OKEx akadēmijas sarunu kopsavilkums: DCEP – kā nodrošināt drošību DeFi investoriem?

DeFi, kas ir saīsinājums no decentralizētās finanses, kopš 2019. gada bija kļuvis par vārdu kriptonauda telpā. Pieaugot DeFi, mēs ejam soli tālāk uz finanšu nākotni. Izveidot globālu un pārredzamāku sistēmu visiem finanšu pakalpojumiem šodien: uzkrājumiem, aizdevumiem, tirdzniecībai un citam.

OKEx akadēmija bija izveidojusi tiešsaistes tīmekļa semināru ar dažiem īpašiem viesiem, lai dalītos ieskatos par DeFi drošību un to, kā DeFi investori var nodrošināt viņu ieguldījumu drošību.

Šis raksts palīdzēs jums iepazīties ar diskusijas kopsavilkumu.

Vieslektori:

Ju Guo – SECBIT Labs dibinātājs

Dominiks Teimls – Certik vadošais Ethereum revidents

Žengčao Du – vecākais drošības inženieris uzņēmumā Slowmist

Moderators:

Maikls Gui – Boxmining

Maikls: Decentralizētās finanses aug strauji, pašlaik mums ir vairāk nekā 800 miljoni ASV dolāru, bet kriptogrāfija ir bloķēta DeFi Smart līgumos. Tā kā šie līgumi ir decentralizēti, veidotājiem ir jānodrošina, lai šo līgumu kods būtu drošs. Ja tas netiks izdarīts, tas var izraisīt katastrofālus uzlaušanas gadījumus – piemēram, mazāk nekā pirms 2 nedēļām hakeriem izdevās no dForce līgumiem “nozagt” 25 miljonu dolāru vērtu kriptogrāfiju. Drošība pret hacks ir tik svarīga, lai nodrošinātu DeFi izaugsmi ilgtermiņā. Par laimi šodien mums ir drošības ekspertu grupa.

Sākot ar kritisku citātu no DeFi Critic "Es uzzinu par DeFi tikai tad, ja projekts neizdodas un zaudē līdzekļus". Kas, jūsuprāt, ir vislielākie drošības riski decentralizētai finansēšanai?

SECBIT: DeFi ir veidots uz koda, kas sastāv no daudziem moduļiem, kurus izstrādājušas dažādas komandas. Pārpratums par pamata moduļiem, būvmateriāliem nesīs lielākus zaudējumus. Katra moduļa saskarni nav viegli precizēt, precizēt vai formalizēt.

Certik: Papildus neķēdes lietām, piemēram, atslēgu drošībai, front-end un / vai DNS serveru nolaupīšanai, OpSec utt. Es domāju, ka vislielākie ķēdes riski ir izpildes nepareizība (Hegic kļūda) un mijiedarbība ar citiem kontiem, proti : manipulējami orākuli (bZx kapāt) un atkārtotas iekļūšanas uzbrukumi (Uniswap & Lendf.me kapāt)

Slowmist: Decentralizētā finansēšana mums sniedz trīs galvenās iezīmes: sadarbspēja, programmējamība un saliekamība. Pateicoties šīm trim funkcijām, mēs varam apvienot visu veidu viedos līgumus, piemēram, kombinējot lego blokus, kas mums sniedz bagātīgus finanšu produktus un bezgalīgas iespējas. Tomēr DeFi ir tik sarežģīta sistēma, ka riski tiks palielināti. Citiem vārdiem sakot, centralizētajai finanšu sistēmai iespējamos riska scenārijus var kontrolēt, strādājot pie standartiem un ierobežojot piekļuves atļaujas, savukārt DeFi jebkuru no diviem līgumiem, kas atbilst līguma standartiem, var apvienot kopā, kas nozīmē daudzus vairāk iespējamo scenāriju, un katrs jauns scenārijs rada potenciālus jaunus riskus. Un vissvarīgākais, ka standarta iezīme jebkurā gadījumā var kļūt par defektu.

Maikls: Vai mēs kādreiz varam sasniegt pilnīgu drošību ar DeFi?


SECBIT: Tas ir svētais grails. Gan teorētiski, gan praktiski nav iespējams sasniegt mērķi. Jebkura nodrošinājuma pamatā ir pieņēmumi. Jo sarežģītāka ir sistēma, jo vairāk paļaujas uz drošības pieņēmumiem. Bet šo drošības pieņēmumu ticamība nav zināma. Daudzos gadījumos šie drošības pieņēmumi var palaist vaļā.

Teorētiski drošības definīcija ir diezgan neskaidra. Mēs varam definēt īpašu drošību, piemēram, bez veselu skaitļu pārpildes. Bet tas parasti ir nepilnīgs. Tā kā DeFi koncepcija turpina pieaugt, pieaug arī drošības nozīme. Mēs nedomājam, kā definēt pilnīgu drošības jēdzienu.

