สัมภาษณ์ บัญชีธุรกิจ ตลาด ซอฟต์แวร์ เทคโนโลยี
กรกฎาคม 19, 2024

การแคร็กรหัสของ DeFi ช่องโหว่: การเจาะลึกการรักษาความปลอดภัยสัญญาอัจฉริยะของ Alp Bassa

ในบทสรุป

Alp Bassa นักวิทยาศาสตร์การวิจัยที่ Veridise พูดคุยเกี่ยวกับเครื่องมือที่เป็นนวัตกรรม การตรวจสอบที่ไม่มีความรู้ และอนาคตของความปลอดภัยของบล็อกเชน

การแคร็กรหัสของ DeFi ช่องโหว่: การเจาะลึกการรักษาความปลอดภัยสัญญาอัจฉริยะของ Alp Bassa

ในการสัมภาษณ์พิเศษนี้ ซึ่งถ่ายระหว่างการประชุม Hack Seasons  แอลป์ บาสซา, นักวิทยาศาสตร์วิจัยจาก ตรวจสอบแบ่งปันข้อมูลเชิงลึกเกี่ยวกับเครื่องมือล้ำสมัยของ Veridise ความซับซ้อนของการตรวจสอบการพิสูจน์ความรู้แบบศูนย์ และอนาคตของการรักษาความปลอดภัยบล็อกเชน ในระหว่างการอภิปราย เราจะสำรวจจุดตัดกันของคณิตศาสตร์ การเข้ารหัส และเทคโนโลยีบล็อกเชนผ่านสายตาของหนึ่งในผู้เชี่ยวชาญชั้นนำของอุตสาหกรรม

ผู้ประกอบการจำนวนมากถูกดึงดูดเข้าสู่สาขาของตนในช่วงเวลาหรือเหตุการณ์ที่เฉพาะเจาะจง การเดินทางของคุณคืออะไร Web3?

ฉันมาจากวุฒิการศึกษา ฉันเป็นนักคณิตศาสตร์ที่กำลังค้นคว้าทฤษฎีจำนวน โดยมุ่งเน้นไปที่เส้นโค้งเหนือสนามจำกัด เส้นโค้งวงรี และการประยุกต์ในทฤษฎีการเข้ารหัสและวิทยาการเข้ารหัส เครื่องมือเหล่านี้มีการใช้กันอย่างแพร่หลาย โดยเฉพาะอย่างยิ่งในปัจจุบันที่มีการเข้ารหัสแบบไม่มีความรู้ซึ่งมีอิทธิพลมากขึ้นใน Web3 ช่องว่าง 

ฉันเห็นว่ามีสิ่งที่น่าสนใจมากมายเกิดขึ้นที่นั่น จากนั้นฉันก็เริ่มทำงานที่ Veridise ซึ่งพวกเขาตรวจสอบความปลอดภัยและเชี่ยวชาญเป็นพิเศษในโดเมน ZK ซึ่งเป็นจุดที่ความเชี่ยวชาญของฉันเข้ากันได้เป็นอย่างดี

เหตุใดเราจึงต้องมีการตรวจสอบความปลอดภัยด้วย? นักพัฒนาสามารถดำเนินการโดยไม่มีพวกเขาได้หรือไม่ หรือจำเป็น?

การรักษาความปลอดภัยของระบบจำเป็นต้องมีกรอบความคิดที่แตกต่างออกไปซึ่งคุณต้องดำเนินการอยู่แล้วในขั้นตอนการพัฒนา นักพัฒนาบางรายไม่สามารถมุ่งเน้นไปที่ทุกแง่มุมของกระบวนการพัฒนาไปพร้อมๆ กัน เพื่อให้มั่นใจถึงข้อกำหนด พฤติกรรม ประสิทธิภาพ การบูรณาการเข้ากับการตั้งค่าที่ใหญ่ขึ้น และความปลอดภัยที่เหมาะสม โดยส่วนใหญ่แล้ว การรักษาความปลอดภัยเป็นแง่มุมที่ไม่ครอบคลุมตลอดกระบวนการพัฒนา

แทบจะเป็นไปไม่ได้เลยที่นักพัฒนาจะมั่นใจเพียงพอกับเครื่องมือที่ซับซ้อนต่างๆ เพื่อรับประกันว่าจะใช้อย่างถูกต้องและไม่มีช่องโหว่ มันเป็นเพียงทัศนคติที่แตกต่างที่ต้องนำมาประยุกต์ใช้ นั่นเป็นเหตุผลที่การตรวจสอบมีประโยชน์

