Rekap Perbincangan Akademi OKEx: DCEP – Bagaimana memastikan keselamatan bagi pelabur DeFi?

DeFi, kependekan dari desentralisasi kewangan, telah menjadi kata kunci dalam ruang cryptocurrency sejak tahun 2019. Ketika DeFi berkembang, kami menuju selangkah ke masa depan kewangan. Membuat kerangka global dan lebih telus untuk setiap perkhidmatan kewangan hari ini: simpanan, pinjaman, perdagangan dan banyak lagi.

OKEx Academy telah mengumpulkan Webinar dalam talian dengan beberapa tetamu khas untuk berkongsi pandangan mereka mengenai keselamatan DeFi dan bagaimana pelabur DeFi dapat memastikan bahawa pelaburan mereka selamat.

Artikel ini akan membimbing anda melalui rangkuman perbincangan.

Penceramah Tetamu:

Yu Guo – Pengasas Makmal SECBIT

Dominik Teiml – Ketua Juruaudit Ethereum Certik

Zhengchao Du – Senior Security Engineer di Slowmist

Moderator:

Michael Gui – Perlombongan Tinju

Michael: Keuangan terdesentralisasi berkembang dengan pesat, saat ini kami memiliki lebih dari $ 800 Juta dolar dengan crypto terkunci dalam kontrak DeFi Smart. Oleh kerana kontrak ini terdesentralisasi, pencipta perlu memastikan bahawa kod di sebalik kontrak ini selamat. Kegagalan untuk melakukannya boleh mengakibatkan bencana yang dahsyat – misalnya, kurang dari 2 minggu yang lalu seorang penggodam berjaya “mencuri” $ 25 Juta kripto dari kontrak dForce. Keselamatan dari peretasan sangat penting untuk memastikan pertumbuhan jangka panjang DeFi. Nasib baik hari ini kita mempunyai panel pakar keselamatan.

Bermula dengan petikan kritikal dari DeFi Critic "Saya hanya mengetahui tentang DeFi apabila projek gagal dan kehilangan dana". Apa yang anda fikir adalah risiko keselamatan terbesar untuk kewangan yang terdesentralisasi?

SECBIT: DeFi dibina berdasarkan kod, yang terdiri dari banyak modul, yang dikembangkan oleh pasukan yang berbeza. Kesalahpahaman mengenai modul asas, blok bangunan akan membawa kerugian yang lebih besar. Antara muka setiap modul tidak mudah dijelaskan, ditentukan, atau diformalkan.

Certik: Selain daripada perkara di luar rantai seperti keselamatan kunci, rampasan front-end dan / atau pelayan DNS, OpSec, dan lain-lain. Saya rasa risiko terbesar di rantai adalah kesalahan pelaksanaan (bug Hegic) dan interaksi dengan akaun lain, iaitu : oracle yang boleh dimanipulasi (hack bZx) dan serangan masuk semula (Uniswap) & Lendf.me menggodam)

Slowmist: Kewangan yang terdesentralisasi membawa kami tiga ciri utama: kebolehoperasian, kebolehprogram, dan Komposabiliti. Oleh kerana tiga ciri ini, kami dapat menggabungkan semua jenis kontrak pintar seperti menggabungkan lego block, yang membawa kami banyak produk kewangan dan kemungkinan yang tidak terbatas. Walau bagaimanapun, DeFi adalah sistem yang rumit sehingga risikonya akan diperkuat. Dengan kata lain, untuk sistem kewangan terpusat, senario risiko yang mungkin dapat dikendalikan dengan bekerja pada standard dan membatasi izin akses, sementara untuk DeFi, mana-mana dua kontrak yang memenuhi piawaian perjanjian dapat digabungkan bersama, yang bermaksud banyak senario yang lebih mungkin dan setiap senario baru membawa risiko baru yang berpotensi. Dan yang paling penting, ciri standard boleh menjadi kecacatan dalam keadaan apa pun.

Michael: Bolehkah kita mencapai keselamatan sepenuhnya dengan DeFi?

SECBIT: Ini adalah grail suci. Tidak mungkin mencapai matlamat, baik secara teori dan praktikal. Sebarang keselamatan berdasarkan andaian. Semakin kompleks sistem, semakin banyak andaian keselamatan diandalkan. Tetapi kebolehpercayaan andaian keselamatan ini tidak diketahui. Dalam banyak kes, anggapan keselamatan ini mungkin hilang.

Secara teori, definisi keselamatan agak kabur. Kami mungkin menentukan keselamatan khusus, misalnya, bebas dari limpahan bilangan bulat. Tetapi secara amnya tidak lengkap. Apabila konsep DeFi terus berkembang, makna keselamatan juga berkembang. Kami tidak mahu menentukan konsep keselamatan yang lengkap.

