intervyu ish Birja Dastur texnologiya
Iyul 19, 2024

Kodeksni buzish DeFi Zaifliklar: Alp Bassaning aqlli kontrakt xavfsizligiga chuqur sho'ng'ishi

Qisqacha

Veridise tadqiqotchi olimi Alp Bassa innovatsion vositalar, nol bilimlarni isbotlovchi auditlar va blokcheyn xavfsizligi kelajagini muhokama qiladi.

Kodeksni buzish DeFi Zaifliklar: Alp Bassaning aqlli kontrakt xavfsizligiga chuqur sho'ng'ishi

Hack Seasons konferentsiyasida olingan ushbu eksklyuziv intervyuda,  Alp Bassa, tadqiqotchi olim Tasdiqlash, Veridise’ning innovatsion vositalari, nol bilimlarni isbotlovchi auditlarning nozik jihatlari va blokcheyn xavfsizligi kelajagi haqida tushunchalar bilan o‘rtoqlashadi. Muhokama davomida biz matematika, kriptografiya va blokcheyn texnologiyasining kesishishini sohaning yetakchi mutaxassislaridan birining nigohi bilan o‘rganamiz.

Ko'pgina tadbirkorlar o'z sohalariga ma'lum bir lahza yoki voqea jalb qilinadi. Sizning sayohatingiz nima edi Web3?

Men ilmiy asosdan kelganman. Men sonlar nazariyasi bo'yicha tadqiqot olib borgan matematikman, u cheklangan maydonlar ustidagi egri chiziqlarga, elliptik egri chiziqlarga va ularning kodlash nazariyasi va kriptografiyadagi qo'llanilishiga e'tibor qaratgan. Ushbu vositalar, ayniqsa, hozirda nol bilimli kriptografiya ko'proq ta'sir ko'rsatayotganda keng qo'llaniladi. Web3 joy. 

Men u erda juda ko'p qiziqarli narsalar sodir bo'layotganini ko'rdim. Keyin men Veridise-da ishlay boshladim, u erda ular xavfsizlik tekshiruvlarini o'tkazadilar va ayniqsa ZK domenida ixtisoslashgan, bu erda mening tajribam juda mos keladi.

Nega bizga xavfsizlik tekshiruvlari kerak? Ishlab chiquvchilar ularsiz ishlay oladimi yoki ular majburiymi?

Tizimlarning xavfsizligi siz rivojlanish bosqichida qabul qilishingiz kerak bo'lgan boshqa fikrlashni talab qiladi. Barcha ishlab chiquvchilar bir vaqtning o'zida rivojlanish jarayonining barcha jihatlariga e'tibor qarata olmaydi - to'g'ri spetsifikatsiyalar, xatti-harakatlar, samaradorlik, kattaroq o'rnatishga integratsiya va xavfsizlikni ta'minlash. Ko'pincha, xavfsizlik butun rivojlanish jarayonida yaxshi yoritilmagan jihatdir.

Ishlab chiquvchi uchun turli xil murakkab vositalardan to'g'ri foydalanish va zaifliklar yo'qligiga ishonch hosil qilish deyarli imkonsiz bo'lib qoldi. Bu shunchaki qo'llanilishi kerak bo'lgan boshqa fikr. Shuning uchun auditlar foydalidir.

Veridise tomonidan ishlab chiqilgan ichki vositalar va ular audit sifatini qanday oshirish haqida batafsil ma'lumot bera olasizmi?

Foydalanish mumkin bo'lgan vositalarning keng spektri mavjud. Ba'zilari ibtidoiyroq, lekin juda ko'p fonni talab qilmaydi va fuzzerlar kabi osongina kirish mumkin. Ba'zilari statik tahlil vositalari kabi o'rtada. Ular juda tez, lekin unchalik aniq emas - ular ba'zi noto'g'ri pozitivlarni berishi mumkin. 

Keyin SMT echuvchilar va boshqa matematik ma'lumotlarga asoslangan matematika tomonidan kuchli qo'llab-quvvatlanadigan vositalar mavjud. Bular juda aniq, ammo hisoblash og'ir. Xatolar va zaifliklarni aniqlash uchun biz ushbu vositalarning har biri o'zining ijobiy va salbiy tomonlari bilan kombinatsiyasidan foydalanamiz.

