Resumen de las charlas de OKEx Academy: DCEP – ¿Cómo garantizar la seguridad de los inversores de DeFi?

DeFi, abreviatura de finanzas descentralizadas, se había convertido en una palabra de moda en el espacio de las criptomonedas desde 2019. A medida que DeFi crece, damos un paso más hacia el futuro de las finanzas. Crear un marco global y más transparente para todos los servicios financieros de hoy: ahorros, préstamos, comercio y más..

OKEx Academy había organizado un seminario web en línea con algunos invitados especiales para compartir sus conocimientos sobre la seguridad de DeFi y cómo los inversores de DeFi pueden garantizar que sus inversiones sean seguras..

Este artículo lo guiará a través del resumen de la discusión..

Oradores invitados:

Yu Guo – Fundador de SECBIT Labs

Dominik Teiml – Auditor principal de Ethereum de Certik

Zhengchao Du – Ingeniero de seguridad sénior en Slowmist

Moderador:

Michael Gui – Boxmining

Miguel: Las finanzas descentralizadas están creciendo a un ritmo rápido, actualmente tenemos más de $ 800 millones de dólares con criptomonedas encerradas en contratos DeFi Smart. Como estos contratos están descentralizados, los creadores deben asegurarse de que el código detrás de estos contratos sea seguro. No hacerlo puede resultar en ataques catastróficos; por ejemplo, hace menos de 2 semanas, un pirata informático logró “robar” $ 25 millones en criptomonedas de los contratos de dForce. La seguridad frente a los piratas informáticos es fundamental para garantizar el crecimiento a largo plazo de DeFi. Por suerte hoy contamos con un panel de expertos en seguridad.

Comenzando con una cita crítica de un crítico de DeFi "Solo aprendo sobre DeFi cuando un proyecto falla y pierde fondos". ¿Cuáles cree que son los mayores riesgos de seguridad para las finanzas descentralizadas??

SECBIT: El DeFi se basa en código, que se compone de muchos módulos, que fueron desarrollados por diferentes equipos. El malentendido de los módulos básicos, los bloques de construcción traería mayores pérdidas. La interfaz de cada módulo no es fácil de aclarar, especificar o formalizar..

Certik: Aparte de las cosas fuera de la cadena, como la seguridad de las claves, el secuestro de servidores front-end y / o DNS, OpSec, etc., creo que los mayores riesgos en la cadena son la ejecución incorrecta (error de Hegic) y la interacción con otras cuentas, a saber : oráculos manipulables (bZx hack) y ataques de reentrada (Uniswap & Préstame cortar a tajos)

Slowmist: Las finanzas descentralizadas nos brindan tres características principales: interoperabilidad, capacidad de programación y capacidad de composición. Gracias a estas tres características, podemos combinar todo tipo de contratos inteligentes como combinar bloques lego, lo que nos brinda abundantes productos financieros e infinitas posibilidades. Sin embargo, DeFi es un sistema tan complicado que los riesgos se verán amplificados. En otras palabras, para el sistema financiero centralizado, los posibles escenarios de riesgo se pueden controlar trabajando en estándares y limitando los permisos de acceso, mientras que para DeFi, cualquiera de los dos contratos que cumplen con los estándares del acuerdo pueden combinarse, lo que significa que muchos más escenarios posibles y cada nuevo escenario trae nuevos riesgos potenciales. Y lo más importante de todo, una característica de un estándar puede convertirse en un defecto bajo cualquier circunstancia..

Miguel: ¿Podremos alguna vez lograr una seguridad completa con DeFi??

SECBIT: Es un santo grial. Es imposible alcanzar la meta, tanto teórica como prácticamente. Cualquier seguridad se basa en suposiciones. Cuanto más complejo es el sistema, más se confían en los supuestos de seguridad. Pero se desconoce la confiabilidad de estos supuestos de seguridad. En muchos casos, estas suposiciones de seguridad pueden aflojarse.

En teoría, la definición de seguridad es bastante vaga. Podemos definir una seguridad específica, por ejemplo, libre de desbordamientos de enteros. Pero generalmente está incompleto. A medida que el concepto de DeFi sigue creciendo, también crece el significado de seguridad. No sabemos cómo definir un concepto completo de seguridad..

