OKEx Academy Talks Recap: DCEP – Hogyan lehet biztonságot nyújtani a DeFi befektetőinek?

A decentralizált finanszírozás rövidítése, a DeFi 2019 óta vált divatos szóvá a kriptovaluta térben. A DeFi növekedésével egy lépéssel tovább haladunk a pénzügyek jövője felé. Globális és átláthatóbb keretrendszer létrehozása minden pénzügyi szolgáltatáshoz ma: megtakarítások, kölcsönök, kereskedelem és egyebek.

Az OKEx Akadémia online webes szemináriumot szervezett néhány különleges vendéggel, hogy megosszák a betekintést a DeFi biztonságáról és arról, hogy a DeFi befektetői hogyan tudják biztosítani befektetéseik biztonságát.

Ez a cikk végigvezeti Önt a vita összefoglalóján.

Vendég előadők:

Yu Guo – a SECBIT Labs alapítója

Dominik Teiml – a Certik vezető Ethereum auditora

Zhengchao Du – a Slowmist vezető biztonsági mérnöke

Moderátor:

Michael Gui – bokszoló

Michael: A decentralizált finanszírozás gyors ütemben növekszik, jelenleg több mint 800 millió dollárunk van, a kriptográfia zárva van a DeFi Smart szerződéseiben. Mivel ezek a szerződések decentralizáltak, az alkotóknak gondoskodniuk kell arról, hogy a szerződések mögött álló kód biztonságos legyen. Ennek elmulasztása katasztrofális feltöréseket okozhat – például kevesebb, mint 2 hete egy hackernek sikerült 25 millió dollár értékű kriptot “ellopnia” a dForce-szerződésekből. A biztonság a feltörések ellen ilyen kiemelkedően fontos a DeFi hosszú távú növekedésének biztosításához. Ma szerencsére van egy biztonsági szakértői testületünk.

Kezdve egy kritikus idézettel a DeFi Critic-től "Csak akkor tudok meg a DeFi-ről, ha egy projekt megbukik és elveszíti az alapjait". Ön szerint melyek a legnagyobb biztonsági kockázatok a decentralizált finanszírozással szemben?

SECBIT: A DeFi kódra épül, amely számos modulból áll, amelyeket különböző csapatok fejlesztettek ki. Az alapmodulok, építőelemek félreértése nagyobb veszteségekkel járna. Az egyes modulok felületét nem könnyű tisztázni, meghatározni vagy formalizálni.

Certik: Az olyan láncolaton kívüli dolgokon kívül, mint a kulcsok biztonsága, a kezelőfelületek és / vagy a DNS-szerverek eltérítése, az OpSec stb., Úgy gondolom, hogy a legnagyobb on-chain kockázat a végrehajtás helytelensége (Hegic bug) és más fiókokkal való interakció, : manipulálható orákulumok (bZx hack) és újbóli belépési támadások (Uniswap & Lendf.me csapkod)

Slowmist: A decentralizált finanszírozás három fő jellemzőt hoz elénk: az interoperabilitást, a programozhatóságot és az összeilleszthetőséget. Ennek a három tulajdonságnak köszönhetően képesek vagyunk kombinálni mindenféle okos szerződést, például a lego blokkok kombinációját, amely rengeteg pénzügyi terméket és végtelen lehetőségeket kínál számunkra. A DeFi azonban olyan bonyolult rendszer, hogy a kockázatok felerősödnek. Más szóval, a központosított pénzügyi rendszer esetében a lehetséges kockázati szcenáriókat a szabványok kidolgozásával és a hozzáférési engedélyek korlátozásával lehet ellenőrizni, míg a DeFi esetében a megállapodás szabványainak megfelelő két szerződés bármelyike ​​kombinálható, ami sokakat jelent több lehetséges forgatókönyv, és minden új forgatókönyv potenciális új kockázatokat rejt magában. És ami a legfontosabb: a szabvány jellemzői bármilyen körülmények között hibává válhatnak.

Michael: Elérhetjük-e valaha a teljes biztonságot a DeFi-vel?


SECBIT: Ez egy szent grál. Elméletileg és gyakorlatilag sem lehet elérni a célt. Bármely biztosíték feltételezéseken alapul. Minél összetettebb a rendszer, annál több biztonsági feltételezésre támaszkodnak. De ezeknek a biztonsági feltételezéseknek a megbízhatósága nem ismert. Sok esetben ezek a biztonsági feltételezések elveszhetnek.

Elméletileg a biztonság meghatározása meglehetősen homályos. Meghatározhatunk speciális biztonságot, például egész számok túlcsordulásától mentesen. De általában hiányos. Mivel a DeFi koncepciója folyamatosan növekszik, a biztonság jelentése is növekszik. Nem tudjuk, hogyan definiáljuk a biztonság teljes fogalmát.

