OKEx Academy Talks Recap: DCEP – Kuinka taata turvallisuus DeFi-sijoittajille?

DeFi, joka on lyhenne hajautetusta rahoituksesta, oli tullut muotisanaksi kryptovaluuttatiloissa vuodesta 2019 lähtien. Kun DeFi kasvaa, olemme menossa askeleen eteenpäin rahoituksen tulevaisuuteen. Globaalin ja avoimemman kehyksen luominen jokaiselle rahoituspalvelulle tänään: säästöt, lainat, kaupankäynti ja paljon muuta.

OKEx Academy oli koonnut online-webinaarin muutamien erityisvieraiden kanssa jakamaan näkemyksensä DeFi-tietoturvasta ja siitä, kuinka DeFi-sijoittajat voivat varmistaa, että heidän sijoituksensa ovat turvallisia.

Tämä artikkeli opastaa keskustelun yhteenvedossa.

Vieraspuhujat:

Yu Guo – SECBIT Labsin perustaja

Dominik Teiml – Certikin johtava Ethereumin tilintarkastaja

Zhengchao Du – vanhempi turvallisuusinsinööri Slowmistissa

Moderaattori:

Michael Gui – nyrkkeily

Michael: Hajautettu rahoitus kasvaa nopeasti, tällä hetkellä meillä on yli 800 miljoonaa dollaria salausta, joka on lukittu DeFi Smart -sopimuksiin. Koska nämä sopimukset ovat hajautettuja, tekijöiden on varmistettava, että sopimusten taustalla oleva koodi on turvallinen. Tämän tekemättä jättäminen voi johtaa katastrofaalisiin hakkeroihin – esimerkiksi alle 2 viikkoa sitten hakkeri onnistui “varastamaan” 25 miljoonan dollarin arvosta salausta dForce-sopimuksista. Turvallisuus hakkeroinnilta on niin ensiarvoisen tärkeää DeFin pitkän aikavälin kasvun varmistamiseksi. Onneksi tänään meillä on turvallisuusasiantuntijoiden paneeli.

Aloitetaan kriittisellä lainauksella DeFi Criticiltä "Opin DeFi: stä vain, kun projekti epäonnistuu ja menettää varoja". Mitkä ovat mielestänne suurimmat hajautetun rahoituksen turvallisuusriskit??

SECBIT: DeFi on rakennettu koodille, joka koostuu monista moduuleista, jotka eri tiimit ovat kehittäneet. Perusmoduulien, rakennuspalikoiden väärinkäsitys toisi suurempia tappioita. Kunkin moduulin käyttöliittymää ei ole helppo selventää, määrittää tai muodostaa.

Certik: Lukuun ottamatta ketjun ulkopuolisia asioita, kuten avainten suojaus, käyttöliittymien ja / tai DNS-palvelinten kaappaaminen, OpSec jne. Mielestäni suurimmat ketjuriskit ovat suoritusvirheitä (Hegic-vika) ja vuorovaikutusta muiden tilien kanssa, nimittäin : manipuloitavat oraakelit (bZx hakata) ja uudelleenkäynnistyshyökkäykset (Uniswap & Lendf.me hakata)

Slowmist: Hajautettu rahoitus tuo meille kolme pääominaisuutta: yhteentoimivuus, ohjelmoitavuus ja yhdistettävyys. Näiden kolmen ominaisuuden ansiosta voimme yhdistää kaikenlaisia ​​älykkäitä sopimuksia, kuten lego-lohkojen yhdistäminen, mikä tuo meille runsaasti rahoitustuotteita ja rajattomat mahdollisuudet. DeFi on kuitenkin niin monimutkainen järjestelmä, että riskit kasvavat. Toisin sanoen keskitetyn finanssijärjestelmän mahdollisia riskiskenaarioita voidaan hallita työskentelemällä standardien parissa ja rajoittamalla käyttöoikeuksia, kun taas DeFi: lle mikä tahansa kahdesta sopimuksen normien mukaisesta sopimuksesta voidaan yhdistää, mikä tarkoittaa monia lisää mahdollisia skenaarioita ja jokainen uusi skenaario tuo uusia mahdollisia riskejä. Ja mikä tärkeintä, standardin piirteestä voi tulla vika kaikissa olosuhteissa.

