rozhovor firmy trhy Softvér Technológia
Júla 19, 2024

Prelomenie Kódexu DeFi Zraniteľnosť: Hlboký ponor spoločnosti Alp Bassa do inteligentnej zmluvnej bezpečnosti

Stručne

Alp Bassa, vedecký pracovník spoločnosti Veridise, diskutuje o inovatívnych nástrojoch, auditoch s nulovými znalosťami a budúcnosti zabezpečenia blockchainu.

Prelomenie Kódexu DeFi Zraniteľnosť: Hlboký ponor spoločnosti Alp Bassa do inteligentnej zmluvnej bezpečnosti

V tomto exkluzívnom rozhovore, ktorý vznikol počas konferencie Hack Seasons,  Alp Bassa, vedecký pracovník v Overiť, zdieľa pohľady na inovatívne nástroje Veridise, zložitosť auditov s nulovými znalosťami a budúcnosť zabezpečenia blockchainu. Počas diskusie preskúmame prienik matematiky, kryptografie a technológie blockchain očami jedného z popredných odborníkov v tomto odvetví.

Mnohých podnikateľov pritiahne do svojho odboru konkrétny moment alebo udalosť. Aká bola vaša cesta Web3?

Pochádzam z akademického prostredia. Som matematik, ktorý robil výskum v teórii čísel so zameraním na krivky nad konečnými poliami, eliptické krivky a ich aplikácie v teórii kódovania a kryptografii. Tieto nástroje sú vo veľkej miere využívané, najmä teraz, keď má kryptografia s nulovými znalosťami väčší vplyv Web3 priestor. 

Videl som, že sa tam deje veľa zaujímavých vecí. Potom som začal pracovať vo Veridise, kde robia bezpečnostné audity a špecializujú sa najmä na doménu ZK, kde moje odborné znalosti veľmi dobre zapadajú.

Prečo vôbec potrebujeme bezpečnostné audity? Môžu vývojári fungovať aj bez nich, alebo sú povinné?

Bezpečnosť systémov si vyžaduje iný spôsob myslenia, ktorý musíte prijať už vo fáze vývoja. Nie všetci vývojári sa môžu sústrediť na všetky aspekty vývojového procesu súčasne – zabezpečiť správne špecifikácie, správanie, efektivitu, integráciu do väčšieho nastavenia a bezpečnosť. Bezpečnosť je väčšinou aspekt, ktorý nie je dostatočne pokrytý počas procesu vývoja.

Pre vývojárov sa stalo takmer nemožné, aby si boli dostatočne istí rôznymi komplexnými nástrojmi, aby zaručili, že sa používajú správne a že neexistujú žiadne zraniteľné miesta. Je to len iné zmýšľanie, ktoré treba uplatniť. Preto sú audity užitočné.

Môžete priblížiť interné nástroje vyvinuté spoločnosťou Veridise a ako zvyšujú kvalitu auditu?

Existuje široké spektrum nástrojov, ktoré možno použiť. Niektoré sú primitívnejšie, ale nevyžadujú príliš veľa pozadia a sú ľahko dostupné, ako napríklad fuzzery. Niektoré sú v strede, napríklad nástroje na statickú analýzu. Sú pomerne rýchle, ale nie príliš presné – môžu poskytnúť nejaké falošné pozitíva. 

Potom sú tu nástroje, ktoré sú silne podporované matematikou, založené na SMT riešiteľoch a inom matematickom pozadí. Sú veľmi presné, ale výpočtovo náročné. Na zachytenie chýb a zraniteľností používame kombináciu všetkých týchto nástrojov, z ktorých každý má svoje klady a zápory.

Aké sú niektoré z jedinečných bezpečnostných aspektov, ktorým sa Veridise venuje DeFi protokoly?

pre DeFi protokolov, máme nástroj na statickú analýzu, kde systému vopred poviete, aké zraniteľné miesta má hľadať alebo na aké štruktúry sa zamerať. Je ich veľa. Napríklad útoky typu reentrancy boli zodpovedné za hack DAO z roku 2016. Útoky na pôžičky typu Flash boli zneužité pri útoku na Cream Finance, ktorý spôsobil odcudzenie približne 130 miliónov dolárov. 

Vďaka našim skúsenostiam za roky auditu máme dobrý prehľad o tom, aké sú slabé miesta, a naše nástroje sú vytvorené na kontrolu všetkých týchto. Počas našich auditov si ich jeden po druhom podrobne prezeráme, či sa takéto riziká neobjavujú.

Uveďte podrobnejšie, ako používate technológiu ZK a prečo sú audity ZK vašou hlavnou prioritou?