A pénzügy természeténél fogva kockázatos. Hagyományosan a profit a kockázatvállalásból származik. Most a pénzügyi kockázatok keverednek a számítási bonyolultsággal, és így az együttes kockázatokat nehezebb kezelni. A gyakorlatban a biztonságot nehéz észrevenni, nehéz ellenőrizni. Biztonsági kérdések fordulhatnak elő különböző szinteken, biztonsági feltételezések, blokkláncok, virtuális gépek és fordítók, könyvtárak, a kód logikája, a szolgáltatások felülete. Egyiket sem könnyű hibamentesen elérni.

A DeFi egyik ígéretes tulajdonsága, hogy az intelligens szerződések nagyon összeállíthatók, még akkor is, ha az intelligens szerződéseket különböző csapatok fejlesztették ki. De láttunk hibákat az interfészeken – például ERC777, ERC827, ERC 233. Az összetettség nyitottabbá és dinamikusabbá teszi a rendszert. Sok hagyományos megközelítés arról szól, hogy a statikus rendszer biztonságos legyen, nem működne az új, nyitott, dinamikus és hatalmas rendszer esetében.

Certik: A biztonság a csökkenő visszatérés kérdése. Soha nem lehetünk biztosak abban, hogy bármely logikai érvelés érvényes, mert hibát követhetünk el magában az igazolásban, a logika paradoxonában. Ugyanígy soha nem lehetünk 100% -ig biztosak abban, hogy valami biztonságos. Nagyon optimista vagyok azonban, hogy a megfelelő intézkedésekkel magas biztonsági garanciákat tudunk elérni. Kiterjedt és intenzív ellenőrzések, hivatalos ellenőrzés, nagyvonalú hibajátékok…

Az érdekesebb kérdés az, hogy ezek a mérlegek. Találunk olyan eszközt, amely automatizálja a biztonságot? Ezt még senki nem érte el; még mindig nyitott kérdés.

Slowmist: A teljes biztonság lehetetlen bármely termék esetében, beleértve a DeFi-t is. Tudomásul kell vennünk, hogy a biztonság ellenintézkedéseket foglal magában, abból a célból, hogy a hacker sokkal többe kerüljön, mint az általa megszerzett előnyök. A biztonság pedig dinamikus, új forgatókönyvek, új technikák és a DeFi termékek iterációja új biztonsági problémákat okozhat, ezért egyszer és mindenkorra ne legyen biztonságos.

Michael: Új programozási nyelvek – Vyper (Ethereum), Haskell (Cardano) – elfogadásával szerinted ez segít a blokklánc biztonságában?

SECBIT: Vyper nagyjából olyan, mint a szilárdság, a legtöbb fejlesztés. Haskell viszont inkább matematikai. De, mint mondtam, a legnagyobb biztonsági kérdések logikai, nem pedig nyelvi szintről származnak. Az új támadások nem pusztán nyelvi szinten zajlanak, és az egész blokklánc-rendszerből származnak, ami nagyon bonyolult. A hackerek folyamatosan új támadásokat találnak ki, amelyeket még soha nem láttunk. Az új biztonsági réseket a fordítókba ágyazott eszközök nehezen észlelik. Nem tudjuk elképzelni, hogy a támadásokat automatikusan megakadályoznák. Több sérülékenységet fogunk látni a logika szintjén gyökerezve, még akkor is, ha a nyelvi eszközök javulnak. A kódot szakértőknek kell ellenőrizniük.

Nagyra értékelem a programozási nyelv közösség munkáját, ahol a statikus gépelés megakadályozza, hogy a programozók buta hibákat kövessenek el. Például a Facebook által javasolt, MOVE nevű nyelv fut a Mérleg láncon. Az ötletet a RUST of-tól kölcsönzi "lépés vs másolás", "tulajdonjog és hitelfelvétel". A statikus típusú rendszer biztosítja, hogy a digitális eszközök teljes mennyisége változatlan maradjon, így sem a fejlesztők, sem a hackerek nem tehetik meg.

Másrészt formális előírásokra vagy hivatalos ellenőrzésekre van szükségünk a program biztosításához "helyesség" bizonyos mértékig. Nem 100%, de a maximális biztonság csak a matematikától függ. Az eszközök és gyakorlatok azonban még mindig úton vannak. Javaslom a CertiK csapatának munkáját.

Certik: Valószínűleg. Azt hiszem, hogy alábecsültük a biztonságot ökoszisztémánk korai szakaszában. Olyan építészeti döntéseket hoztunk, amelyeket utólag rendkívül nehéz megváltoztatni. Az EVM dinamikus ugrásokkal rendelkezik, amelyek bármilyen statikus elemzést rendkívül nehézkessé tesznek, és alig vannak előnyei egyáltalán. A szilárdság a 0,5 óta véleményem szerint a biztonságra összpontosított, ami visszafordította a hátrányos látásszegénységgel kapcsolatos rossz nyelvtervezési döntéseket.