Michael: Voimmeko koskaan saavuttaa täydellisen turvallisuuden DeFillä?


SECBIT: Se on pyhä graali. Tavoitteen saavuttaminen on mahdotonta sekä teoreettisesti että käytännössä. Kaikki arvopaperit perustuvat oletuksiin. Mitä monimutkaisempi järjestelmä, sitä enemmän turvaoletuksiin vedotaan. Näiden turvallisuusoletusten luotettavuutta ei kuitenkaan tunneta. Monissa tapauksissa nämä turvallisuusoletukset voivat menettää.

Teoriassa turvallisuuden määritelmä on melko epämääräinen. Voimme määritellä tietyn turvallisuuden, esimerkiksi ilman kokonaislukujen ylivuotoja. Mutta se on yleensä epätäydellinen. DeFi-konseptin kasvaessa myös turvallisuuden merkitys kasvaa. Emme osaa määritellä turvallisuuden täydellistä käsitettä.

Rahoitus on luonteeltaan riskialtista. Tavallisesti voitot saadaan riskinottamisesta. Nyt taloudelliset riskit sekoittuvat laskennalliseen monimutkaisuuteen, joten yhdistettyjä riskejä on vaikea hallita. Käytännössä turvallisuutta on vaikea havaita, vaikea tarkistaa. Eri tasoilla voi esiintyä turvallisuuskysymyksiä, tietoturvaoletus, lohkoketjut, virtuaalikone ja kääntäjät, kirjastot, koodin logiikka, palvelujen käyttöliittymä. Kumpikaan niistä ei ole helppo saavuttaa virheettömästi.

Yksi DeFi: n lupaavista ominaisuuksista on, että älykkäät sopimukset ovat erittäin helposti yhdisteltävissä, vaikka älykkäät sopimukset olisivatkin kehittäneet eri tiimit. Mutta olemme havainneet rajapinnoista löytyneitä virheitä – esimerkiksi ERC777, ERC827, ERC 233. Yhteensopivuus tekee järjestelmästä avoimemman ja dynaamisemman. Monet perinteiset lähestymistavat koskevat staattisen järjestelmän turvallisuuden varmistamista, eivät toimi uudessa, avoimessa, dynaamisessa ja valtavassa järjestelmässä.

Certik: Turvallisuus on vähentyneen tuoton asia. Emme voi koskaan olla varmoja siitä, että mikään looginen päättely on pätevä, koska voimme tehdä virheen itse todentamisessa, logiikan paradoksissa. Samalla tavalla emme voi koskaan olla 100% varmoja, että jokin on turvallista. Olen kuitenkin hyvin optimistinen, että voimme saavuttaa korkean turvallisuuden takuut asianmukaisilla toimenpiteillä. Laajat ja intensiiviset auditoinnit, muodollinen todentaminen, runsas vikapalkkio…

Mielenkiintoisempi kysymys on, ovatko nämä asteikot. Voimmeko löytää työkalun, joka automatisoi tietoturvan? Kukaan ei ole vielä saavuttanut sitä; se on edelleen avoin kysymys.

Slowmist: Täydellinen turvallisuus on mahdotonta missään tuotteessa, mukaan lukien DeFi. Meidän on ymmärrettävä, että turvallisuuteen liittyy vastatoimia, jotta hakkeri maksaisi paljon enemmän kuin mahdollisesti saamansa edut. Ja turvallisuus on dynaamista, uudet skenaariot, uudet tekniikat ja DeFi-tuotteiden toistaminen voi aiheuttaa uusia turvallisuusongelmia, joten ole turvallinen lopullisesti ei ole mahdollista.

