Ανακεφαλαίωση ΟΚΕ για το Academy Academy: DCEP – Πώς να διασφαλιστεί η ασφάλεια για τους επενδυτές DeFi;

Το DeFi, συντομότερο για την αποκεντρωμένη χρηματοδότηση, είχε γίνει λέξη-κλειδί στον χώρο κρυπτογράφησης από το 2019. Καθώς το DeFi μεγαλώνει, προχωράμε ένα βήμα παραπέρα προς το μέλλον της χρηματοδότησης. Δημιουργώντας ένα παγκόσμιο και πιο διαφανές πλαίσιο για κάθε χρηματοοικονομική υπηρεσία σήμερα: αποταμιεύσεις, δάνεια, συναλλαγές και πολλά άλλα.

Το OKEx Academy είχε δημιουργήσει ένα διαδικτυακό σεμινάριο με μερικούς ειδικούς καλεσμένους για να μοιραστούν τις γνώσεις τους σχετικά με την ασφάλεια του DeFi και πώς οι επενδυτές της DeFi μπορούν να διασφαλίσουν ότι οι επενδύσεις τους είναι ασφαλείς.

Αυτό το άρθρο θα σας καθοδηγήσει στην ανακεφαλαίωση της συζήτησης.

Επισκέπτες ομιλητές:

Yu Guo – Ιδρυτής των SECBIT Labs

Dominik Teiml – Επικεφαλής ελεγκτής Ethereum της Certik

Zhengchao Du – Ανώτερος Μηχανικός Ασφάλειας στο Slowmist

Μεσολαβητής:

Michael Gui – Πυγμαχία

Μιχαήλ: Η αποκεντρωμένη χρηματοδότηση αυξάνεται με ταχύ ρυθμό, προς το παρόν έχουμε περισσότερα από 800 εκατομμύρια δολάρια με κρυπτογράφηση κλειδωμένα στα συμβόλαια DeFi Smart. Καθώς αυτά τα συμβόλαια είναι αποκεντρωμένα, οι δημιουργοί πρέπει να διασφαλίσουν ότι ο κώδικας πίσω από αυτές τις συμβάσεις είναι ασφαλής. Εάν δεν το κάνετε μπορεί να οδηγήσει σε καταστροφικές παραβιάσεις – για παράδειγμα, πριν από λιγότερο από 2 εβδομάδες, ένας χάκερ κατάφερε να “κλέψει” κρυπτογράφηση αξίας 25 εκατομμυρίων δολαρίων από συμβόλαια dForce. Η ασφάλεια από hacks είναι τόσο σημαντική για να εξασφαλιστεί η μακροπρόθεσμη ανάπτυξη του DeFi. Ευτυχώς σήμερα έχουμε μια ομάδα εμπειρογνωμόνων ασφαλείας.

Ξεκινώντας με μια κριτική παραπομπή από έναν κριτή DeFi "Μαθαίνω μόνο για το DeFi όταν ένα έργο αποτυγχάνει και χάνει χρήματα". Ποιοι πιστεύετε ότι είναι οι μεγαλύτεροι κίνδυνοι ασφαλείας για την αποκεντρωμένη χρηματοδότηση?

ΤΜΗΜΑ: Το DeFi βασίζεται σε κώδικα, ο οποίος αποτελείται από πολλές ενότητες, οι οποίες αναπτύχθηκαν από διαφορετικές ομάδες. Η παρανόηση των βασικών ενοτήτων, των δομικών μονάδων θα προκαλούσε μεγαλύτερες απώλειες. Η διεπαφή κάθε ενότητας δεν είναι εύκολο να διευκρινιστεί, να καθοριστεί ή να επισημοποιηθεί.