A Vyper jobb, de sajnos nem áll készen a nagy projektekre, és sok fontos funkció hiányzik belőle.

Igazából örülök a DeapSEA-nak, egy EVM-célzott programozási nyelvnek, amely megpróbálja leküzdeni ezeket az EVM által kivetett kihívásokat, és lehetővé teszi az Ethereum intelligens szerződéseinek könnyebb formális ellenőrzését. Certik és Yale fejlesztik, és hamarosan többet fogunk róla hallani.

Bár ez hosszabb távon van, úgy gondolom, hogy az eWASM-re való áttérés nagyszerű lesz a biztonság szempontjából. A wasm nemcsak sokkal inkább sec-fókuszált, de képesek leszünk kiaknázni a biztonsági eszközök ökoszisztémáját is.

Slowmist: Ezek a nyelvek saját biztonsági jellemzőkkel rendelkeznek. Például Vyper sok túlcsordulási ellenőrzést hajt végre az aritmetikai számításoknál, és a funkcionális nyelvek, például a Haskell, segíthetnek a formális ellenőrzésben. De a biztonság többdimenziós, és a programozási nyelv biztonságos funkcióin kívül a termékfejlesztés és az üzleti logika biztonsága ugyanolyan fontos, mint a nyelvek.

Michael: Mi a legpusztítóbb fiókhackelés, amellyel valaha találkozott? Bármilyen személyes élmény, amelyet megoszthat?

SECBIT: Kulcs ellopva. Néhány száz ETH az egyik ügyfelünktől. De több olyan eset is felmerült számunkra, hogy segítséget nyújtsunk. Az emberek csak elfelejtették a memnikus kódot vagy jelszót. Ez egy újabb dilemma a biztonsági világban. Hogyan emlékezhetnénk egy biztonságos jelszóra? A gyenge jelszó könnyen megjegyezhető, de alacsony az entrópia. Kiszolgáltatott a durva erőszakos támadásoknak. (pl. Rainbow Table Attack); míg egy véletlenszerűbb jelszót halálosan nehéz megjegyezni. Írni egy papírra? Másnap reggel megfeledkezhetünk a papírról.

Certik: Szerencsés vagyok, hogy egyetlen olyan projektet sem hackeltem fel, amelyen valaha is dolgoztam.

Slowmist: Az Ethereum Black Valentine’s Day, amelyet csapatunk nevezett el. Ezt a biztonsági eseményt először 2018 márciusában figyelték meg. A hacker két évig ellopta a felhasználó pénztárcájából származó etiket és más tokent az automatikus szkript segítségével, mire először megtaláltuk. Mostanra mintegy 54864 ETH-t loptak el 10 millió dollár jelenlegi értékkel 6679 pénztárcából. Ez a feltörés hatását és időtartamát tekintve nagyon lenyűgöző.

Micahel: Ha lenne egy biztonsági tipp a nézőink számára – az a tipp, amely szerinted dollár ezer dollárt spórolhat meg nézőinknek – mi lenne az?

SECBIT: Gyakorlat emlékezni a memnikus kódra; Tudom, hogy nehéz. Rendkívül nehéz. De hidd el, ez az egyetlen módja a digitális eszközök biztonságának megőrzésére. Kérdezze meg a szolgáltatókat, hogy mennyi pénzt költöttek a biztonságra és a kockázatkezelésre, milyen ellenintézkedéseket tettek, és olvassák el az anyagokat, például az audit jelentést, a rendszertervezési dokumentumokat a weboldalon. Úgy gondolom, hogy azoknak a szolgáltatóknak, akik komolyan működtetnek üzletet a blokkláncon, szigorú irányelvekkel kell rendelkezniük.

Certik: Olvassa el a jelentéseket. A decentralizált alkalmazások használata előtt olvassa el az ellenőrzési jelentést. Időről időre látunk olyan sérülékenységeket, amelyekre az ellenőrzések során rámutattak, soha nem javították és később kihasználták őket. Ellenőrizze, hogy a legutóbb kiadott jelentés említ-e kritikus vagy jelentős sebezhetőségeket.

Slowmist: Személyes eszközök esetében azt javasoljuk, hogy védje meg magánkulcsát az internet ellen.

A DeFi termékek kriptovalutái esetében azt javasoljuk, hogy a DeFi termékek és platformok kiválasztásakor a felhasználónak figyeljen mind a kockázatkezelési mechanizmusra, mind a kiemelkedő, harmadik féltől származó biztonsági csoport biztonsági ellenőrzési jelentéseinek jóváhagyására. Ezenkívül a biztonság dinamikus, ezért mindenkinek ellenőriznie kell a defi termékek és platformok biztonsági hátterét.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map