Ukratko o razgovorima s akademije OKEx: DCEP – Kako osigurati sigurnost ulagačima u DeFi?

DeFi, skraćenica od decentraliziranih financija, postao je modna riječ u kriptovalutama od 2019. Kako DeFi raste, idemo korak dalje u budućnost financija. Stvaranje globalnog i transparentnijeg okvira za sve financijske usluge danas: štednju, zajmove, trgovanje i još mnogo toga.

OKEx Akademija sastavila je internetski web seminar s nekim posebnim gostima da podijele svoje uvide u sigurnost DeFi-ja i kako investitori u DeFi mogu osigurati sigurnost svojih ulaganja.

Ovaj članak vodit će vas kroz sažetak rasprave.

Gosti govornici:

Yu Guo – osnivač SECBIT Labs

Dominik Teiml – vodeći revizor tvrtke Ettik za Ethereum

Zhengchao Du – viši sigurnosni inženjer u tvrtki Slowmist

Moderator:

Michael Gui – Boxmining

Michael: Decentralizirano financiranje raste brzim tempom, trenutno imamo više od 800 milijuna dolara s kripto-karticama zaključanim u ugovorima DeFi Smart. Kako su ovi ugovori decentralizirani, kreatori moraju osigurati sigurnost koda koji stoji iza tih ugovora. Ako to ne učine, mogu rezultirati katastrofalnim hakiranjima – na primjer, prije manje od 2 tjedna haker je uspio “ukrasti” kripto kripto vrijednu 25 milijuna dolara iz ugovora o dForceu. Sigurnost od hakova toliko je važna da osigura dugoročni rast DeFi-a. Srećom danas imamo skup sigurnosnih stručnjaka.

Počevši od kritičnog citata kritičara DeFi-a "O DeFiu učim samo kad projekt propadne i izgubi sredstva". Što mislite da su najveći sigurnosni rizici za decentralizirano financiranje?

TAJNA: DeFi je izgrađen na kodu koji se sastoji od mnogih modula koje su razvili različiti timovi. Nerazumijevanje osnovnih modula, gradivnih blokova donijelo bi veće gubitke. Sučelje svakog modula nije lako razjasniti, specificirati ili formalizirati.

Certik: Osim stvari izvan lanca, kao što su sigurnost ključeva, otmica prednjih strana i / ili DNS poslužitelja, OpSec, itd. Mislim da su najveći mrežni rizici neispravnost izvršavanja (Hegic bug) i interakcija s drugim računima, naime : manipulativni proroci (bZx hack) i ponovni napadi (Uniswap & Lendf.me hack)

Polako: Decentralizirano financiranje donosi nam tri glavne značajke: interoperabilnost, programabilnost i komponiranost. Zahvaljujući ove tri značajke, u mogućnosti smo kombinirati sve vrste pametnih ugovora poput kombiniranja lego blokova, što nam donosi obilne financijske proizvode i beskrajne mogućnosti. Međutim, DeFi je toliko kompliciran sustav da će se rizici pojačati. Drugom riječju, za centralizirani financijski sustav mogući scenariji rizika mogu se kontrolirati radom na standardima i ograničavanjem dozvola za pristup, dok se za DeFi bilo koji od dva ugovora koji udovoljavaju standardima sporazuma može kombinirati zajedno, što znači da mnogi više mogućih scenarija i svaki novi scenarij donosi potencijalne nove rizike. I najvažnije od svega, značajka standarda u bilo kojem slučaju može postati nedostatak.

Michael: Možemo li ikad postići potpunu sigurnost s DeFi-jem?

TAJNA: To je sveti gral. Nemoguće je doći do cilja, i teoretski i praktično. Svaka sigurnost temelji se na pretpostavkama. Što je sustav složeniji, to se više oslanja na sigurnosne pretpostavke. No, pouzdanost ovih sigurnosnih pretpostavki nije poznata. U mnogim se slučajevima ove sigurnosne pretpostavke mogu izgubiti.

U teoriji je definicija sigurnosti prilično nejasna. Možemo definirati određenu sigurnost, na primjer, bez cjelovitih preljeva. Ali uglavnom je nepotpuna. Kako koncept DeFi-a raste, tako raste i značenje sigurnosti. Ne znamo kako definirati cjelovit pojam sigurnosti.