Certik: Εκτός από τα πράγματα εκτός της αλυσίδας, όπως η ασφάλεια των κλειδιών, η παραβίαση των διεπαφών ή / και των διακομιστών DNS, το OpSec κ.λπ. Πιστεύω ότι οι μεγαλύτεροι κίνδυνοι στην αλυσίδα είναι η ανακρίβεια εκτέλεσης (Hegic bug) και η αλληλεπίδραση με άλλους λογαριασμούς, : χειραγωγημένα oracle (bZx hack) και επιθέσεις επανεισόδου (Uniswap) & Lendf.me άμαξα προς μίσθωση)

Slowmist: Η αποκεντρωμένη χρηματοδότηση μας φέρνει τρία βασικά χαρακτηριστικά: διαλειτουργικότητα, προγραμματισμός και συνθεσιμότητα. Λόγω αυτών των τριών χαρακτηριστικών, είμαστε σε θέση να συνδυάσουμε όλα τα είδη έξυπνων συμβάσεων, όπως ο συνδυασμός lego block, το οποίο μας φέρνει άφθονα χρηματοοικονομικά προϊόντα και άπειρες δυνατότητες. Ωστόσο, το DeFi είναι ένα τόσο περίπλοκο σύστημα που οι κίνδυνοι θα ενισχυθούν. Με άλλα λόγια, για το κεντρικό χρηματοοικονομικό σύστημα, τα πιθανά σενάρια κινδύνου μπορούν να ελεγχθούν με την επεξεργασία προτύπων και τον περιορισμό των αδειών πρόσβασης, ενώ για την DeFi, οποιοδήποτε από τα δύο συμβόλαια που πληρούν τα πρότυπα της συμφωνίας μπορούν να συνδυαστούν μαζί, πράγμα που σημαίνει πολλά πιο πιθανά σενάρια και κάθε νέο σενάριο φέρνει πιθανούς νέους κινδύνους. Και το πιο σημαντικό από όλα, ένα χαρακτηριστικό ενός προτύπου μπορεί να γίνει ελάττωμα υπό οποιεσδήποτε συνθήκες.

Μιχαήλ: Μπορούμε ποτέ να επιτύχουμε πλήρη ασφάλεια με το DeFi?


ΤΜΗΜΑ: Είναι ιερό grail. Είναι αδύνατο να επιτευχθεί ο στόχος, τόσο θεωρητικά όσο και πρακτικά. Οποιαδήποτε ασφάλεια βασίζεται σε υποθέσεις. Όσο πιο περίπλοκο είναι το σύστημα, τόσο περισσότερες υποθέσεις ασφαλείας βασίζονται. Ωστόσο, η αξιοπιστία αυτών των υποθέσεων ασφάλειας είναι άγνωστη. Σε πολλές περιπτώσεις, αυτές οι υποθέσεις ασφάλειας ενδέχεται να χαλαρώσουν.

Θεωρητικά, ο ορισμός της ασφάλειας είναι μάλλον ασαφής. Μπορούμε να ορίσουμε συγκεκριμένη ασφάλεια, για παράδειγμα, χωρίς ακέραιες υπερχείλιση. Αλλά είναι γενικά ατελές. Καθώς η έννοια του DeFi συνεχίζει να αυξάνεται, η έννοια της ασφάλειας αυξάνεται επίσης. Δεν θέλουμε να ορίσουμε μια πλήρη έννοια της ασφάλειας.

Η χρηματοδότηση είναι από τη φύση της επικίνδυνη. Συμβατικά, τα κέρδη προέρχονται από την ανάληψη κινδύνων. Τώρα, οι χρηματοοικονομικοί κίνδυνοι αναμιγνύονται με υπολογιστική πολυπλοκότητα, και έτσι οι συνδυασμένοι κίνδυνοι είναι πιο δύσκολο να ελεγχθούν. Στην πράξη, η ασφάλεια είναι δύσκολο να εντοπιστεί, δύσκολο να επαληθευτεί. Υπάρχουν ζητήματα ασφάλειας που ενδέχεται να προκύψουν σε διαφορετικά επίπεδα, υπόθεση ασφαλείας, blockchain, εικονική μηχανή και μεταγλωττιστές, βιβλιοθήκες, η λογική του κώδικα, η διεπαφή των υπηρεσιών. Κανένα από αυτά δεν είναι εύκολο να επιτευχθεί χωρίς σφάλματα.