Michael: Kun uudet ohjelmointikielet – Vyper (Ethereum), Haskell (Cardano) – otetaan käyttöön, luuletko tämä auttavan blockchain-tietoturvaa?

SECBIT: Vyper muistuttaa melkein vakautta, suurin osa parannuksista. Haskell on toisaalta matemaattisempi. Mutta kuten sanoin, suurimmat turvallisuuskysymykset ovat logiikkatasolta, ei kielitasolta. Uudet hyökkäykset eivät ole puhtaasti kielitasolla, ja ne tulivat koko lohkoketjujärjestelmästä, mikä on hyvin monimutkaista. Hakkerit keksivät jatkuvasti uusia hyökkäyksiä, joita emme ole koskaan ennen nähneet. Uusia haavoittuvuuksia on vaikea havaita kääntäjiin upotettujen työkalujen avulla. Emme voi kuvitella, että hyökkäykset estettäisiin automaattisesti. Näemme lisää haavoittuvuuksia, jotka juurtuvat logiikkatasolta, vaikka kielityökalut parantuisivatkin. Asiantuntijoiden on tarkastettava koodi.

Arvostan ohjelmointikieliyhteisön työtä, jossa staattinen kirjoittaminen estää ohjelmoijia tekemästä typeriä virheitä. Esimerkiksi Facebookin ehdottama kieli nimeltä MOVE on käynnissä Vaaka-ketjussa. Se lainaa idean RUST of "siirto vs. kopiointi", "omistus ja lainanotto". Staattisen tyyppinen järjestelmä varmistaa, että digitaalisen omaisuuden kokonaismäärä ei muutu, niin että kehittäjät tai hakkerit eivät voi.

Toisaalta tarvitsemme muodolliset eritelmät tai muodolliset tarkistukset "oikeellisuus" jossain määrin. Ei 100%, mutta suurin turvallisuus riippuu vain matematiikasta. Työkalut ja käytännöt ovat kuitenkin vielä matkalla. Ehdotan CertiK-tiimin työtä.

Certik: Luultavasti. Luulen, että aliarvioimme turvallisuuden ekosysteemimme alkuvaiheessa. Teimme arkkitehtonisia päätöksiä, joita on erittäin vaikea muuttaa jälkikäteen. EVM: llä on dynaamisia hyppyjä, jotka tekevät staattisista analyyseistä erittäin hankalia, ja niistä on tuskin mitään hyötyä. Vakaus vuodesta 0,5 lähtien on mielestäni tullut turvallisuuteen keskittynyt, mikä kääntää osan siitä, mikä oli takanäkymän huonojen kielisuunnittelupäätösten kanssa.

Vyper on parempi, mutta valitettavasti se ei ole tuotantovalmis suurille projekteille, eikä sillä ole paljon tärkeitä ominaisuuksia.

Olen todella innoissani DeapSEA: sta, EVM: ään kohdennetusta ohjelmointikielestä, joka yrittää voittaa nämä EVM: n asettamat haasteet ja mahdollistaa Ethereumin älykkäiden sopimusten muodollisen helpomman vahvistamisen. Sen ovat kehittäneet Certik ja Yale, ja kuulemme siitä pian.

Vaikka se on pidemmällä horisontissa, uskon, että siirtyminen eWASM: iin on suuri turvallisuuden kannalta. Paitsi että wasm on paljon sekunnoituneempi, voimme myös hyödyntää sen turvallisuustyökalujen ekosysteemiä.

Slowmist: Näillä kielillä on omat turvaominaisuutensa. Esimerkiksi Vyper suorittaa paljon ylivuototarkistuksia aritmeettisiin laskelmiin, ja toiminnalliset kielet, kuten Haskell, voivat auttaa muodollisessa todentamisessa. Turvallisuus on kuitenkin moniulotteista, ja ohjelmointikielen suojattujen ominaisuuksien lisäksi tuotekehitysturva ja liiketoimintalogiikan turvallisuus ovat yhtä tärkeitä kuin kielet.