Finanses pēc būtības ir riskantas. Parasti peļņa rodas no riska uzņemšanās. Tagad finanšu riski ir sajaukti ar skaitļošanas sarežģītību, un tādējādi apvienotos riskus ir grūtāk kontrolēt. Praksē drošību ir grūti pamanīt, grūti pārbaudīt. Drošības problēmas var rasties dažādos līmeņos, pieņēmumi par drošību, blokķēdes, virtuālā mašīna un kompilatori, bibliotēkas, koda loģika, pakalpojumu saskarne. Nevienu no tiem nav viegli sasniegt bez kļūdām.

Viena no daudzsološajām DeFi iezīmēm ir tā, ka viedie līgumi ir ļoti saliekami, pat ja viedos līgumus izstrādāja dažādas komandas. Bet mēs esam redzējuši saskarnēs atrastas kļūdas, piemēram, ERC777, ERC827, ERC 233. Kompozitivitāte padarīs sistēmu atvērtāku un dinamiskāku. Daudzas tradicionālās pieejas paredz, ka statiskās sistēmas drošība nedarbojas jaunajai, atvērtai, dinamiskai un milzīgai sistēmai.

Certik: Drošība ir peļņas samazināšanās jautājums. Mēs nekad nevaram būt pārliecināti, ka kāds loģisks pamatojums ir derīgs, jo mēs varētu kļūdīties pašā pārbaudē, loģikas paradoksā. Tādā pašā veidā mēs nekad nevaram būt 100% pārliecināti, ka kaut kas ir drošs. Tomēr esmu ļoti optimistisks, ka ar atbilstošiem pasākumiem mēs varam sasniegt augstas drošības garantijas. Plašas un intensīvas revīzijas, formāla pārbaude, dāsnas kļūdu piemaksas …

Interesantāks jautājums ir, vai šie svari. Vai mēs varam atrast rīku, kas automatizē drošību? To vēl neviens nav sasniedzis; tas joprojām ir atklāts jautājums.

Slowmist: Pilnīga drošība nav iespējama nevienam produktam, ieskaitot DeFi. Mums vajadzētu saprast, ka drošība ietver pretpasākumus, lai hakeris maksātu daudz vairāk nekā ieguvumi, ko viņš varētu gūt. Drošība ir dinamiska, jauni scenāriji, jauni paņēmieni un DeFi produktu atkārtojums var radīt jaunas drošības problēmas, tāpēc esiet drošs vienreiz un uz visiem laikiem..

Maikls: Ar jaunām programmēšanas valodām – Vyper (Ethereum), Haskell (Cardano) – vai jūs domājat, ka tas palīdzēs ar blokķēdes drošību?

SECBIT: Viper ir diezgan līdzīgs stingrībai, lielākā daļa uzlabojumu. Savukārt Haskels ir vairāk matemātisks. Bet, kā jau teicu, lielākie drošības jautājumi ir loģikas, nevis valodas līmenī. Jauni uzbrukumi nav tikai valodas līmenī, un tie nāca no visas blokķēdes sistēmas, kas ir ļoti sarežģīti. Hakeri turpina izgudrot jaunus uzbrukumus, kurus mēs vēl nekad neesam redzējuši. Jauno ievainojamību ir grūti noteikt ar kompilatoros iegultiem rīkiem. Mēs nevaram iedomāties, ka uzbrukumi tiktu novērsti automātiski. Mēs redzēsim vairāk ievainojamību, kas sakņojas loģikas līmenī, pat ja valodas rīki uzlabojas. Kods jāpārbauda ekspertiem.

Es novērtēju darbu no programmēšanas valodas kopienas, kur statiskā rakstīšana neļauj programmētājiem pieļaut dumjš kļūdas. Piemēram, Svaru ķēdē darbojas Facebook piedāvātā valoda ar nosaukumu MOVE. Tā aizņemas ideju no RUST of "pārvietot pret kopiju", "īpašumtiesības un aizņēmumi". Statiskā tipa sistēma nodrošina, ka kopējais digitālo aktīvu daudzums nemainās tā, lai to nevarētu darīt ne izstrādātāji, ne hakeri.

No otras puses, mums ir vajadzīgas oficiālas specifikācijas vai oficiālas pārbaudes, lai nodrošinātu "pareizība" zināmā mērā. Ne 100%, bet maksimāla drošība mēs esam atkarīgi tikai no matemātikas. Tomēr instrumenti un prakse joprojām ir ceļā. Es iesaku darbu no CertiK komandas.

Certik: Droši vien. Es domāju, ka mēs nepietiekami novērtējām drošību mūsu ekosistēmas agrīnās fāzēs. Mēs pieņēmām arhitektūras lēmumus, kurus pēc tam ir ārkārtīgi grūti mainīt. EVM ir dinamisks lēciens, kas padara jebkuru statisko analīzi ārkārtīgi apgrūtinošu, un gandrīz nav nekādu labumu. Stingrība kopš 0,5, manuprāt, ir kļuvusi vērsta uz drošību, mainot daļu no tā, kas bija ar aizmugures redzes sliktiem valodas dizaina lēmumiem.