Ένα από τα πολλά υποσχόμενα χαρακτηριστικά του DeFi είναι ότι τα έξυπνα συμβόλαια είναι εξαιρετικά συνθετικά, ακόμα κι αν τα έξυπνα συμβόλαια αναπτύχθηκαν από διαφορετικές ομάδες. Αλλά έχουμε δει σφάλματα που βρέθηκαν στις διεπαφές – για παράδειγμα, ERC777, ERC827, ERC 233. Η συνθεσιμότητα θα κάνει το σύστημα πιο ανοιχτό και δυναμικό. Πολλές παραδοσιακές προσεγγίσεις είναι να κάνουν το στατικό σύστημα ασφαλές δεν θα λειτουργούσε για το νέο, ανοιχτό, δυναμικό και τεράστιο σύστημα.

Certik: Η ασφάλεια είναι θέμα μείωσης των επιστροφών. Δεν μπορούμε ποτέ να είμαστε σίγουροι ότι κάποιος λογικός συλλογισμός είναι έγκυρος επειδή θα μπορούσαμε να κάνουμε ένα λάθος στην ίδια την επαλήθευση, το παράδοξο της λογικής. Με τον ίδιο τρόπο, δεν μπορούμε ποτέ να είμαστε 100% σίγουροι ότι κάτι είναι ασφαλές. Ωστόσο, είμαι πολύ αισιόδοξος ότι μπορούμε να επιτύχουμε εγγυήσεις υψηλής ασφάλειας με τα κατάλληλα μέτρα. Εκτεταμένοι και εντατικοί έλεγχοι, επίσημη επαλήθευση, γενναιόδωρα bug bounties…

Το πιο ενδιαφέρον ερώτημα είναι αν αυτές οι κλίμακες. Μπορούμε να βρούμε ένα εργαλείο που αυτοματοποιεί την ασφάλεια; Κανείς δεν το έχει επιτύχει ακόμα. είναι ακόμα μια ανοιχτή ερώτηση.

Slowmist: Η πλήρης ασφάλεια είναι αδύνατη για προϊόντα όπως το DeFi. Πρέπει να συνειδητοποιήσουμε ότι η ασφάλεια συνεπάγεται αντίμετρα, για το σκοπό ότι ο χάκερ θα κοστίσει πολύ περισσότερο από τα οφέλη που μπορεί να αποκομίσει. Και η ασφάλεια είναι δυναμική, νέα σενάρια, νέες τεχνικές και η επανάληψη των προϊόντων DeFi θα μπορούσε να προκαλέσει νέα προβλήματα ασφαλείας, επομένως δεν είναι δυνατή η ασφάλεια για πάντα.

Μιχαήλ: Με τις νέες γλώσσες προγραμματισμού που υιοθετήθηκαν – Vyper (Ethereum), Haskell (Cardano) – νομίζετε ότι αυτό θα βοηθήσει στην ασφάλεια blockchain?

ΤΜΗΜΑ: Το Vyper μοιάζει πολύ με τη σταθερότητα, τις περισσότερες από τις βελτιώσεις. Ο Haskell, από την άλλη πλευρά, είναι πιο μαθηματικός. Όμως, όπως είπα, τα μεγαλύτερα ζητήματα ασφάλειας είναι από λογικό επίπεδο και όχι από επίπεδο γλώσσας. Οι νέες επιθέσεις δεν είναι καθαρά σε επίπεδο γλώσσας και προέρχονται από ολόκληρο το σύστημα blockchain, το οποίο είναι πολύ περίπλοκο. Οι χάκερ συνεχίζουν να επινοούν νέες επιθέσεις που δεν έχουμε ξαναδεί. Οι νέες ευπάθειες είναι δύσκολο να εντοπιστούν με εργαλεία ενσωματωμένα σε μεταγλωττιστές. Δεν μπορούμε να φανταστούμε ότι οι επιθέσεις θα προληφθούν αυτόματα. Πρόκειται να δούμε περισσότερες ευπάθειες ριζωμένες από το λογικό επίπεδο, ακόμη και αν τα γλωσσικά εργαλεία βελτιώνονται. Ο κωδικός πρέπει να ελεγχθεί από ειδικούς.

Εκτιμώ το έργο της κοινότητας γλωσσών προγραμματισμού, όπου η στατική πληκτρολόγηση εμποδίζει τους προγραμματιστές να κάνουν ανόητα λάθη. Για παράδειγμα, η γλώσσα που προτείνεται από το Facebook, με το όνομα MOVE, εκτελείται στην αλυσίδα Libra. Δανείζεται την ιδέα από το RUST του "μετακίνηση έναντι αντιγραφής", "ιδιοκτησία και δανεισμός". Το σύστημα στατικού τύπου διασφαλίζει ότι το συνολικό ποσό των ψηφιακών περιουσιακών στοιχείων είναι αμετάβλητο, έτσι ώστε ούτε οι προγραμματιστές ούτε οι χάκερ.