Veridise ko'rib chiqadigan noyob xavfsizlik masalalari nimadan iborat DeFi protokollar?

uchun DeFi Protokollar uchun bizda statik tahlil vositasi mavjud bo'lib, siz tizimga qanday zaifliklarni izlash yoki qanday tuzilmalarga yo'naltirish kerakligini oldindan aytib beradi. Ularning ko'pi bor. Masalan, 2016 yildagi DAO xakerligi uchun reentrancy hujumlari mas'ul bo'lgan. Flash kredit hujumlari Cream Finance'ga qilingan hujumda ishlatilgan, bu esa taxminan 130 million dollar o'g'irlanishiga olib kelgan. 

Ko'p yillik audit tajribamiz orqali biz zaifliklar nima ekanligini yaxshi ko'rib chiqdik va bizning vositalarimiz bularning barchasini tekshirish uchun yaratilgan. Auditlarimiz davomida biz bunday xavflar paydo bo'ladimi yoki yo'qligini bilish uchun ularni birma-bir ko'rib chiqamiz.

Iltimos, ZK texnologiyasidan qanday foydalanayotganingiz va nima uchun ZK auditi sizning asosiy ustuvorligingiz ekanligi haqida batafsilroq ma'lumot bersangiz?

ZK rasmiy tekshirish nuqtai nazaridan ayniqsa qiziq, chunki u asboblardan foydalanishga juda yaxshi tarjima qilinadi. Bizda ZK ilovalarini tekshirishga qaratilgan vositalar mavjud. Usullarimizga juda mos bo'lgani uchun biz ko'p e'tibor qaratgan sohamiz. 

Biz asosiy elektron kutubxonalarda muhim zaifliklarni aniqladik. Bizning jamoamiz bu sohada juda kuchli, shuning uchun biz hozir va chegarada bo'lishga qaror qildik ZK auditi. Tadqiqotlarimizning aksariyati ZK domeni bo'yicha auditorlik nuqtai nazaridan kelib chiqadigan ehtiyoj va talablarga asoslanadi.

ZK sxemalaridagi tajribangiz boshqa kompaniyalardan qanday farq qiladi?

Aytishim mumkinki, bizning asboblarimiz bizni juda farq qiladi, chunki biz rasmiy tekshiruvdan kelganmiz. Bizda juda kuchli vositalar bor va hozirga kelib, loyihalar hajmi shunchalik katta bo'ldiki, kodlar bazasini yaxshi qamrab olish uchun faqat inson sa'y-harakatlari etarli emas. Bu zarur, lekin o'z-o'zidan bu etarli emas. 

Veridise o'z audit jarayonida qo'lda kod ko'rib chiqishni avtomatlashtirilgan vosita tahlili bilan qanday muvozanatlashtiradi?

Ularning ikkalasiga ham ehtiyoj bor. Biz buni auditorlik tekshiruvlarida ham sezamiz. Ko'pincha, biz juda jiddiy inson auditini o'tkazganimizda va keyin asboblarni kodlar bazasida ishga tushirganimizda, biz e'tiborimizdan chetda qolgan ba'zi zaifliklarni topamiz. Ba'zan biz avval asboblarni ishga tushiramiz, lekin asboblar faqat ma'lum turdagi tuzilmalarni aniqlay oladi. 

Ushbu tizimlarda juda ko'p murakkablik va mavhumlik qatlamlari mavjud bo'lganligi sababli, faqat asboblarga tayanish ham etarli emas. Menimcha, siz ulardan birortasisiz qilolmaysiz va kelajakda bu o'zgarmaydi deb o'ylayman.

Veridise Vanguard vositasining asosiy xususiyatlari qanday va u aqlli kontrakt xavfsizligini qanday yaxshilaydi?

Vanguard bizning asosiy vositalarimizdan biridir. U statik tahlil uchun ishlatiladi. Statik tahlilda siz mo'ljallangan xatti-harakatning ma'lum bir spetsifikatsiyasini taqdim etasiz va keyin bu qanoatlantiriladimi yoki yo'qligini tekshirasiz - kodni ishga tushirmasdan ma'lum xususiyatlar saqlanib qoladimi. Bu dinamik emas; siz kodni bajarmaysiz, lekin zaifliklarga olib kelishi mumkin bo'lgan muayyan naqshlar mavjudligini statik ravishda baholashga harakat qilasiz. 