Financije su po prirodi rizične. Uobičajeno, dobit dolazi od preuzimanja rizika. Sada su financijski rizici pomiješani s računskom složenošću, pa je stoga kombinirane rizike teže kontrolirati. U praksi je sigurnost teško primijetiti, teško je provjeriti. Postoje sigurnosni problemi koji se mogu pojaviti na različitim razinama, pretpostavci sigurnosti, blockchains, virtualni stroj i kompajleri, knjižnice, logika koda, sučelje usluga. Nijednu od njih nije lako postići bez grešaka.

Jedna od obećavajućih karakteristika DeFi-a je da su pametni ugovori vrlo složeni, čak i ako su pametne ugovore razvijali različiti timovi. Ali vidjeli smo greške pronađene na sučeljima – na primjer, ERC777, ERC827, ERC 233. Sastavljivost će sustav učiniti otvorenijim i dinamičnijim. Mnogi tradicionalni pristupi su tome kako osigurati da statički sustav ne bi funkcionirao za novi, otvoren, dinamičan i ogroman sustav.

Certik: Sigurnost je pitanje smanjenog povrata. Nikada ne možemo biti sigurni da je neko logično obrazloženje valjano jer bismo mogli pogriješiti u samoj provjeri, paradoksu logike. Na isti način, nikada ne možemo biti 100% sigurni da je nešto sigurno. Međutim, vrlo sam optimističan da odgovarajućim mjerama možemo postići visoko-sigurnosna jamstva. Opsežne i intenzivne revizije, formalna provjera, velikodušne nagrade …

Zanimljivije je pitanje jesu li ove ljestvice. Možemo li pronaći alat koji automatizira sigurnost? To još nitko nije postigao; to je još uvijek otvoreno pitanje.

Polako: Potpuna sigurnost nemoguća je za bilo koji proizvod, uključujući DeFi. Morali bismo shvatiti da sigurnost uključuje protumjere, u svrhu da haker košta mnogo više od koristi koju bi mogao dobiti. A sigurnost je dinamična, novi scenariji, nove tehnike i ponavljanje DeFi proizvoda može uzrokovati nove sigurnosne probleme, pa budite sigurni jednom zauvijek nije moguće.

Michael: S usvojenim novim programskim jezicima – Vyper (Ethereum), Haskell (Cardano) – mislite li da će ovo pomoći u blockchain sigurnosti?

TAJNA: Vyper je gotovo poput solidnosti, većina poboljšanja. Haskell je, s druge strane, matematičkiji. Ali, kao što sam rekao, najveći sigurnosni problemi su s logičke, a ne jezične razine. Novi napadi nisu čisto na razini jezika, a došli su iz cijelog blockchain sustava, što je vrlo komplicirano. Hakeri izmišljaju nove napade kakve nikada prije nismo vidjeli. Alate ugrađene u kompajlere teško je otkriti nove ranjivosti. Ne možemo zamisliti da bi se napadi automatski spriječili. Vidjet ćemo više ranjivosti ukorijenjenih s logičke razine, čak i ako se jezični alati poboljšavaju. Kodeks moraju revidirati stručnjaci.

Cijenim rad zajednice programskog jezika, gdje statično tipkanje sprečava programere da čine glupe pogreške. Na primjer, jezik koji je predložio Facebook, nazvan MOVE, pokrenut je na lancu Vaga. Ideju posuđuje od RUST of "premjestiti nasuprot kopirati", "vlasništvo i zaduživanje". Sustav statičkog tipa osigurava da ukupna količina digitalne imovine ostane nepromijenjena, tako da to ne mogu ni programeri ni hakeri.

S druge strane, trebaju nam formalne specifikacije ili formalne provjere kako bismo osigurali "ispravnost" donekle. Ne 100%, već maksimalna sigurnost ovisimo samo o matematici. Međutim, alati i prakse još uvijek su na putu. Predlažem rad tima CertiK-a.

Certik: Vjerojatno. Mislim da smo podcijenili sigurnost u ranim fazama našeg ekosustava. Donijeli smo arhitektonske odluke koje je poslije izuzetno teško promijeniti. EVM ima dinamične skokove, što svaku statičku analizu čini izuzetno glomaznom, a teško da uopće ima koristi. Čvrstoća od 0,5, po mom mišljenju, postala je usmjerena na sigurnost, preokrenuvši ono što je bilo sa strašnjim pogledima, lošim odlukama o dizajnu jezika.