คุณช่วยอธิบายอย่างละเอียดเกี่ยวกับเครื่องมือภายใน Veridise ที่พัฒนาขึ้นและวิธีที่เครื่องมือเหล่านั้นปรับปรุงคุณภาพการตรวจสอบได้หรือไม่

มีเครื่องมือมากมายที่สามารถใช้ได้ บางส่วนมีความดั้งเดิมมากกว่าแต่ไม่ต้องการพื้นหลังมากเกินไป และเข้าถึงได้ง่าย เช่น เครื่องดักฟัง บางส่วนอยู่ตรงกลาง เช่น เครื่องมือวิเคราะห์แบบคงที่ พวกมันค่อนข้างเร็วแต่ไม่แม่นยำจนเกินไป พวกมันสามารถให้ผลบวกลวงได้ 

นอกจากนี้ยังมีเครื่องมือที่ได้รับการสนับสนุนอย่างมากจากคณิตศาสตร์ โดยอิงจากตัวแก้ปัญหา SMT และภูมิหลังทางคณิตศาสตร์อื่นๆ สิ่งเหล่านี้มีความแม่นยำมาก แต่หนักในการคำนวณ เราใช้เครื่องมือเหล่านี้ผสมผสานกัน โดยแต่ละเครื่องมือมีข้อดีและข้อเสียเพื่อตรวจจับจุดบกพร่องและจุดอ่อน

ข้อควรพิจารณาด้านความปลอดภัยเฉพาะบางประการที่ Veridise กล่าวถึงมีอะไรบ้าง DeFi โปรโตคอล?

สำหรับ DeFi โปรโตคอล เรามีเครื่องมือวิเคราะห์แบบคงที่ที่คุณแจ้งให้ระบบทราบล่วงหน้าว่าควรมองหาช่องโหว่ประเภทใดหรือโครงสร้างใดที่จะมุ่งเป้า มีหลายคน ตัวอย่างเช่น การโจมตีซ้ำมีส่วนรับผิดชอบต่อการแฮ็ก DAO ในปี 2016 การโจมตีแบบ Flash Loan ถูกใช้ในการโจมตี Cream Finance ซึ่งทำให้มีการขโมยเงินประมาณ 130 ล้านดอลลาร์ 

ด้วยประสบการณ์ของเราในการตรวจสอบเป็นเวลาหลายปี เรามีภาพรวมที่ดีว่าจุดอ่อนคืออะไร และเครื่องมือของเราถูกสร้างขึ้นมาเพื่อตรวจสอบสิ่งเหล่านี้ทั้งหมด ในระหว่างการตรวจสอบ เราจะพิจารณารายละเอียดทีละรายการเพื่อดูว่ามีความเสี่ยงดังกล่าวหรือไม่

โปรดอธิบายเพิ่มเติมเกี่ยวกับวิธีการใช้เทคโนโลยี ZK และเหตุใดการตรวจสอบ ZK จึงมีความสำคัญหลักของคุณ

ZK มีความน่าสนใจเป็นพิเศษจากมุมมองการตรวจสอบอย่างเป็นทางการ เนื่องจากสามารถแปลความหมายได้ดีมากในการใช้เครื่องมือ เรามีเครื่องมือที่มุ่งเป้าไปที่การตรวจสอบแอปพลิเคชัน ZK เป็นพิเศษ เพราะมันเหมาะสมกับวิธีการของเรามาก นั่นคือประเด็นที่เราให้ความสำคัญเป็นอย่างมาก 

เราได้ระบุช่องโหว่ที่สำคัญในไลบรารีวงจรหลัก ทีมของเราแข็งแกร่งมากในสาขานั้น ดังนั้นเราจึงตัดสินใจที่จะปรากฏตัวและอยู่ที่ชายแดนของ การตรวจสอบ ZK- งานวิจัยส่วนใหญ่ของเรายังได้รับแรงบันดาลใจจากความต้องการและข้อกำหนดจากมุมมองของผู้ตรวจสอบบัญชีเกี่ยวกับโดเมน ZK

