การแคร็กรหัสของ DeFi ช่องโหว่: การเจาะลึกการรักษาความปลอดภัยสัญญาอัจฉริยะของ Alp Bassa
ในบทสรุป
Alp Bassa นักวิทยาศาสตร์การวิจัยที่ Veridise พูดคุยเกี่ยวกับเครื่องมือที่เป็นนวัตกรรม การตรวจสอบที่ไม่มีความรู้ และอนาคตของความปลอดภัยของบล็อกเชน
ในการสัมภาษณ์พิเศษนี้ ซึ่งถ่ายระหว่างการประชุม Hack Seasons แอลป์ บาสซา, นักวิทยาศาสตร์วิจัยจาก ตรวจสอบแบ่งปันข้อมูลเชิงลึกเกี่ยวกับเครื่องมือล้ำสมัยของ Veridise ความซับซ้อนของการตรวจสอบการพิสูจน์ความรู้แบบศูนย์ และอนาคตของการรักษาความปลอดภัยบล็อกเชน ในระหว่างการอภิปราย เราจะสำรวจจุดตัดกันของคณิตศาสตร์ การเข้ารหัส และเทคโนโลยีบล็อกเชนผ่านสายตาของหนึ่งในผู้เชี่ยวชาญชั้นนำของอุตสาหกรรม
ผู้ประกอบการจำนวนมากถูกดึงดูดเข้าสู่สาขาของตนในช่วงเวลาหรือเหตุการณ์ที่เฉพาะเจาะจง การเดินทางของคุณคืออะไร Web3?
ฉันมาจากวุฒิการศึกษา ฉันเป็นนักคณิตศาสตร์ที่กำลังค้นคว้าทฤษฎีจำนวน โดยมุ่งเน้นไปที่เส้นโค้งเหนือสนามจำกัด เส้นโค้งวงรี และการประยุกต์ในทฤษฎีการเข้ารหัสและวิทยาการเข้ารหัส เครื่องมือเหล่านี้มีการใช้กันอย่างแพร่หลาย โดยเฉพาะอย่างยิ่งในปัจจุบันที่มีการเข้ารหัสแบบไม่มีความรู้ซึ่งมีอิทธิพลมากขึ้นใน Web3 ช่องว่าง
ฉันเห็นว่ามีสิ่งที่น่าสนใจมากมายเกิดขึ้นที่นั่น จากนั้นฉันก็เริ่มทำงานที่ Veridise ซึ่งพวกเขาตรวจสอบความปลอดภัยและเชี่ยวชาญเป็นพิเศษในโดเมน ZK ซึ่งเป็นจุดที่ความเชี่ยวชาญของฉันเข้ากันได้เป็นอย่างดี
เหตุใดเราจึงต้องมีการตรวจสอบความปลอดภัยด้วย? นักพัฒนาสามารถดำเนินการโดยไม่มีพวกเขาได้หรือไม่ หรือจำเป็น?
การรักษาความปลอดภัยของระบบจำเป็นต้องมีกรอบความคิดที่แตกต่างออกไปซึ่งคุณต้องดำเนินการอยู่แล้วในขั้นตอนการพัฒนา นักพัฒนาบางรายไม่สามารถมุ่งเน้นไปที่ทุกแง่มุมของกระบวนการพัฒนาไปพร้อมๆ กัน เพื่อให้มั่นใจถึงข้อกำหนด พฤติกรรม ประสิทธิภาพ การบูรณาการเข้ากับการตั้งค่าที่ใหญ่ขึ้น และความปลอดภัยที่เหมาะสม โดยส่วนใหญ่แล้ว การรักษาความปลอดภัยเป็นแง่มุมที่ไม่ครอบคลุมตลอดกระบวนการพัฒนา
แทบจะเป็นไปไม่ได้เลยที่นักพัฒนาจะมั่นใจเพียงพอกับเครื่องมือที่ซับซ้อนต่างๆ เพื่อรับประกันว่าจะใช้อย่างถูกต้องและไม่มีช่องโหว่ มันเป็นเพียงทัศนคติที่แตกต่างที่ต้องนำมาประยุกต์ใช้ นั่นเป็นเหตุผลที่การตรวจสอบมีประโยชน์
คุณช่วยอธิบายอย่างละเอียดเกี่ยวกับเครื่องมือภายใน Veridise ที่พัฒนาขึ้นและวิธีที่เครื่องมือเหล่านั้นปรับปรุงคุณภาพการตรวจสอบได้หรือไม่
มีเครื่องมือมากมายที่สามารถใช้ได้ บางส่วนมีความดั้งเดิมมากกว่าแต่ไม่ต้องการพื้นหลังมากเกินไป และเข้าถึงได้ง่าย เช่น เครื่องดักฟัง บางส่วนอยู่ตรงกลาง เช่น เครื่องมือวิเคราะห์แบบคงที่ พวกมันค่อนข้างเร็วแต่ไม่แม่นยำจนเกินไป พวกมันสามารถให้ผลบวกลวงได้
นอกจากนี้ยังมีเครื่องมือที่ได้รับการสนับสนุนอย่างมากจากคณิตศาสตร์ โดยอิงจากตัวแก้ปัญหา SMT และภูมิหลังทางคณิตศาสตร์อื่นๆ สิ่งเหล่านี้มีความแม่นยำมาก แต่หนักในการคำนวณ เราใช้เครื่องมือเหล่านี้ผสมผสานกัน โดยแต่ละเครื่องมือมีข้อดีและข้อเสียเพื่อตรวจจับจุดบกพร่องและจุดอ่อน
ข้อควรพิจารณาด้านความปลอดภัยเฉพาะบางประการที่ Veridise กล่าวถึงมีอะไรบ้าง DeFi โปรโตคอล?