Vanguard ko'plab lazzatlarda keladi. Bizda aqlli kontrakt xavfsizligini yaxshilash uchun juda yaxshi bo'lgan uning qismlari va zk ilovalariga qaratilgan qismlar mavjud. 

Aqlli kontraktlar va ZK sxemalarida duch kelgan zaifliklar haqida batafsilroq ma'lumot bera olasizmi?

Men ko'proq ishlayotgan ZK sxemalarida eng ko'p uchraydigan zaifliklardan biri cheklangan sxemalar bo'ladi. ZK ilovasida sizning kod bazangiz ikki qismdan iborat: dasturning o'zi (oddiy ijro) va cheklovlar. Cheklovlar dastur bajarilishining xatti-harakatlarini birma-bir tarzda aks ettirishini talab qilasiz. 

a ko'ra oxirgi qog'oz, ZK davrlaridagi barcha zaifliklarning taxminan 95% ga kam chegaralangan sxemalar sabab bo'ladi. Bizda PICUS kabi asboblar mavjud bo'lib, ular ayniqsa cheklangan o'sha davrlarni aniqlashga qaratilgan.

Veridise audit paytida aniqlangan zaifliklarni oshkor qilish jarayoniga qanday yondashadi?

Albatta, biz zaifliklarni hech qachon ochiq qilmaymiz, chunki kimdir xato tuzatilgunga qadar undan foydalanishi mumkin, ayniqsa kodlar bazasi allaqachon ishlatilayotgan bo‘lsa. Audit jarayonining oxirida biz mijozga biz aniqlagan barcha xato va zaifliklar ro'yxatini taqdim etadigan audit hisobotini taqdim etamiz. 

Biz mijozga ularni tuzatishi uchun biroz vaqt beramiz va keyin ular bizga o'z tuzatishlarini yuborishadi, biz ularni haqiqatan ham biz ko'targan barcha muammolarni hal qilish yoki yo'qligini tekshirish uchun ko'rib chiqamiz. Bularning barchasini yakuniy hisobotda jamladik. Hisobot mijozning mulki hisoblanadi. Agar mijoz rozi bo‘lmasa, biz buni hammaga oshkor etmaymiz.

Agar siz Veridise veb-sahifasiga kirsangiz, mijozlar ommaga e'lon qilishga rozi bo'lgan barcha audit hisobotlari ro'yxatini ko'rishingiz mumkin. Aksariyat hollarda ular buni hammaga ochiq qilishimizga rozi. Aslida, ular buni kod tekshirilganligi va auditdan keyin bo'lishi mumkin bo'lgan xatolardan xoli bo'lganligi to'g'risidagi guvohnoma sifatida xohlashadi. 

Veridise o'zining audit jarayonlarini turli blokcheyn platformalari va tillari uchun qanday moslashtiradi?

Ma'lumki, bu soha juda jonli va har kuni yangi zanjirlar, yangi tillar va ZK sxemalarini ifodalashning yangi usullari mavjud. Biz buni turli muhitlar yoki tillarga asoslangan audit uchun kiruvchi loyihalar va so'rovlar bilan ham ko'ramiz. Biz oqim bilan boramiz, so'rovlar qayerdan kelganini ko'ramiz va yaqin kelajakda soha qaysi yo'nalishda rivojlanishini his qilamiz. 

Biz jamoamiz ehtiyojlarini qondirish uchun vositalarimizni moslashtirishga harakat qilamiz. Bu kelajakda ham davom etadi, bu erda biz soha qanday rivojlanishiga qarab narsalarni dinamik ravishda o'zgartiramiz.

Kelajakda amalga oshirishni rejalashtirayotgan vositalar haqida batafsil ma'lumot bera olasizmi? 

Asboblar yaqin kelajakda o'zgaradigan yo'nalishlardan biri shundaki, biz xavfsizlikni xizmat sifatida taklif qilamiz. Bu bizning SaaS platformamiz deb ataladi, bu erda biz ishlab chiqish jarayonida odamlar foydalanishi mumkin bo'lgan vositalarni yaratamiz. 