Από την άλλη πλευρά, χρειαζόμαστε επίσημες προδιαγραφές ή επίσημες επαληθεύσεις για να διασφαλίσουμε το "ορθότητα" σε κάποιο βαθμό. Όχι 100%, αλλά η μέγιστη ασφάλεια εξαρτάται μόνο από τα μαθηματικά. Ωστόσο, τα εργαλεία και οι πρακτικές βρίσκονται ακόμη στο δρόμο. Προτείνω τη δουλειά της ομάδας CertiK.

Certik: Πιθανώς. Νομίζω ότι υποτιμήσαμε την ασφάλεια στις πρώτες φάσεις του οικοσυστήματος μας. Λάβαμε αρχιτεκτονικές αποφάσεις που είναι εξαιρετικά δύσκολο να αλλάξουν μετά. Το EVM έχει δυναμικά άλματα, τα οποία καθιστούν οποιαδήποτε στατική ανάλυση εξαιρετικά δυσκίνητη, και σχεδόν καθόλου οφέλη. Η σταθερότητα από το 0,5, κατά τη γνώμη μου, έχει επικεντρωθεί στην ασφάλεια, αντιστρέφοντας μερικά από αυτά που είχαν με αποφάσεις σχεδιασμού κακής γλώσσας οπίσθιας όρασης.

Το Vyper είναι καλύτερο, αλλά δυστυχώς, δεν είναι έτοιμο για παραγωγή για μεγάλα έργα και δεν διαθέτει πολλά σημαντικά χαρακτηριστικά.

Είμαι πραγματικά ενθουσιασμένος για το DeapSEA, μια γλώσσα προγραμματισμού με στόχους EVM που προσπαθεί να ξεπεράσει αυτές τις προκλήσεις που επιβάλλει η EVM και επιτρέπει την ευκολότερη επίσημη επαλήθευση των έξυπνων συμβάσεων Ethereum. Αναπτύσσεται από τους Certik και Yale και θα το ακούσουμε σύντομα.

Παρόλο που βρίσκεται σε μεγαλύτερο χρονικό ορίζοντα, νομίζω ότι η μετάβαση στο eWASM θα είναι μεγάλη για την ασφάλεια. Όχι μόνο είναι πολύ πιο επικεντρωμένο σε δευτερόλεπτα, αλλά θα είμαστε επίσης σε θέση να αξιοποιήσουμε το οικοσύστημα των εργαλείων ασφαλείας.

Slowmist: Αυτές οι γλώσσες έχουν τα δικά τους χαρακτηριστικά ασφαλείας. Για παράδειγμα, το Vyper εκτελεί πολλούς ελέγχους υπερχείλισης που ισχύουν για αριθμητικούς υπολογισμούς και λειτουργικές γλώσσες όπως το Haskell μπορούν να βοηθήσουν στην επίσημη επαλήθευση. Αλλά η ασφάλεια είναι πολυδιάστατη, και εκτός από τις ασφαλείς λειτουργίες της γλώσσας προγραμματισμού, η ασφάλεια ανάπτυξης προϊόντων και η ασφάλεια λογικής των επιχειρήσεων είναι εξίσου σημαντικά με τις γλώσσες.

Michael: Ποιο είναι το πιο καταστροφικό hack λογαριασμού που έχετε αντιμετωπίσει ποτέ; Οποιαδήποτε προσωπική εμπειρία που μπορείτε να μοιραστείτε?