สำหรับ DeFi โปรโตคอล เรามีเครื่องมือวิเคราะห์แบบคงที่ที่คุณแจ้งให้ระบบทราบล่วงหน้าว่าควรมองหาช่องโหว่ประเภทใดหรือโครงสร้างใดที่จะมุ่งเป้า มีหลายคน ตัวอย่างเช่น การโจมตีซ้ำมีส่วนรับผิดชอบต่อการแฮ็ก DAO ในปี 2016 การโจมตีแบบ Flash Loan ถูกใช้ในการโจมตี Cream Finance ซึ่งทำให้มีการขโมยเงินประมาณ 130 ล้านดอลลาร์
ด้วยประสบการณ์ของเราในการตรวจสอบเป็นเวลาหลายปี เรามีภาพรวมที่ดีว่าจุดอ่อนคืออะไร และเครื่องมือของเราถูกสร้างขึ้นมาเพื่อตรวจสอบสิ่งเหล่านี้ทั้งหมด ในระหว่างการตรวจสอบ เราจะพิจารณารายละเอียดทีละรายการเพื่อดูว่ามีความเสี่ยงดังกล่าวหรือไม่
โปรดอธิบายเพิ่มเติมเกี่ยวกับวิธีการใช้เทคโนโลยี ZK และเหตุใดการตรวจสอบ ZK จึงมีความสำคัญหลักของคุณ
ZK มีความน่าสนใจเป็นพิเศษจากมุมมองการตรวจสอบอย่างเป็นทางการ เนื่องจากสามารถแปลความหมายได้ดีมากในการใช้เครื่องมือ เรามีเครื่องมือที่มุ่งเป้าไปที่การตรวจสอบแอปพลิเคชัน ZK เป็นพิเศษ เพราะมันเหมาะสมกับวิธีการของเรามาก นั่นคือประเด็นที่เราให้ความสำคัญเป็นอย่างมาก
เราได้ระบุช่องโหว่ที่สำคัญในไลบรารีวงจรหลัก ทีมของเราแข็งแกร่งมากในสาขานั้น ดังนั้นเราจึงตัดสินใจที่จะปรากฏตัวและอยู่ที่ชายแดนของ การตรวจสอบ ZK- งานวิจัยส่วนใหญ่ของเรายังได้รับแรงบันดาลใจจากความต้องการและข้อกำหนดจากมุมมองของผู้ตรวจสอบบัญชีเกี่ยวกับโดเมน ZK
ความเชี่ยวชาญของคุณในวงจร ZK แตกต่างจากบริษัทอื่นๆ อย่างไร
ฉันจะบอกว่าเครื่องมือของเราเป็นสิ่งที่ทำให้เราแตกต่างอย่างมากเพราะเรามาจากพื้นหลังการตรวจสอบอย่างเป็นทางการ เรามีเครื่องมือที่แข็งแกร่งมาก และในตอนนี้ ขอบเขตของโครงการก็ใหญ่มากจนความพยายามของมนุษย์เพียงอย่างเดียวไม่เพียงพอสำหรับการครอบคลุมโค้ดเบสที่ดี มันจำเป็นแต่โดยตัวมันเองมันยังไม่เพียงพอ
Veridise ปรับสมดุลการตรวจสอบโค้ดด้วยตนเองกับการวิเคราะห์เครื่องมืออัตโนมัติในกระบวนการตรวจสอบอย่างไร
มีความต้องการทั้งสองอย่าง เราสังเกตเห็นสิ่งนี้ในการตรวจสอบด้วย โดยส่วนใหญ่แล้ว เมื่อเราดำเนินการตรวจสอบโดยมนุษย์อย่างเข้มงวด แล้วเรียกใช้เครื่องมือหลังจากนั้นบนโค้ดเบส เราจะพบช่องโหว่บางอย่างที่หลุดพ้นจากความสนใจของเรา บางครั้งเราเรียกใช้เครื่องมือก่อน แต่เครื่องมือสามารถตรวจจับโครงสร้างบางประเภทเท่านั้น
เนื่องจากมีความซับซ้อนและนามธรรมมากมายในระบบเหล่านี้ เพียงแค่พึ่งพาเครื่องมือก็ไม่เพียงพอ ฉันรู้สึกว่าคุณไม่สามารถทำได้หากไม่มีอย่างใดอย่างหนึ่ง และฉันไม่คิดว่ามันจะเปลี่ยนแปลงในอนาคต