ความเชี่ยวชาญของคุณในวงจร ZK แตกต่างจากบริษัทอื่นๆ อย่างไร

ฉันจะบอกว่าเครื่องมือของเราเป็นสิ่งที่ทำให้เราแตกต่างอย่างมากเพราะเรามาจากพื้นหลังการตรวจสอบอย่างเป็นทางการ เรามีเครื่องมือที่แข็งแกร่งมาก และในตอนนี้ ขอบเขตของโครงการก็ใหญ่มากจนความพยายามของมนุษย์เพียงอย่างเดียวไม่เพียงพอสำหรับการครอบคลุมโค้ดเบสที่ดี มันจำเป็นแต่โดยตัวมันเองมันยังไม่เพียงพอ 

Veridise ปรับสมดุลการตรวจสอบโค้ดด้วยตนเองกับการวิเคราะห์เครื่องมืออัตโนมัติในกระบวนการตรวจสอบอย่างไร

มีความต้องการทั้งสองอย่าง เราสังเกตเห็นสิ่งนี้ในการตรวจสอบด้วย โดยส่วนใหญ่แล้ว เมื่อเราดำเนินการตรวจสอบโดยมนุษย์อย่างเข้มงวด แล้วเรียกใช้เครื่องมือหลังจากนั้นบนโค้ดเบส เราจะพบช่องโหว่บางอย่างที่หลุดพ้นจากความสนใจของเรา บางครั้งเราเรียกใช้เครื่องมือก่อน แต่เครื่องมือสามารถตรวจจับโครงสร้างบางประเภทเท่านั้น 

เนื่องจากมีความซับซ้อนและนามธรรมมากมายในระบบเหล่านี้ เพียงแค่พึ่งพาเครื่องมือก็ไม่เพียงพอ ฉันรู้สึกว่าคุณไม่สามารถทำได้หากไม่มีอย่างใดอย่างหนึ่ง และฉันไม่คิดว่ามันจะเปลี่ยนแปลงในอนาคต

คุณสมบัติหลักของเครื่องมือ Vanguard ของ Veridise คืออะไร และจะปรับปรุงความปลอดภัยของสัญญาอัจฉริยะได้อย่างไร

Vanguard เป็นหนึ่งในเครื่องมือหลักของเรา ใช้สำหรับการวิเคราะห์แบบคงที่ ในการวิเคราะห์แบบคงที่ คุณจะต้องระบุข้อกำหนดเฉพาะของลักษณะการทำงานที่ต้องการ จากนั้นตรวจสอบว่าเป็นไปตามนั้นหรือไม่ - คุณสมบัติบางอย่างถูกระงับโดยไม่ได้เรียกใช้โค้ดหรือไม่ มันไม่ไดนามิก คุณไม่ได้รันโค้ด แต่คุณพยายามประเมินแบบคงที่ว่ามีรูปแบบบางอย่างที่อาจทำให้เกิดช่องโหว่หรือไม่ 

แวนการ์ดมีหลายรสชาติ เรามีบางส่วนที่ค่อนข้างดีสำหรับการปรับปรุงความปลอดภัยของสัญญาอัจฉริยะ และส่วนที่เน้นไปที่แอปพลิเคชัน zk 

คุณช่วยอธิบายเพิ่มเติมเกี่ยวกับช่องโหว่ที่คุณพบในสัญญาอัจฉริยะและวงจร ZK ได้ไหม

ในวงจร ZK ซึ่งผมทำงานเพิ่มเติม หนึ่งในช่องโหว่ที่พบบ่อยที่สุดก็คือวงจรที่มีข้อจำกัด ในแอปพลิเคชัน ZK รหัสฐานของคุณประกอบด้วยสองส่วน: ตัวโปรแกรมเอง (การดำเนินการตามปกติ) และข้อจำกัด คุณต้องการให้ข้อจำกัดสะท้อนถึงลักษณะการทำงานของการทำงานของโปรแกรมในลักษณะหนึ่งต่อหนึ่ง 

ตาม กระดาษที่ผ่านมาประมาณ 95% ของช่องโหว่ทั้งหมดในวงจร ZK มีสาเหตุมาจากวงจรที่มีข้อจำกัด เรามีเครื่องมือ เช่น PICUS ซึ่งมีจุดมุ่งหมายเป็นพิเศษในการตรวจจับวงจรที่มีข้อจำกัดเหล่านี้