ZK je obzvlášť zaujímavý z hľadiska formálneho overovania, pretože sa veľmi dobre premieta do používania nástrojov. Máme nástroje, ktoré sú špeciálne zamerané na kontrolu aplikácií ZK. Pretože je to tak vhodné pre naše metódy, na túto oblasť sme sa veľa zamerali. 

Identifikovali sme kritické zraniteľnosti v knižniciach základných okruhov. Náš tím je v tejto oblasti veľmi silný, preto sme sa rozhodli byť veľmi prítomní a na hranici audit ZK. Väčšina našich výskumov je motivovaná aj potrebami a požiadavkami z pohľadu audítora v oblasti ZK.

Ako sa odlišuje vaša odbornosť v obvodoch ZK od iných spoločností?

Povedal by som, že naše nástroje sú to, čo nás veľmi odlišuje, pretože pochádzame z formálneho overovacieho prostredia. Máme veľmi silné nástroje a rozsah projektov je už taký veľký, že samotné ľudské úsilie v skutočnosti nestačí na dobré pokrytie kódovej základne. Je to potrebné, ale samo o sebe to nestačí. 

Ako Veridise vyvažuje manuálnu kontrolu kódu s automatizovanou analýzou nástrojov v procese auditu?

Potrebné sú oboje. Všímame si to aj pri auditoch. Väčšinu času, keď robíme veľmi prísny audit ľudí a potom spúšťame nástroje na kódovej základni, nájdeme nejaké zraniteľnosti, ktoré unikli našej pozornosti. Niekedy najprv spustíme nástroje, ale nástroje dokážu zistiť len určité druhy štruktúr. 

Keďže v týchto systémoch je toľko vrstiev komplikácií a abstrakcií, spoliehať sa na nástroje tiež nestačí. Mám pocit, že sa nezaobídeš ani bez jedného z nich a nemyslím si, že sa to v budúcnosti zmení.

Aké sú kľúčové funkcie nástroja Veridise Vanguard a ako zlepšuje bezpečnosť inteligentných zmlúv?

Vanguard je jedným z našich hlavných nástrojov. Používa sa na statickú analýzu. Pri statickej analýze poskytnete určitú špecifikáciu zamýšľaného správania a potom skontrolujete, či je splnená – či určité vlastnosti platia bez spustenia kódu. Nie je dynamický; nespustíte kód, ale staticky sa pokúsite posúdiť, či existujú určité vzory, ktoré by mohli spôsobiť zraniteľnosť. 

Vanguard prichádza v mnohých príchutiach. Máme jeho časti, ktoré sú celkom dobré na zlepšenie zabezpečenia inteligentných zmlúv, a časti zamerané na aplikácie zk. 

Môžete podrobnejšie rozviesť slabé miesta, s ktorými ste sa stretli v inteligentných zmluvách a obvodoch ZK?

V obvodoch ZK, ktorým sa viac venujem, by jednou z najbežnejších zraniteľností boli nedostatočne obmedzené obvody. V aplikácii ZK sa vaša kódová základňa skladá z dvoch častí: zo samotného programu (normálne vykonávanie) a z obmedzení. Vyžadujete, aby obmedzenia odrážali správanie vykonávania programu spôsobom jedna k jednej. 

Podľa nedávny papier, asi 95 % všetkých zraniteľností v obvodoch ZK je spôsobených nedostatočne obmedzenými obvodmi. Máme nástroje, ako je PICUS, ktorý je zameraný najmä na detekciu týchto nedostatočne obmedzených obvodov.

Ako Veridise pristupuje k procesu zverejňovania zraniteľností objavených počas auditov?

Samozrejme, zraniteľnosti v žiadnom bode nezverejňujeme, pretože niekto iný by mohol chybu zneužiť skôr, ako bude opravená, najmä ak sa kódová základňa už používa. Na konci procesu auditu doručíme správu o audite, kde zákazníkovi poskytneme zoznam všetkých chýb a zraniteľností, ktoré sme objavili. 

Zákazníkovi dávame nejaký čas na opravu a potom nám pošle svoje opravy, ktoré skontrolujeme, aby sme skontrolovali, či skutočne riešia všetky problémy, na ktoré sme upozornili. Všetko sme zhrnuli do záverečnej správy. Správa je majetkom zákazníka. Nezverejňujeme to, pokiaľ s tým zákazník nesúhlasí.

Ak prejdete na webovú stránku Veridise, môžete si pozrieť zoznam všetkých správ o audite, ktorých zverejnenie zákazníci súhlasili. Vo väčšine prípadov sú v poriadku s tým, že to zverejníme. V skutočnosti to chcú ako certifikát, že kód bol auditovaný a je bez chýb, ako to po audite môže byť. 