Viper ir labāks, taču diemžēl tas nav gatavs lieliem projektiem, un tam nav daudz svarīgu funkciju.

Patiesībā esmu sajūsmā par DeapSEA, uz EVM vērstu programmēšanas valodu, kas mēģina pārvarēt šīs EVM izvirzītās problēmas un ļauj vieglāk oficiāli pārbaudīt Ethereum viedos līgumus. To izstrādā Certik un Yale, un mēs par to drīz dzirdēsim vairāk.

Lai gan tas ir ilgākā perspektīvā, es domāju, ka pāreja uz eWASM būs lieliska drošībai. Wasm ir daudz vairāk koncentrēts uz sekundēm, bet mēs arī varēsim izmantot tās drošības rīku ekosistēmu.

Slowmist: Šīm valodām ir savas drošības funkcijas. Piemēram, Vjpers veic daudz pārpildes pārbaužu, piemērojot aritmētiskos aprēķinus, un funkcionālās valodas, piemēram, Haskels, var palīdzēt formālā pārbaudē. Bet drošība ir daudzdimensionāla, un, izņemot programmēšanas valodas drošās funkcijas, produkta izstrādes drošība un biznesa loģikas drošība ir tikpat svarīgas kā valodas.

Maikls: Kāds ir vispostošākais konta uzlaušana, ar kādu jūs jebkad esat saskāries? Jebkura personīgā pieredze, ar kuru varat dalīties?

SECBIT: Atslēga nozagta. Daži simti ETH no viena no mūsu klientiem. Bet vairāki gadījumi, kad mēs vēršamies pēc palīdzības, tika pazaudēti. Cilvēki vienkārši aizmirsa atmiņas kodu vai paroli. Tā ir kārtējā dilemma drošības pasaulē. Kā mēs varētu atcerēties drošu paroli? Vāju paroli ir viegli atcerēties, bet ar zemu entropiju. Tas ir neaizsargāts pret nežēlīgiem uzbrukumiem. (piem., Varavīksnes galda uzbrukums); kamēr nejaušāku paroli ir nāvīgi grūti atcerēties. Uzrakstiet to uz papīra? Varam aizmirst par papīru otrā rītā.

Certik: Man ir paveicies, ka neviens no projektiem, pie kura es kādreiz strādāju, netika uzlauzts.

Slowmist: Ethereum melnā Valentīna diena, ko nosaukusi mūsu komanda. Šis drošības incidents pirmo reizi tika novērots 2018. gada martā. Hakeris divus gadus bija nozadzis etiķetes un citus marķierus no lietotāja maka ar automātisko skriptu, pirms mēs to pirmo reizi atradām. Līdz šim no 6679 makiem tika nozagti aptuveni 54864 ETH ar pašreizējo vērtību 10 miljoni dolāru. Šis uzlaušana ir ļoti iespaidīga, ņemot vērā tā ietekmi un ilgumu.

Mikaels: Ja mūsu skatītājiem būtu pieejams VIENS drošības padoms – padoms, kas, jūsuprāt, ietaupīs mūsu skatītājus potenciāli tūkstošiem dolāru – kas tas būtu?

SECBIT: Vingrinājums atcerēties atmiņas kodu; Es zinu, ka tas ir grūti. Tas ir ārkārtīgi grūti. Bet, ticiet man, tas ir vienīgais veids, kā saglabāt jūsu digitālo līdzekļu drošību. Jautājiet pakalpojumu sniedzējiem, cik lielu budžetu viņi ir iztērējuši drošībai un riska kontrolei, kādus pretpasākumus viņi ir veikuši, un izlasiet materiālus, piemēram, revīzijas ziņojumu, sistēmas projektēšanas dokumentus vietnē. Es domāju, ka pakalpojumu sniedzējiem, kuri nopietni vada uzņēmējdarbību blokķēdē, par to vajadzētu būt stingrai politikai.

Certik: Lasīt pārskatus. Pirms decentralizētas lietojumprogrammas izmantošanas izlasiet revīzijas ziņojumu. Laiku pa laikam mēs redzam ievainojamības, uz kurām tiek norādīts revīziju laikā, kuras nekad nav labotas un vēlāk izmantotas. Pārbaudiet, vai pēdējā izdotajā ziņojumā ir minētas kritiskas vai būtiskas ievainojamības.

Slowmist: Personisko īpašumu gadījumā mēs iesakām aizsargāt savu privāto atslēgu no interneta.

Attiecībā uz kriptovalūtām DeFi produktos mēs iesakām, izvēloties DeFi produktus un platformas, lietotājam jāpievērš uzmanība gan riska kontroles mehānismam, gan izcilu trešo personu drošības komandas drošības auditu ziņojumu apstiprināšanai. Turklāt drošība ir dinamiska, tāpēc ikvienam no šī brīža jāpārbauda defi produktu un platformu drošības fons.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map