Veridise เข้าใกล้กระบวนการเปิดเผยช่องโหว่ที่ค้นพบระหว่างการตรวจสอบอย่างไร

แน่นอนว่า เราไม่เปิดเผยช่องโหว่ต่อสาธารณะไม่ว่า ณ จุดใดก็ตาม เนื่องจากอาจมีบุคคลอื่นใช้ประโยชน์จากจุดบกพร่องก่อนที่จะได้รับการแก้ไข โดยเฉพาะอย่างยิ่งหากมีการใช้งานโค้ดเบสอยู่แล้ว เมื่อสิ้นสุดกระบวนการตรวจสอบ เราจะจัดส่งรายงานการตรวจสอบโดยแจ้งรายการข้อบกพร่องและช่องโหว่ทั้งหมดที่เราค้นพบแก่ลูกค้า 

เราให้เวลาลูกค้าในการแก้ไขปัญหาเหล่านั้น จากนั้นพวกเขาก็ส่งวิธีแก้ไขมาให้เรา ซึ่งเราจะตรวจสอบเพื่อตรวจสอบว่าพวกเขาสามารถแก้ไขปัญหาทั้งหมดที่เราหยิบยกขึ้นมาได้จริงหรือไม่ เรารวบรวมทุกอย่างไว้ในรายงานขั้นสุดท้าย รายงานเป็นทรัพย์สินของลูกค้า เราไม่เปิดเผยต่อสาธารณะเว้นแต่ลูกค้าจะยินยอม

หากคุณไปที่หน้าเว็บ Veridise คุณจะเห็นรายการรายงานการตรวจสอบทั้งหมดที่ลูกค้าตกลงที่จะเปิดเผยต่อสาธารณะ ในกรณีส่วนใหญ่ พวกเขายินดีให้เราเปิดเผยข้อมูลดังกล่าวต่อสาธารณะ จริงๆ แล้ว พวกเขาต้องการให้เป็นใบรับรองที่โค้ดได้รับการตรวจสอบและปราศจากจุดบกพร่องเท่าที่จะเป็นไปได้หลังการตรวจสอบ 

Veridise ปรับกระบวนการตรวจสอบสำหรับแพลตฟอร์มบล็อกเชนและภาษาต่างๆ อย่างไร

ดังที่คุณทราบ สนามนี้มีชีวิตชีวามาก และทุกๆ วันก็จะมีเครือข่ายใหม่ ภาษาใหม่ และวิธีการใหม่ๆ ในการแสดงออกถึงวงจร ZK เราเห็นสิ่งนั้นเช่นกันกับโครงการที่เข้ามาและการร้องขอการตรวจสอบที่อิงตามสภาพแวดล้อมหรือภาษาที่แตกต่างกัน เราดำเนินการตามกระแส ดูว่าคำขอมาจากไหน และมีความรู้สึกว่าสนามจะพัฒนาไปในทิศทางใดในอนาคตอันใกล้นี้ 

เราพยายามปรับใช้เครื่องมือของเราเพื่อตอบสนองความต้องการของชุมชน สิ่งนี้จะดำเนินต่อไปในอนาคต โดยเราจะเปลี่ยนแปลงสิ่งต่าง ๆ อย่างมีพลวัตตามวิวัฒนาการของสนาม

คุณช่วยอธิบายเพิ่มเติมเกี่ยวกับเครื่องมือที่คุณวางแผนจะใช้ในอนาคตได้ไหม 

ทิศทางหนึ่งที่เครื่องมือจะเปลี่ยนแปลงในอนาคตอันใกล้นี้คือเราจะนำเสนอความปลอดภัยในฐานะบริการ เรียกว่าแพลตฟอร์ม SaaS ของเรา ซึ่งเราจะจัดทำเครื่องมือให้ผู้คนได้ใช้ในระหว่างกระบวนการพัฒนา 

แทนที่จะทำโปรเจ็กต์ทั้งหมดให้เสร็จสิ้นก่อนแล้วจึงทำการตรวจสอบ เราจะสร้างเครื่องมือของเรามีประโยชน์ในการตั้งค่าที่นักพัฒนาสามารถใช้งานได้ในขณะที่พัฒนาเพื่อให้แน่ใจว่าโค้ดที่พวกเขากำลังพัฒนานั้นปลอดภัยและไม่มีช่องโหว่ใดๆ SaaS ควรจะพร้อมใช้งานในอนาคตอันใกล้นี้