ΤΜΗΜΑ: Κλειδί κλειδιού. Μερικές εκατοντάδες ETH από έναν από τους πελάτες μας. Όμως, περισσότερες περιπτώσεις που έφταναν προς εμάς για βοήθεια χάθηκαν με το κλειδί. Οι άνθρωποι μόλις ξεχάσουν τον μνημονικό κωδικό ή τον κωδικό πρόσβασης. Είναι ένα ακόμη δίλημμα στον κόσμο της ασφάλειας. Πώς μπορούμε να θυμόμαστε έναν ασφαλή κωδικό πρόσβασης; Ένας αδύναμος κωδικός πρόσβασης είναι εύκολο να θυμηθεί, αλλά με χαμηλή εντροπία. Είναι ευάλωτο σε βίαιες επιθέσεις. (π.χ. Rainbow Table Attack); ενώ ένας πιο τυχαίος κωδικός πρόσβασης είναι πολύ δύσκολο να θυμηθούμε. Γράψτε σε χαρτί; Μπορεί να ξεχάσουμε το χαρτί το άλλο πρωί.

Certik: Είμαι τυχερός που κανένα από τα έργα που έχω εργαστεί ποτέ δεν παραβιάστηκε.

Slowmist: Η Ημέρα του Μαύρου Αγίου Βαλεντίνου Ethereum, που ονομάστηκε από την ομάδα μας. Αυτό το περιστατικό ασφαλείας παρατηρήθηκε για πρώτη φορά τον Μάρτιο του 2018. Ο εισβολέας είχε κλέψει τα eths και άλλα διακριτικά από το πορτοφόλι του χρήστη με το αυτόματο σενάριο για δύο χρόνια πριν το βρήκαμε. Μέχρι τώρα, περίπου 54864 ETH με την τρέχουσα αξία των 10 εκατομμυρίων δολαρίων είχαν κλαπεί από 6679 πορτοφόλια. Αυτό το hack είναι πολύ εντυπωσιακό λαμβάνοντας υπόψη την επιρροή του και το χρόνο της διάρκειας.

Micahel: Εάν υπήρχε ΜΙΑ συμβουλή ασφαλείας για τους θεατές μας – Η συμβουλή που πιστεύετε ότι θα σώσει τους θεατές μας δυνητικά χιλιάδες δολάρια – ποια θα ήταν?

ΤΜΗΜΑ: Πρακτική για να θυμάστε τον μνημονικό κώδικα. Ξέρω ότι είναι δύσκολο. Είναι εξαιρετικά δύσκολο. Αλλά, πιστέψτε με, αυτός είναι ο μόνος τρόπος για να διατηρήσετε τα ψηφιακά σας στοιχεία ασφαλή. Ρωτήστε τους παρόχους υπηρεσιών πόσος προϋπολογισμός έχουν ξοδέψει για την ασφάλεια και τον έλεγχο των κινδύνων, ποια αντίμετρα έχουν λάβει και διαβάστε το υλικό όπως έκθεση ελέγχου, έγγραφα σχεδιασμού συστήματος στον ιστότοπο. Πιστεύω ότι οι πάροχοι που διαχειρίζονται σοβαρά μια επιχείρηση στο blockchain θα πρέπει να έχουν αυστηρές πολιτικές για αυτό.

Certik: Διαβάστε αναφορές. Διαβάστε μια έκθεση ελέγχου πριν χρησιμοποιήσετε οποιαδήποτε αποκεντρωμένη εφαρμογή. Κατά καιρούς βλέπουμε τα τρωτά σημεία να επισημαίνονται κατά τους ελέγχους, να μην διορθώνονται ποτέ και να αξιοποιούνται αργότερα. Ελέγξτε εάν η τελευταία έκθεση που εκδόθηκε αναφέρει τυχόν κρίσιμα ή σημαντικά ευπάθειες.

Slowmist: Για προσωπικά στοιχεία, προτείνουμε να προστατεύσετε το ιδιωτικό σας κλειδί από το Διαδίκτυο.

Για κρυπτονομίσματα σε προϊόντα DeFi, προτείνουμε ότι όταν επιλέγει τα προϊόντα και τις πλατφόρμες DeFi, ο χρήστης θα πρέπει να προσέχει τόσο τον μηχανισμό ελέγχου κινδύνων όσο και την έγκριση αναφορών ελέγχων ασφαλείας από μια εξαιρετική ομάδα ασφαλείας τρίτων. Εκτός αυτού, η ασφάλεια είναι δυναμική, οπότε όλοι πρέπει να ελέγχουν το υπόβαθρο ασφάλειας των προϊόντων και των πλατφορμών defi από καιρού εις καιρόν.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map