คุณสมบัติหลักของเครื่องมือ Vanguard ของ Veridise คืออะไร และจะปรับปรุงความปลอดภัยของสัญญาอัจฉริยะได้อย่างไร
Vanguard เป็นหนึ่งในเครื่องมือหลักของเรา ใช้สำหรับการวิเคราะห์แบบคงที่ ในการวิเคราะห์แบบคงที่ คุณจะต้องระบุข้อกำหนดเฉพาะของลักษณะการทำงานที่ต้องการ จากนั้นตรวจสอบว่าเป็นไปตามนั้นหรือไม่ - คุณสมบัติบางอย่างถูกระงับโดยไม่ได้เรียกใช้โค้ดหรือไม่ มันไม่ไดนามิก คุณไม่ได้รันโค้ด แต่คุณพยายามประเมินแบบคงที่ว่ามีรูปแบบบางอย่างที่อาจทำให้เกิดช่องโหว่หรือไม่
แวนการ์ดมีหลายรสชาติ เรามีบางส่วนที่ค่อนข้างดีสำหรับการปรับปรุงความปลอดภัยของสัญญาอัจฉริยะ และส่วนที่เน้นไปที่แอปพลิเคชัน zk
คุณช่วยอธิบายเพิ่มเติมเกี่ยวกับช่องโหว่ที่คุณพบในสัญญาอัจฉริยะและวงจร ZK ได้ไหม
ในวงจร ZK ซึ่งผมทำงานเพิ่มเติม หนึ่งในช่องโหว่ที่พบบ่อยที่สุดก็คือวงจรที่มีข้อจำกัด ในแอปพลิเคชัน ZK รหัสฐานของคุณประกอบด้วยสองส่วน: ตัวโปรแกรมเอง (การดำเนินการตามปกติ) และข้อจำกัด คุณต้องการให้ข้อจำกัดสะท้อนถึงลักษณะการทำงานของการทำงานของโปรแกรมในลักษณะหนึ่งต่อหนึ่ง
ตาม กระดาษที่ผ่านมาประมาณ 95% ของช่องโหว่ทั้งหมดในวงจร ZK มีสาเหตุมาจากวงจรที่มีข้อจำกัด เรามีเครื่องมือ เช่น PICUS ซึ่งมีจุดมุ่งหมายเป็นพิเศษในการตรวจจับวงจรที่มีข้อจำกัดเหล่านี้
Veridise เข้าใกล้กระบวนการเปิดเผยช่องโหว่ที่ค้นพบระหว่างการตรวจสอบอย่างไร
แน่นอนว่า เราไม่เปิดเผยช่องโหว่ต่อสาธารณะไม่ว่า ณ จุดใดก็ตาม เนื่องจากอาจมีบุคคลอื่นใช้ประโยชน์จากจุดบกพร่องก่อนที่จะได้รับการแก้ไข โดยเฉพาะอย่างยิ่งหากมีการใช้งานโค้ดเบสอยู่แล้ว เมื่อสิ้นสุดกระบวนการตรวจสอบ เราจะจัดส่งรายงานการตรวจสอบโดยแจ้งรายการข้อบกพร่องและช่องโหว่ทั้งหมดที่เราค้นพบแก่ลูกค้า
เราให้เวลาลูกค้าในการแก้ไขปัญหาเหล่านั้น จากนั้นพวกเขาก็ส่งวิธีแก้ไขมาให้เรา ซึ่งเราจะตรวจสอบเพื่อตรวจสอบว่าพวกเขาสามารถแก้ไขปัญหาทั้งหมดที่เราหยิบยกขึ้นมาได้จริงหรือไม่ เรารวบรวมทุกอย่างไว้ในรายงานขั้นสุดท้าย รายงานเป็นทรัพย์สินของลูกค้า เราไม่เปิดเผยต่อสาธารณะเว้นแต่ลูกค้าจะยินยอม
หากคุณไปที่หน้าเว็บ Veridise คุณจะเห็นรายการรายงานการตรวจสอบทั้งหมดที่ลูกค้าตกลงที่จะเปิดเผยต่อสาธารณะ ในกรณีส่วนใหญ่ พวกเขายินดีให้เราเปิดเผยข้อมูลดังกล่าวต่อสาธารณะ จริงๆ แล้ว พวกเขาต้องการให้เป็นใบรับรองที่โค้ดได้รับการตรวจสอบและปราศจากจุดบกพร่องเท่าที่จะเป็นไปได้หลังการตรวจสอบ