Las finanzas son riesgosas por naturaleza. Convencionalmente, las ganancias provienen de la toma de riesgos. Ahora, los riesgos financieros se mezclan con la complejidad computacional y, por lo tanto, los riesgos combinados son más difíciles de controlar. En la práctica, la seguridad es difícil de detectar, difícil de verificar. Pueden ocurrir problemas de seguridad en diferentes niveles, supuestos de seguridad, cadenas de bloques, máquinas virtuales y compiladores, bibliotecas, la lógica del código, la interfaz de servicios. Ninguno de ellos es fácil de lograr sin errores..

Una de las características prometedoras de DeFi es que los contratos inteligentes son altamente componibles, incluso si los contratos inteligentes fueron desarrollados por diferentes equipos. Pero hemos visto errores en las interfaces, por ejemplo, ERC777, ERC827, ERC 233. La capacidad de compilación hará que el sistema sea más abierto y dinámico. Muchos enfoques tradicionales tratan de hacer que el sistema estático sea seguro que no funcionaría para el sistema nuevo, abierto, dinámico y enorme..

Certik: La seguridad es cuestión de rendimientos decrecientes. Nunca podemos estar seguros de que un razonamiento lógico sea válido porque podríamos estar cometiendo un error en la verificación misma, la paradoja de la lógica. De la misma manera, nunca podemos estar 100% seguros de que algo es seguro. Sin embargo, soy muy optimista de que podamos lograr garantías de alta seguridad con las medidas adecuadas. Auditorías extensas e intensivas, verificación formal, generosas recompensas por errores …

La pregunta más interesante es si estas escalas. ¿Podemos encontrar una herramienta que automatice la seguridad? Nadie lo ha logrado todavía; sigue siendo una pregunta abierta.

Slowmist: La seguridad completa es imposible para cualquier producto, incluido DeFi. Debemos darnos cuenta de que la seguridad implica contramedidas, con el propósito de que el pirata informático costaría mucho más que los beneficios que podría obtener. Y la seguridad es dinámica, nuevos escenarios, nuevas técnicas y la iteración de productos DeFi podrían causar nuevos problemas de seguridad, por lo que estar seguro de una vez por todas no es posible..

Miguel: Con la adopción de nuevos lenguajes de programación, Vyper (Ethereum), Haskell (Cardano), ¿cree que esto ayudará con la seguridad de la cadena de bloques??

SECBIT: Vyper se parece mucho a la solidez, la mayoría de las mejoras. Haskell, por otro lado, es más matemático. Pero, como dije, los mayores problemas de seguridad son del nivel lógico, no del nivel del lenguaje. Los nuevos ataques no son puramente a nivel de lenguaje, y provienen de todo el sistema blockchain, lo cual es muy complicado. Los piratas informáticos siguen inventando nuevos ataques que nunca antes habíamos visto. Las nuevas vulnerabilidades son difíciles de detectar mediante herramientas integradas en compiladores. No podemos imaginar que los ataques se prevengan automáticamente. Veremos más vulnerabilidades arraigadas desde el nivel lógico, incluso si las herramientas del lenguaje están mejorando. El código debe ser auditado por expertos.

Aprecio el trabajo de la comunidad de lenguajes de programación, donde la escritura estática evita que los programadores cometan errores tontos. Por ejemplo, el lenguaje propuesto por Facebook, llamado MOVE, se ejecuta en la cadena Libra. Toma prestada la idea de RUST de "mover vs copiar", "propiedad y endeudamiento". El sistema de tipo estático se asegura de que la cantidad total de activos digitales no cambie, de modo que ni los desarrolladores ni los piratas informáticos puedan.

Por otro lado, necesitamos especificaciones formales o verificaciones formales para asegurar la "exactitud" hasta cierto punto. No al 100%, pero la máxima seguridad, solo dependemos de las matemáticas. Sin embargo, las herramientas y prácticas aún están en camino. Sugiero el trabajo del equipo de CertiK.

Certik: Probablemente. Creo que subestimamos la seguridad en las primeras fases de nuestro ecosistema. Tomamos decisiones arquitectónicas que son extremadamente difíciles de cambiar después. El EVM tiene saltos dinámicos, que hacen que cualquier análisis estático sea extremadamente engorroso, y apenas hay beneficios. La solidez desde 0.5, en mi opinión, se ha centrado en la seguridad, revirtiendo algo de lo que sucedía con las malas decisiones de diseño de lenguaje a posteriori..