Vyper je bolji, ali nažalost nije spreman za proizvodnju za velike projekte i nedostaje mu puno važnih značajki.

Zapravo sam uzbuđen zbog DeapSEA, programskog jezika usmjerenog na EVM koji pokušava prevladati ove izazove nametnute EVM-om i omogućiti lakšu formalnu provjeru Ethereum pametnih ugovora. Razvijaju ga Certik i Yale, a uskoro ćemo čuti više o tome.

Iako je to na dužem horizontu, mislim da će prijelaz na eWASM biti sjajan za sigurnost. Ne samo da je wasm mnogo usmjereniji na sek, već ćemo moći i iskoristiti njegov ekosustav sigurnosnih alata.

Usporeno: Ti jezici imaju svoje sigurnosne značajke. Na primjer, Vyper izvodi puno provjera prekoračenja primjenjujući se na aritmetičke izračune, a funkcionalni jezici poput Haskella mogu pomoći u formalnoj provjeri. No, sigurnost je višedimenzionalna, a osim sigurnosnih značajki programskog jezika, sigurnost razvoja proizvoda i sigurnost poslovne logike važni su koliko i jezici.

Michael: Koji je najrazorniji hack računa koji ste ikad susreli? Bilo koje osobno iskustvo koje možete podijeliti?

TAJNA: Ključ ukraden. Nekoliko stotina ETH od jednog od naših klijenata. No, više slučajeva koji su nam se obraćali za pomoć izgubili su ključ. Ljudi su jednostavno zaboravili mnemotehnički kod ili lozinku. To je još jedna dilema u sigurnosnom svijetu. Kako bismo se mogli sjetiti sigurne lozinke? Slabu lozinku lako je zapamtiti, ali s malom entropijom. Ranjiva je na napade prisiljavanja na brutalnost. (npr. Attack Rainbow Table); dok je slučajniju lozinku smrtonosno teško zapamtiti. Napisati na papir? Možda ćemo zaboraviti novine neko jutro.

Certik: Imam sreću da nijedan od projekata na kojima sam ikad radio nije bio hakiran.

Usporeno: Ethereum Black Valentinovo, imenovan od strane našeg tima. Ovaj sigurnosni incident prvi je put primijećen u ožujku 2018. Haker je dvije godine prije nego što smo ga prvi put pronašli, ukrao etikete i druge tokene iz korisničkog novčanika s automatskom skriptom. Do sada je iz 6679 novčanika ukradeno oko 54864 ETH trenutne vrijednosti 10 milijuna dolara. Ovaj je hak vrlo impresivan s obzirom na njegov utjecaj i vrijeme trajanja.

Micahel: Da postoji JEDAN sigurnosni savjet za naše gledatelje – Savjet za koji mislite da će uštedjeti našim gledateljima potencijalno tisuće dolara – što bi to bio?

TAJNA: Vježbajte pamćenje mnemotehničkog koda; Znam da je teško. Izuzetno je teško. Ali, vjerujte mi, to je jedini način da zaštitite svoju digitalnu imovinu. Pitajte davatelje usluga koliko su proračuna potrošili na sigurnost i kontrolu rizika, koje su protumjere poduzeli i pročitajte materijale poput izvješća o reviziji, dokumenata o dizajnu sustava na web mjestu. Mislim da bi pružatelji usluga koji ozbiljno vode posao na blockchainu trebali imati stroge politike o tome.

Certik: Čitajte izvješća. Pročitajte izvješće o reviziji prije upotrebe bilo koje decentralizirane aplikacije. Povremeno vidimo ranjivosti na koje su ukazivane tijekom revizija, nikada nisu ispravljene i kasnije iskorištene. Provjerite spominje li posljednje izdano izvješće neke kritične ili značajne ranjivosti.

Usporeno: Za osobnu imovinu predlažemo zaštitu vašeg privatnog ključa s Interneta.

Za kriptovalute u DeFi proizvodima predlažemo da prilikom odabira DeFi proizvoda i platformi korisnik treba obratiti pažnju kako na mehanizam kontrole rizika, tako i na odobrenje izvještaja o sigurnosnoj reviziji izvanrednog sigurnosnog tima treće strane. Osim toga, sigurnost je dinamična, pa bi svi trebali od sada provjeravati sigurnosnu pozadinu defi proizvoda i platformi.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Social Links
Facebooktwitter
Promo
banner
Promo
banner