Kewangan memang berisiko. Secara konvensional, keuntungan berasal dari pengambilan risiko. Kini, risiko kewangan bercampur dengan kerumitan komputasi, dan dengan itu risiko gabungan lebih sukar dikawal. Dalam praktiknya, keselamatan sukar dilihat, sukar untuk disahkan. Terdapat masalah keselamatan yang mungkin berlaku dalam tahap yang berbeza, anggapan keselamatan, blockchain, mesin maya dan penyusun, perpustakaan, logik kod, antara muka perkhidmatan. Tiada satu pun yang mudah dicapai tanpa pepijat.

Salah satu ciri DeFi yang menjanjikan adalah kontrak pintar sangat digabungkan, walaupun kontrak pintar dikembangkan oleh pasukan yang berbeza. Tetapi kita telah melihat bug yang terdapat di antara muka — misalnya, ERC777, ERC827, ERC 233. Kekomposisi akan menjadikan sistem lebih terbuka dan dinamik. Banyak pendekatan tradisional mengenai menjadikan sistem statik selamat tidak berfungsi untuk sistem baru, terbuka, dinamik, dan besar.

Certik: Keselamatan adalah masalah pengurangan pulangan. Kami tidak pernah dapat memastikan bahawa sebarang alasan logik adalah sah kerana kami mungkin membuat kesilapan dalam pengesahan itu sendiri, iaitu paradoks logik. Dengan cara yang sama, kita tidak boleh yakin 100% sesuatu yang selamat. Namun, saya sangat optimis kita dapat memperoleh jaminan keselamatan tinggi dengan langkah-langkah yang tepat. Audit yang meluas dan intensif, pengesahan rasmi, karunia bug yang banyak …

Soalan yang lebih menarik ialah adakah skala ini. Bolehkah kita mencari alat yang mengautomasikan keselamatan? Belum ada yang mencapainya; ia masih menjadi persoalan terbuka.

Slowmist: Keselamatan yang lengkap tidak mustahil untuk sebarang produk termasuk DeFi. Kita harus sedar bahawa keselamatan melibatkan tindakan balas, dengan tujuan bahawa penggodam akan menelan belanja lebih banyak daripada faedah yang mungkin dia dapat. Dan keselamatan adalah dinamik, senario baru, teknik baru, dan iterasi produk DeFi boleh menyebabkan masalah keselamatan baru, jadi selamat sekali dan tidak mungkin.

Michael: Dengan bahasa pengaturcaraan baru yang digunakan – Vyper (Ethereum), Haskell (Cardano) – adakah anda fikir ini akan membantu keselamatan blockchain?

SECBIT: Vyper hampir sama dengan keserasian, kebanyakan penambahbaikan. Haskell, sebaliknya, lebih matematik. Tetapi, seperti yang saya katakan, masalah keselamatan terbesar adalah dari tahap logik, bukan tahap bahasa. Serangan baru bukan pada tingkat bahasa semata-mata, dan mereka datang dari keseluruhan sistem blockchain, yang sangat rumit. Penggodam terus mencipta serangan baru yang belum pernah kita lihat sebelumnya. Kerentanan baru sukar dikesan oleh alat yang disertakan dalam penyusun. Kita tidak dapat membayangkan bahawa serangan akan dicegah secara automatik. Kami akan melihat lebih banyak kerentanan yang berakar dari tahap logik, walaupun alat bahasa semakin baik. Kod tersebut mesti diaudit oleh pakar.

Saya menghargai karya dari komuniti bahasa pengaturcaraan, di mana menaip statik menghalang pengaturcara membuat kesalahan bodoh. Sebagai contoh, bahasa yang dicadangkan oleh Facebook, bernama MOVE, sedang berjalan di rantai Libra. Ia meminjam idea dari RUST of "pindah vs salin", "pemilikan dan peminjaman". Sistem jenis statik memastikan bahawa jumlah aset digital tidak berubah, sehingga tidak dapat dilakukan oleh pemaju atau penggodam.

Sebaliknya, kita memerlukan spesifikasi formal atau pengesahan formal untuk memastikannya "betul" sehingga satu tahap. Bukan 100%, tetapi keselamatan maksimum kita hanya bergantung pada matematik. Walau bagaimanapun, alat dan amalan masih dalam perjalanan. Saya memang mencadangkan kerja dari pasukan CertiK.

Certik: Mungkin. Saya rasa kita memandang rendah keselamatan pada fasa awal ekosistem kita. Kami membuat keputusan seni bina yang sangat sukar untuk diubah selepas itu. EVM mempunyai lonjakan dinamik, yang membuat analisis statik sangat membebankan, dan hampir tidak ada faedah sama sekali. Ketahanan sejak 0.5, menurut saya, telah menjadi fokus keselamatan, membalikkan beberapa perkara dengan keputusan reka bentuk bahasa yang buruk.