Avval butun loyihani yakunlab, keyin audit o‘tkazish o‘rniga, biz o‘z vositalarimizni ishlab chiqayotgan kod xavfsiz va zaifliklar yo‘qligiga ishonch hosil qilish uchun ishlab chiquvchilar ulardan foydalanishi mumkin bo‘lgan sozlashda foydali qilamiz. SaaS yaqin kelajakda mavjud bo'lishi kerak.

Masʼuliyatdan voz kechish

Bunga javoban Ishonch loyihasi bo'yicha ko'rsatmalar, iltimos, ushbu sahifada taqdim etilgan ma'lumotlar yuridik, soliq, investitsiya, moliyaviy yoki boshqa har qanday maslahat shakli sifatida talqin qilinmasligi va talqin qilinmasligini unutmang. Faqat yo'qotishingiz mumkin bo'lgan narsaga investitsiya qilish va agar shubhangiz bo'lsa, mustaqil moliyaviy maslahat olish muhimdir. Qo'shimcha ma'lumot olish uchun biz shartlar va emitent yoki reklama beruvchi tomonidan taqdim etilgan yordam va qo'llab-quvvatlash sahifalariga murojaat qilishni tavsiya qilamiz. MetaversePost to'g'ri, xolis hisobot berish majburiyatini oladi, lekin bozor sharoitlari ogohlantirilmasdan o'zgarishi mumkin.

Muallif haqida

Viktoriya turli xil texnologiya mavzularida yozuvchi Web3.0, AI va kriptovalyutalar. Uning katta tajribasi unga kengroq auditoriya uchun mazmunli maqolalar yozish imkonini beradi.

Boshqa maqolalar
Viktoriya d'Este
Viktoriya d'Este

Viktoriya turli xil texnologiya mavzularida yozuvchi Web3.0, AI va kriptovalyutalar. Uning katta tajribasi unga kengroq auditoriya uchun mazmunli maqolalar yozish imkonini beradi.

Hot Stories
Bizning xabarnomamizga qo'shiling.
So'nggi yangiliklar

Ripple'dan Katta Yashil DAOga: Kriptovalyuta loyihalari xayriyaga qanday hissa qo'shadi

Raqamli valyutalarning potentsialidan xayriya maqsadlarida foydalanish tashabbuslarini ko'rib chiqaylik.

Ko'proq ma'lumot oling

AlphaFold 3, Med-Gemini va boshqalar: AI 2024 yilda sog'liqni saqlashni o'zgartiradi.

AI sog'liqni saqlash sohasida turli yo'llar bilan namoyon bo'ladi, yangi genetik korrelyatsiyalarni ochishdan robotli jarrohlik tizimlarini kuchaytirishgacha ...

Ko'proq ma'lumot oling
Ko'proq o'qing
Ko'proq o'qing
Eclipse tETH-ni qayta tiklash mukofotlarini soddalashtirilgan holda taqdim etadi
Yangiliklar hisoboti texnologiya
Eclipse tETH-ni qayta tiklash mukofotlarini soddalashtirilgan holda taqdim etadi
Sentyabr 9, 2024
COTI AI chatboti jonli efirga uzatilib, dasturchilarga tezkor yordam beradi
Yangiliklar hisoboti texnologiya
COTI AI chatboti jonli efirga uzatilib, dasturchilarga tezkor yordam beradi
Sentyabr 9, 2024
QCP Capital kripto bozorining barqarorlashuvi va kutilayotgan o'zgaruvchanlik sharoitida uzoq muddatli yuksalish kayfiyatini ko'rmoqda
Birja Yangiliklar hisoboti texnologiya
QCP Capital kripto bozorining barqarorlashuvi va kutilayotgan o'zgaruvchanlik sharoitida uzoq muddatli yuksalish kayfiyatini ko'rmoqda
Sentyabr 9, 2024
Orbitt MM nasosning quvvat hajmini oshiradi. Solana asosidagi loyihalar uchun qiziqarli
Yangiliklar hisoboti texnologiya
Orbitt MM nasosning quvvat hajmini oshiradi. Solana asosidagi loyihalar uchun qiziqarli
Sentyabr 9, 2024
CRYPTOMERIA LABS PTE. LTD.