Ako Veridise prispôsobuje svoje procesy auditu rôznym blockchainovým platformám a jazykom?

Ako viete, toto pole je veľmi živé a každý deň existujú nové reťazce, nové jazyky a nové spôsoby vyjadrenia obvodov ZK. Vidíme to aj pri prichádzajúcich projektoch a žiadostiach o audity, ktoré sú založené na rôznych prostrediach alebo jazykoch. Ideme s prúdom, vidíme, odkiaľ prichádzajú požiadavky, a máme pocit, akým smerom sa bude toto pole v blízkej budúcnosti vyvíjať. 

Snažíme sa prispôsobiť naše nástroje potrebám komunity. Toto bude pokračovať aj v budúcnosti, kde budeme veci dynamicky meniť podľa toho, ako sa bude vyvíjať obor.

Môžete podrobnejšie uviesť nástroje, ktoré plánujete implementovať v budúcnosti? 

Jedným zo smerov, ktorým sa nástroje v blízkej budúcnosti zmenia, je, že bezpečnosť ponúkneme ako službu. Volá sa to naša platforma SaaS, kde sprístupníme ľuďom nástroje, ktoré môžu používať počas procesu vývoja. 

Namiesto toho, aby sme najprv dokončili celý projekt a potom vykonali audit, urobíme z našich nástrojov užitočnými v nastavení, kde ich môžu vývojári použiť pri vývoji, aby sa zaistilo, že kód, ktorý vyvíjajú, je bezpečný a neobsahuje žiadne zraniteľné miesta. Služba SaaS by mala byť dostupná v blízkej budúcnosti.

Vylúčenie zodpovednosti

V súlade s Pokyny k projektu Trust, uvedomte si, že informácie uvedené na tejto stránke nie sú zamýšľané a nemali by byť interpretované ako právne, daňové, investičné, finančné alebo iné formy poradenstva. Je dôležité investovať len toľko, koľko si môžete dovoliť stratiť a v prípade akýchkoľvek pochybností vyhľadať nezávislé finančné poradenstvo. Ak chcete získať ďalšie informácie, odporúčame vám pozrieť si zmluvné podmienky, ako aj stránky pomoci a podpory poskytnuté vydavateľom alebo inzerentom. MetaversePost sa zaviazala poskytovať presné a nezaujaté správy, ale podmienky na trhu sa môžu zmeniť bez upozornenia.

O autorovi

Victoria je spisovateľkou na rôzne technologické témy vrátane Web30, AI a kryptomeny. Jej rozsiahle skúsenosti jej umožňujú písať zaujímavé články pre širšie publikum.

Ďalšie články
Victoria d'Este
Victoria d'Este

Victoria je spisovateľkou na rôzne technologické témy vrátane Web30, AI a kryptomeny. Jej rozsiahle skúsenosti jej umožňujú písať zaujímavé články pre širšie publikum.

Hot Stories
Pridajte sa k nášmu newsletteru.
Novinky

Od zvlnenia k veľkému zelenému DAO: Ako kryptomenové projekty prispievajú k charite

Poďme preskúmať iniciatívy, ktoré využívajú potenciál digitálnych mien na charitatívne účely.

vedieť viac

AlphaFold 3, Med-Gemini a ďalší: Spôsob, akým AI transformuje zdravotnú starostlivosť v roku 2024

Umelá inteligencia sa v zdravotníctve prejavuje rôznymi spôsobmi, od odhaľovania nových genetických korelácií až po posilnenie robotických chirurgických systémov...

vedieť viac
Čítaj viac
Čítaj viac
Aleph Zero spúšťa NEON program na uľahčenie vstupu podniku do Web3
firmy Novinová správa Technológia
Aleph Zero spúšťa NEON program na uľahčenie vstupu podniku do Web3
September 10, 2024
Fabric sa spojil s polygónovými laboratóriami, aby predstavili overiteľné jednotky spracovania pre technológiu s nulovými znalosťami
Novinová správa Technológia
Fabric sa spojil s polygónovými laboratóriami, aby predstavili overiteľné jednotky spracovania pre technológiu s nulovými znalosťami
September 10, 2024
Gate Group rozširuje európske operácie s Gate.MT, ktorý bude viesť podľa predpisov MiCA v roku 2025
trhy Novinová správa Technológia
Gate Group rozširuje európske operácie s Gate.MT, ktorý bude viesť podľa predpisov MiCA v roku 2025
September 10, 2024
Paxos expanduje do Arbitrum, plánuje uviesť svoju tokenizačnú platformu do siete
Novinová správa Technológia
Paxos expanduje do Arbitrum, plánuje uviesť svoju tokenizačnú platformu do siete
September 10, 2024
CRYPTOMERIA LABS PTE. LTD.