Vyper lebih baik, tetapi sayangnya, ia tidak siap untuk projek besar dan tidak mempunyai banyak ciri penting.

Saya sebenarnya teruja dengan DeapSEA, bahasa pengaturcaraan bertarget EVM yang cuba mengatasi cabaran yang dikenakan oleh EVM ini dan memungkinkan untuk mengesahkan kontrak pintar Ethereum dengan lebih mudah. Ia sedang dikembangkan oleh Certik dan Yale, dan kami akan mendengar lebih banyak tentangnya tidak lama lagi.

Walaupun dalam jangka masa yang panjang, saya rasa peralihan ke eWASM akan sangat baik untuk keselamatan. Bukan hanya lebih fokus kepada pengguna, tetapi kita juga dapat memanfaatkan ekosistem alat keselamatannya.

Slowmist: Bahasa-bahasa ini mempunyai ciri keselamatan tersendiri. Sebagai contoh, Vyper melakukan banyak pemeriksaan limpahan yang berlaku untuk pengiraan aritmetik, dan bahasa berfungsi seperti Haskell dapat membantu pengesahan formal. Tetapi keselamatan bersifat multidimensi, dan selain daripada ciri keselamatan bahasa pengaturcaraan, keselamatan pengembangan produk dan keselamatan logik perniagaan sama pentingnya dengan bahasa.

Michael: Apakah peretasan akaun yang paling dahsyat yang pernah anda hadapi? Segala pengalaman peribadi yang boleh anda kongsi?

SECBIT: Kunci dicuri. Beberapa ratus ETH dari salah seorang pelanggan kami. Tetapi, lebih banyak kes yang datang kepada kami untuk mendapatkan bantuan hilang. Orang baru lupa kod atau kata laluan mnemonik. Ini adalah satu lagi dilema dalam dunia keselamatan. Bagaimana kita dapat mengingati kata laluan yang selamat? Kata laluan yang lemah senang diingat tetapi dengan entropi rendah. Ia rentan terhadap serangan kekerasan. (mis. Serangan Meja Pelangi); sementara kata laluan yang lebih rawak sangat sukar untuk diingat. Tuliskan ke atas kertas? Kami mungkin melupakan kertas itu pada pagi yang lain.

Certik: Saya bernasib baik kerana tidak ada projek yang pernah saya jalani digodam.

Slowmist: Hari Valentine Ethereum Hitam, dinamakan oleh pasukan kami. Kejadian keselamatan ini pertama kali diperhatikan pada bulan Mac 2018. Penggodam telah mencuri etika dan token lain dari dompet pengguna dengan skrip automatik selama dua tahun sebelum kami pertama kali menjumpainya. Pada masa ini, kira-kira 54864 ETH dengan nilai semasa 10 juta dolar dicuri dari 6679 dompet. Peretasan ini sangat mengagumkan memandangkan pengaruhnya dan jangka masa.

Micahel: Sekiranya ada SATU petua keselamatan untuk penonton kami – Petua yang anda fikirkan akan menjimatkan penonton kami berpotensi beribu-ribu dolar – apa jadinya?

SECBIT: Berlatih mengingat kod mnemonik; Saya tahu ia sukar. Ia sangat sukar. Tetapi, percayalah, itu satu-satunya cara untuk memastikan aset digital anda selamat. Tanyakan kepada penyedia perkhidmatan berapa anggaran yang mereka belanjakan untuk keselamatan dan kawalan risiko, langkah-langkah pencegahan yang telah mereka ambil, dan baca bahan-bahan seperti laporan audit, dokumen reka bentuk sistem di laman web. Saya rasa penyedia yang menjalankan perniagaan secara serius di blockchain harus mempunyai dasar yang tegas mengenai hal itu.

Certik: Baca laporan. Baca laporan audit sebelum menggunakan aplikasi terdesentralisasi. Dari masa ke masa kita melihat kelemahan ditunjukkan semasa audit, tidak pernah diperbetulkan, dan kemudian dieksploitasi. Periksa sama ada laporan terakhir yang dikeluarkan menyebutkan kelemahan kritikal atau ketara.

Slowmist: Untuk aset peribadi, kami mencadangkan melindungi kunci peribadi anda dari Internet.

Untuk cryptocurrency dalam produk DeFi, kami mencadangkan bahawa ketika memilih produk dan platform DeFi, pengguna harus memberi perhatian kepada mekanisme kawalan risiko dan sokongan laporan audit keselamatan dari pasukan keselamatan pihak ketiga yang luar biasa. Selain itu, keselamatan adalah dinamik sehingga setiap orang harus melihat latar belakang keselamatan produk dan platform defi dari sekarang dan kemudian.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map