Vyper es mejor, pero desafortunadamente, no está listo para producción para grandes proyectos y carece de muchas características importantes..

De hecho, estoy entusiasmado con DeapSEA, un lenguaje de programación dirigido a EVM que intenta superar estos desafíos impuestos por EVM y permitir una verificación formal más fácil de los contratos inteligentes de Ethereum. Certik y Yale lo están desarrollando, y pronto escucharemos más sobre él..

Aunque eso está en un horizonte más largo, creo que la transición a eWASM será excelente para la seguridad. Wasm no solo está mucho más centrado en los segundos, sino que también podremos aprovechar su ecosistema de herramientas de seguridad..

Slowmist: Estos idiomas tienen sus propias características de seguridad. Por ejemplo, Vyper realiza muchas verificaciones de desbordamiento que se aplican a los cálculos aritméticos, y los lenguajes funcionales como Haskell pueden ayudar con la verificación formal. Pero la seguridad es multidimensional y, además de las características seguras del lenguaje de programación, la seguridad del desarrollo de productos y la seguridad de la lógica empresarial son tan importantes como los lenguajes..

Michael: ¿Cuál es el hack de cuentas más devastador que hayas encontrado? Cualquier experiencia personal que puedas compartir?

SECBIT: Llave robada. Unos cientos de ETH de uno de nuestros clientes. Pero, se perdieron más casos que venían hacia nosotros en busca de ayuda. La gente simplemente olvidó el código mnemónico o la contraseña. Es otro dilema en el mundo de la seguridad. ¿Cómo podríamos recordar una contraseña segura? Una contraseña débil es fácil de recordar pero con baja entropía. Es vulnerable a los ataques de fuerza bruta. (p. ej., ataque a la mesa arcoíris); mientras que una contraseña más aleatoria es muy difícil de recordar. ¿Escribirlo en un papel? Puede que nos olvidemos del periódico la otra mañana.

Certik: Tengo la suerte de que ninguno de los proyectos en los que trabajé fue pirateado.

Slowmist: El Ethereum Black Valentine’s Day, nombrado por nuestro equipo. Este incidente de seguridad se observó por primera vez en marzo de 2018. El pirata informático había robado los eths y otros tokens de la billetera del usuario con el script automático durante dos años antes de que lo encontráramos por primera vez. Por ahora, alrededor de 54864 ETH con el valor actual de 10 millones de dólares fueron robados de 6679 billeteras. Este truco es muy impresionante teniendo en cuenta su influencia y el tiempo de duración..

Micahel: Si hubiera UN consejo de seguridad para nuestros espectadores, el consejo que crees que les ahorrará a nuestros espectadores potencialmente miles de dólares, ¿cuál sería??

SECBIT: Practica para recordar el código mnemónico; yo sé que es difícil. Es muy duro. Pero, créame, esa es la única forma de mantener seguros sus activos digitales. Pregunte a los proveedores de servicios cuánto presupuesto han gastado en seguridad y control de riesgos, qué contramedidas han estado tomando y lea los materiales como el informe de auditoría y los documentos de diseño del sistema en el sitio web. Creo que los proveedores que dirigen seriamente un negocio en blockchain deberían tener políticas estrictas al respecto..

Certik: Leer informes. Lea un informe de auditoría antes de utilizar cualquier aplicación descentralizada. De vez en cuando, vemos vulnerabilidades señaladas durante las auditorías, que nunca se corrigen y luego se explotan. Compruebe si el último informe emitido menciona alguna vulnerabilidad crítica o significativa..

Slowmist: Para los activos personales, le sugerimos que proteja su clave privada de Internet..

Para las criptomonedas en productos DeFi, sugerimos que al elegir los productos y plataformas DeFi, el usuario debe prestar atención tanto al mecanismo de control de riesgos como al respaldo de los informes de auditorías de seguridad de un destacado equipo de seguridad externo. Además, la seguridad es dinámica, por lo que todos deberían verificar los antecedentes de seguridad de los productos y plataformas defi de vez en cuando..

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map