Michael: Mikä on tuhoisin tilin hakkerointi, jonka olet koskaan tavannut? Kaikki henkilökohtaiset kokemukset, joita voit jakaa?

SECBIT: Avain varastettu. Muutama sata ETH yhdeltä asiakkaaltamme. Mutta useampia tapauksia, jotka tulivat meille apua varten, menetettiin avaimella. Ihmiset vain unohtivat muistikoodin tai salasanan. Se on jälleen yksi ongelma turvallisuusmaailmassa. Kuinka voisimme muistaa turvallisen salasanan? Heikko salasana on helppo muistaa, mutta alhainen entropia. Se on altis raakoja väkivaltaisia ​​hyökkäyksiä vastaan. (esim. Rainbow Table Attack); kun taas satunnaisempaa salasanaa on tappavan vaikea muistaa. Kirjoitetaanko se paperille? Saatamme unohtaa paperin toisena aamuna.

Certik: Olen onnekas, että yhtään hankkeista, joissa olen koskaan työskennellyt, ei hakkeroitu.

Slowmist: Ethereumin musta ystävänpäivä, tiimimme nimeämä. Tämä tietoturvatapahtuma havaittiin ensimmäisen kerran maaliskuussa 2018. Hakkeri oli varastanut etiikkoja ja muita tunnuksia käyttäjän lompakosta automaattisella komentosarjalla kaksi vuotta, ennen kuin löysimme sen. Tähän mennessä 6679 lompakosta on varastettu noin 54864 ETH, jonka nykyarvo on 10 miljoonaa dollaria. Tämä hakkerointi on erittäin vaikuttava, kun otetaan huomioon sen vaikutus ja kesto.

Micahel: Jos katsojillemme olisi YKSI turvallisuusvinkki – Vinkki, jonka uskot säästävän katsojillemme mahdollisesti tuhansia dollareita – mitä se olisi?

SECBIT: Harjoittele muistamaan muistikoodi; Tiedän, että se on vaikeaa. Se on erittäin vaikeaa. Mutta luota minuun, se on ainoa tapa pitää digitaaliset omaisuutesi turvassa. Kysy palveluntarjoajilta, kuinka paljon budjettia he ovat käyttäneet turvallisuuteen ja riskienhallintaan, mitä vastatoimia he ovat toteuttaneet, ja lue materiaalit, kuten tarkastuskertomus, järjestelmän suunnitteluasiakirjat verkkosivustolla. Uskon, että palveluntarjoajilla, jotka hoitavat vakavasti yritystä blockchainissa, pitäisi olla tiukat politiikat siihen.

Certik: Lue raportit. Lue tarkastusraportti ennen minkään hajautetun sovelluksen käyttöä. Ajoittain näemme tarkastuksissa havaittuja haavoittuvuuksia, joita ei koskaan korjattu eikä myöhemmin hyödynnetä. Tarkista, mainitaanko viimeksi julkaistussa raportissa kriittisiä tai merkittäviä haavoittuvuuksia.

Slowmist: Henkilökohtaisen omaisuuden osalta suosittelemme yksityisen avaimen suojaamista Internetiltä.

DeFi-tuotteiden kryptovaluuttojen osalta suosittelemme, että valitessaan DeFi-tuotteita ja -alustoja käyttäjän tulisi kiinnittää huomiota sekä riskienhallintamekanismiin että erinomaisen kolmannen osapuolen tietoturvaryhmän turvatarkastusraporttien hyväksymiseen. Lisäksi tietoturva on dynaamista, joten kaikkien tulisi tarkistaa defi-tuotteiden ja -alustojen tietoturva nyt ja sitten.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map