ข้อจำกัดความรับผิดชอบ

สอดคล้องกับ แนวทางโครงการที่เชื่อถือได้โปรดทราบว่าข้อมูลที่ให้ไว้ในหน้านี้ไม่ได้มีจุดมุ่งหมายและไม่ควรตีความว่าเป็นคำแนะนำทางกฎหมาย ภาษี การลงทุน การเงิน หรือรูปแบบอื่นใด สิ่งสำคัญคือต้องลงทุนเฉพาะในสิ่งที่คุณสามารถที่จะสูญเสียได้ และขอคำแนะนำทางการเงินที่เป็นอิสระหากคุณมีข้อสงสัยใดๆ สำหรับข้อมูลเพิ่มเติม เราขอแนะนำให้อ้างอิงข้อกำหนดและเงื่อนไขตลอดจนหน้าช่วยเหลือและสนับสนุนที่ผู้ออกหรือผู้ลงโฆษณาให้ไว้ MetaversePost มุ่งมั่นที่จะรายงานที่ถูกต้องและเป็นกลาง แต่สภาวะตลาดอาจมีการเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า

เกี่ยวกับผู้เขียน

Victoria เป็นนักเขียนในหัวข้อด้านเทคโนโลยีที่หลากหลายรวมทั้ง Web3.0, AI และสกุลเงินดิจิตอล ประสบการณ์ที่กว้างขวางของเธอทำให้เธอสามารถเขียนบทความเชิงลึกสำหรับผู้ชมในวงกว้าง

บทความอื่น ๆ
วิกตอเรีย เดสเต
วิกตอเรีย เดสเต

Victoria เป็นนักเขียนในหัวข้อด้านเทคโนโลยีที่หลากหลายรวมทั้ง Web3.0, AI และสกุลเงินดิจิตอล ประสบการณ์ที่กว้างขวางของเธอทำให้เธอสามารถเขียนบทความเชิงลึกสำหรับผู้ชมในวงกว้าง

Hot Stories
เข้าร่วมจดหมายข่าวของเรา
ข่าวล่าสุด

จาก Ripple สู่ Big Green DAO: โครงการ Cryptocurrency มีส่วนสนับสนุนการกุศลอย่างไร

เรามาสำรวจความคิดริเริ่มที่ใช้ประโยชน์จากศักยภาพของสกุลเงินดิจิทัลเพื่อการกุศลกันดีกว่า

รู้เพิ่มเติม

AlphaFold 3, Med-Gemini และอื่นๆ: วิธีที่ AI พลิกโฉมการดูแลสุขภาพในปี 2024

AI แสดงให้เห็นในรูปแบบต่างๆ ในการดูแลสุขภาพ ตั้งแต่การเปิดเผยความสัมพันธ์ทางพันธุกรรมใหม่ๆ ไปจนถึงการเสริมศักยภาพให้กับระบบการผ่าตัดด้วยหุ่นยนต์ ...

รู้เพิ่มเติม
อ่านเพิ่มเติม
อ่านเพิ่มเติม
Aleph Zero เปิดตัวโปรแกรม NEON เพื่ออำนวยความสะดวกในการเข้าสู่ตลาดองค์กร Web3
บัญชีธุรกิจ รายงานข่าว เทคโนโลยี
Aleph Zero เปิดตัวโปรแกรม NEON เพื่ออำนวยความสะดวกในการเข้าสู่ตลาดองค์กร Web3
September 10, 2024
Fabric ร่วมมือกับ Polygon Labs เพื่อเปิดตัวหน่วยประมวลผลที่ตรวจสอบได้สำหรับเทคโนโลยี Zero-Knowledge
รายงานข่าว เทคโนโลยี
Fabric ร่วมมือกับ Polygon Labs เพื่อเปิดตัวหน่วยประมวลผลที่ตรวจสอบได้สำหรับเทคโนโลยี Zero-Knowledge
September 10, 2024
Gate Group ขยายการดำเนินงานในยุโรปด้วย Gate.MT พร้อมก้าวขึ้นเป็นผู้นำภายใต้กฎระเบียบ MiCA ในปี 2025
ตลาด รายงานข่าว เทคโนโลยี
Gate Group ขยายการดำเนินงานในยุโรปด้วย Gate.MT พร้อมก้าวขึ้นเป็นผู้นำภายใต้กฎระเบียบ MiCA ในปี 2025
September 10, 2024
Paxos ขยายธุรกิจสู่ Arbitrum วางแผนนำแพลตฟอร์มโทเค็นไนเซชั่นเข้าสู่เครือข่าย
รายงานข่าว เทคโนโลยี
Paxos ขยายธุรกิจสู่ Arbitrum วางแผนนำแพลตฟอร์มโทเค็นไนเซชั่นเข้าสู่เครือข่าย
September 10, 2024
CRYPTOMERIA LABS PTE. บจก.