания.
Кроме того, существуют инструменты, в значительной степени опирающиеся на математику, основанные на решателях SMT и других математических знаниях. Они очень точны, но сложны в вычислительном отношении. Мы используем комбинацию всех этих инструментов, каждый из которых имеет свои плюсы и минусы, для выявления ошибок и уязвимостей.
Каковы некоторые уникальные аспекты безопасности, которые Veridise учитывает? DeFi протоколы?
Что касается DeFi протоколов, у нас есть инструмент статического анализа, с помощью которого вы заранее сообщаете системе, какие уязвимости искать или к каким структурам стремиться. Их много. Например, атаки с повторным входом стали причиной взлома DAO в 2016 году. Атаки Flash-займов использовались при атаке на Cream Finance, в результате которой было украдено около 130 миллионов долларов.
Благодаря нашему многолетнему опыту аудита мы имеем хорошее представление об уязвимостях, а наши инструменты созданы для проверки всех этих уязвимостей. В ходе наших аудитов мы рассматриваем их один за другим на предмет появления таких рисков.
Расскажите подробнее, как вы используете технологию ZK и почему аудит ZK является вашим главным приоритетом?
ZK особенно интересен с точки зрения формальной проверки, поскольку он очень хорошо трансформируется в использование инструментов. У нас есть инструменты, специально предназначенные для проверки приложений ZK. Поскольку он настолько подходит для наших методов, именно на этой области мы много внимания уделяем.
Мы выявили критические уязвимости в основных библиотеках схем. Наша команда очень сильна в этой области, поэтому мы решили быть всегда на переднем крае. ЗК аудит. Большая часть наших исследований также мотивирована потребностями и требованиями с точки зрения аудитора в области ZK.
Чем ваш опыт работы со схемами ZK отличается от опыта других компаний?
Я бы сказал, что наши инструменты — это то, что нас сильно отличает, потому что мы имеем опыт формальной проверки. У нас есть очень мощные инструменты, и к настоящему времени масштабы проектов стали настолько большими, что одних человеческих усилий недостаточно для хорошего покрытия кодовой базы. Это необходимо, но само по себе этого недостаточно.
Как Veridise сочетает ручную проверку кода с автоматическим инструментальным анализом в процессе аудита?
Есть потребность в них обоих. Мы это замечаем и в ходе аудитов. В большинстве случаев, когда мы проводим очень тщательный человеческий аудит, а затем запускаем инструменты в базе кода, мы обнаруживаем некоторые уязвимости, которые ускользнули от нашего внимания. Иногда мы сначала запускаем инструменты, но они могут обнаруживать только определенные виды структур.
Поскольку в этих системах так много уровней сложности и абстракции, просто полагаться на инструменты также недостаточно. Я чувствую, что вы не можете обойтись ни без одного из них, и я не думаю, что это изменится в будущем.
Каковы ключевые особенности инструмента Vanguard от Veridise и как он повышает безопасность смарт-контрактов?
Авангард — один из наших основных инструментов. Он используется для статического анализа. При статическом анализе вы предоставляете определенную спецификацию предполагаемого поведения, а затем проверяете, удовлетворяется ли она — сохраняются ли определенные свойства без запуска кода. Это не динамично; вы не выполняете код, а статически пытаетесь оценить, существуют ли определенные закономерности, которые могут вызвать уязвимости.
Vanguard выпускается во многих вкусах. У нас есть части, которые весьма хороши для повышения безопасности смарт-контрактов, а есть части, ориентированные на приложения zk.
Можете ли вы подробнее рассказать об уязвимостях, с которыми вы столкнулись в смарт-контрактах и схемах ZK?
В схемах ZK, над которыми я больше всего работаю, одной из наиболее часто встречающихся уязвимостей являются схемы с недостаточными ограничениями. В приложении ZK ваша кодовая база состоит из двух частей: сама программа (обычное выполнение) и ограничения. Вы требуете, чтобы ограничения однозначно отражали поведение выполнения программы.
В соответствии с Недавняя статья, около 95% всех уязвимостей в схемах ZK вызваны недостаточно ограниченными схемами. У нас есть такие инструменты, как PICUS, которые специально предназначены для обнаружения этих недостаточно ограниченных цепей.
Как Veridise подходит к процессу раскрытия уязвимостей, обнаруженных в ходе аудита?
Конечно, мы ни в коем случае не публикуем уязвимости, потому что кто-то другой может воспользоваться ошибкой до того, как она будет исправлена, особенно если база кода уже используется. По окончании процесса аудита мы предоставляем отчет об аудите, в котором предоставляем клиенту список всех обнаруженных нами ошибок и уязвимостей.
Мы даем клиенту время на их исправление, а затем он присылает нам свои исправления, которые мы проверяем, чтобы проверить, действительно ли они решают все поднятые нами проблемы. Мы собрали все это в итоговом отчете. Отчет является собственностью заказчика. Мы не разглашаем это публично, если клиент не согласен.
Если вы зайдете на веб-страницу Veridise, вы увидите список всех аудиторских отчетов, которые клиенты согласились опубликовать. В большинстве случаев они согласны, чтобы мы обнародовали это. Фактически, они хотят, чтобы это было свидетельством того, что код был проверен и в нем нет ошибок, насколько это возможно после аудита.
Как Veridise адаптирует свои процессы аудита для различных платформ и языков блокчейна?
Как вы знаете, эта область очень динамична, и каждый день появляются новые цепочки, новые языки и новые способы выражения цепочек ZK. Мы видим это также по поступающим проектам и запросам на аудит, основанным на разных средах или языках. Мы плывем по течению, видим, откуда приходят запросы, и чувствуем, в каком направлении будет развиваться сфера в ближайшем будущем.
Мы стараемся адаптировать наши инструменты для удовлетворения потребностей сообщества. Это будет продолжаться и в будущем, когда мы будем динамически менять ситуацию в зависимости от того, как развивается эта область.
Можете ли вы подробнее рассказать об инструментах, которые вы планируете внедрить в будущем?
Одним из направлений, в котором инструменты изменятся в ближайшем будущем, является то, что мы будем предлагать безопасность как услугу. Это называется нашей SaaS-платформой, на которой мы предоставим людям инструменты, которые они смогут использовать в процессе разработки.
Вместо того, чтобы сначала завершить весь проект, а затем провести аудит, мы сделаем наши инструменты полезными в настройке, где разработчики смогут использовать их во время разработки, чтобы гарантировать, что разрабатываемый ими код безопасен и не содержит каких-либо уязвимостей. SaaS должен быть доступен в ближайшем будущем.
Условия использования
В соответствии с Руководство трастового проектаОбратите внимание, что информация, представленная на этой странице, не предназначена и не должна интерпретироваться как юридическая, налоговая, инвестиционная, финансовая или любая другая форма консультации. Важно инвестировать только то, что вы можете позволить себе потерять, и обращаться за независимой финансовой консультацией, если у вас есть какие-либо сомнения. Для получения дополнительной информации мы предлагаем обратиться к положениям и условиям, а также к страницам справки и поддержки, предоставленным эмитентом или рекламодателем. MetaversePost стремится предоставлять точную и объективную отчетность, однако рыночные условия могут быть изменены без предварительного уведомления.
Об авторе
Виктория пишет статьи на различные технологические темы, в том числе Web3.0, ИИ и криптовалюты. Ее обширный опыт позволяет ей писать содержательные статьи для более широкой аудитории.
Другие статьиВиктория пишет статьи на различные технологические темы, в том числе Web3.0, ИИ и криптовалюты. Ее обширный опыт позволяет ей писать содержательные статьи для более широкой аудитории.