Veridise ปรับกระบวนการตรวจสอบสำหรับแพลตฟอร์มบล็อกเชนและภาษาต่างๆ อย่างไร
ดังที่คุณทราบ สนามนี้มีชีวิตชีวามาก และทุกๆ วันก็จะมีเครือข่ายใหม่ ภาษาใหม่ และวิธีการใหม่ๆ ในการแสดงออกถึงวงจร ZK เราเห็นสิ่งนั้นเช่นกันกับโครงการที่เข้ามาและการร้องขอการตรวจสอบที่อิงตามสภาพแวดล้อมหรือภาษาที่แตกต่างกัน เราดำเนินการตามกระแส ดูว่าคำขอมาจากไหน และมีความรู้สึกว่าสนามจะพัฒนาไปในทิศทางใดในอนาคตอันใกล้นี้
เราพยายามปรับใช้เครื่องมือของเราเพื่อตอบสนองความต้องการของชุมชน สิ่งนี้จะดำเนินต่อไปในอนาคต โดยเราจะเปลี่ยนแปลงสิ่งต่าง ๆ อย่างมีพลวัตตามวิวัฒนาการของสนาม
คุณช่วยอธิบายเพิ่มเติมเกี่ยวกับเครื่องมือที่คุณวางแผนจะใช้ในอนาคตได้ไหม
ทิศทางหนึ่งที่เครื่องมือจะเปลี่ยนแปลงในอนาคตอันใกล้นี้คือเราจะนำเสนอความปลอดภัยในฐานะบริการ เรียกว่าแพลตฟอร์ม SaaS ของเรา ซึ่งเราจะจัดทำเครื่องมือให้ผู้คนได้ใช้ในระหว่างกระบวนการพัฒนา
แทนที่จะทำโปรเจ็กต์ทั้งหมดให้เสร็จสิ้นก่อนแล้วจึงทำการตรวจสอบ เราจะสร้างเครื่องมือของเรามีประโยชน์ในการตั้งค่าที่นักพัฒนาสามารถใช้งานได้ในขณะที่พัฒนาเพื่อให้แน่ใจว่าโค้ดที่พวกเขากำลังพัฒนานั้นปลอดภัยและไม่มีช่องโหว่ใดๆ SaaS ควรจะพร้อมใช้งานในอนาคตอันใกล้นี้
ข้อจำกัดความรับผิดชอบ
สอดคล้องกับ แนวทางโครงการที่เชื่อถือได้โปรดทราบว่าข้อมูลที่ให้ไว้ในหน้านี้ไม่ได้มีจุดมุ่งหมายและไม่ควรตีความว่าเป็นคำแนะนำทางกฎหมาย ภาษี การลงทุน การเงิน หรือรูปแบบอื่นใด สิ่งสำคัญคือต้องลงทุนเฉพาะในสิ่งที่คุณสามารถที่จะสูญเสียได้ และขอคำแนะนำทางการเงินที่เป็นอิสระหากคุณมีข้อสงสัยใดๆ สำหรับข้อมูลเพิ่มเติม เราขอแนะนำให้อ้างอิงข้อกำหนดและเงื่อนไขตลอดจนหน้าช่วยเหลือและสนับสนุนที่ผู้ออกหรือผู้ลงโฆษณาให้ไว้ MetaversePost มุ่งมั่นที่จะรายงานที่ถูกต้องและเป็นกลาง แต่สภาวะตลาดอาจมีการเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า
เกี่ยวกับผู้เขียน
Victoria เป็นนักเขียนในหัวข้อด้านเทคโนโลยีที่หลากหลายรวมทั้ง Web3.0, AI และสกุลเงินดิจิตอล ประสบการณ์ที่กว้างขวางของเธอทำให้เธอสามารถเขียนบทความเชิงลึกสำหรับผู้ชมในวงกว้าง
บทความอื่น ๆVictoria เป็นนักเขียนในหัวข้อด้านเทคโนโลยีที่หลากหลายรวมทั้ง Web3.0, AI และสกุลเงินดิจิตอล ประสบการณ์ที่กว้างขวางของเธอทำให้เธอสามารถเขียนบทความเชิงลึกสำหรับผู้ชมในวงกว้าง