Итоги переговоров OKEx Academy: DCEP – Как обеспечить безопасность инвесторов DeFi?

DeFi, сокращение от «Децентрализованные финансы», стало модным словом в сфере криптовалют с 2019 года. По мере роста DeFi мы делаем шаг вперед в будущее финансов. Создание глобальной и более прозрачной структуры для каждой финансовой службы сегодня: сбережения, ссуды, торговля и т. Д..

Академия OKEx организовала онлайн-веб-семинар с несколькими специальными гостями, чтобы поделиться своими мыслями о безопасности DeFi и о том, как инвесторы DeFi могут обеспечить безопасность своих инвестиций..

Эта статья проведет вас через резюме обсуждения..

Приглашенные спикеры:

Юй Го – основатель SECBIT Labs

Доминик Теймл – ведущий аудитор Ethereum компании Certik

Чжэнчао Ду – старший инженер по безопасности в Slowmist

Модератор:

Майкл Ги – Боксмайнинг

Майкл: Децентрализованное финансирование растет быстрыми темпами, в настоящее время у нас есть более 800 миллионов долларов с криптовалютой, заблокированной в контрактах DeFi Smart. Поскольку эти контракты децентрализованы, создателям необходимо обеспечить безопасность кода, лежащего в основе этих контрактов. Невыполнение этого требования может привести к катастрофическим взломам – например, менее 2 недель назад хакеру удалось «украсть» криптовалюту на сумму 25 миллионов долларов из контрактов dForce. Безопасность от взлома имеет первостепенное значение для обеспечения долгосрочного роста DeFi. К счастью, сегодня у нас есть группа экспертов по безопасности..

Начнем с критической цитаты критика DeFi "Я узнаю о DeFi только тогда, когда проект терпит неудачу и теряет средства". Как вы думаете, что является наибольшим риском для безопасности децентрализованных финансов??

СЕКБИТ: DeFi построен на коде, который состоит из множества модулей, разработанных разными командами. Непонимание базовых модулей, строительных блоков принесло бы большие убытки. Интерфейс каждого модуля непросто уточнить, уточнить или формализовать..

Certik: Помимо вещей вне сети, таких как безопасность ключей, захват внешних интерфейсов и / или DNS-серверов, OpSec и т. Д., Я думаю, что наибольшие внутричейн-риски связаны с некорректностью выполнения (ошибка Hegic) и взаимодействием с другими учетными записями, а именно : управляемые оракулы (взлом bZx) и атаки повторного входа (Uniswap & Lendf.me взломать)

Slowmist: Децентрализованные финансы предоставляют нам три основных функции: совместимость, программируемость и возможность комбинирования. Благодаря этим трем функциям мы можем комбинировать все виды смарт-контрактов, например, комбинировать блоки лего, что дает нам богатые финансовые продукты и безграничные возможности. Однако DeFi – настолько сложная система, что риски будут увеличиваться. Другими словами, для централизованной финансовой системы возможные сценарии риска можно контролировать, работая над стандартами и ограничивая права доступа, в то время как для DeFi любой из двух контрактов, соответствующих стандартам соглашения, можно объединить вместе, что означает множество больше возможных сценариев, и каждый новый сценарий несет с собой новые потенциальные риски. И самое главное, особенность стандарта может стать дефектом при любых обстоятельствах..

Майкл: Сможем ли мы когда-нибудь достичь полной безопасности с DeFi?

СЕКБИТ: Это Святой Грааль. Достичь цели невозможно ни теоретически, ни практически. Любая безопасность основана на предположениях. Чем сложнее система, тем больше полагается на предположения о безопасности. Но надежность этих предположений безопасности неизвестна. Во многих случаях эти предположения о безопасности могут быть неверными..

Теоретически определение безопасности довольно расплывчато. Мы можем определить конкретную безопасность, например, без целочисленных переполнений. Но это вообще неполно. Поскольку концепция DeFi продолжает развиваться, значение безопасности также растет. Мы не знаем, как определить полную концепцию безопасности.

Финансы по своей природе рискованны. Обычно прибыль исходит от риска. Теперь финансовые риски смешаны с вычислительной сложностью, и поэтому комбинированные риски сложнее контролировать. На практике безопасность трудно обнаружить, трудно проверить. Проблемы безопасности могут возникать на разных уровнях, предположении безопасности, блокчейнах, виртуальных машинах и компиляторах, библиотеках, логике кода, интерфейсе служб. Ни один из них не может быть легко устранен без ошибок..

Одна из многообещающих особенностей DeFi заключается в том, что смарт-контракты легко компонуются, даже если смарт-контракты были разработаны разными командами. Но мы видели ошибки, обнаруженные в интерфейсах – например, ERC777, ERC827, ERC 233. Возможность компоновки сделает систему более открытой и динамичной. Многие традиционные подходы к обеспечению безопасности статической системы не подходят для новой, открытой, динамической и огромной системы..

Certik: Безопасность – это вопрос убывающей отдачи. Мы никогда не можем быть уверены, что какое-либо логическое рассуждение является достоверным, потому что мы могли допустить ошибку в самой проверке, парадокс логики. Точно так же мы никогда не можем быть уверены на 100% в безопасности. Однако я очень оптимистично настроен, что мы сможем добиться высоких гарантий безопасности с помощью соответствующих мер. Обширные и интенсивные аудиты, формальная проверка, щедрое вознаграждение за ошибки…

Более интересный вопрос, есть ли эти весы. Можем ли мы найти инструмент, который автоматизирует безопасность? Этого еще никто не добился; это все еще открытый вопрос.

Slowmist: Полная безопасность невозможна для любых продуктов, включая DeFi. Мы должны понимать, что безопасность включает в себя контрмеры, поскольку хакер будет стоить намного дороже, чем выгода, которую он может получить. И безопасность является динамичной, новые сценарии, новые методы и итерация продуктов DeFi может вызвать новые проблемы безопасности, поэтому быть в безопасности раз и навсегда невозможно..

Майкл: С принятием новых языков программирования – Vyper (Ethereum), Haskell (Cardano) – как вы думаете, это поможет с безопасностью блокчейна??

СЕКБИТ: Vyper очень похож на солидность, большинство улучшений. С другой стороны, Haskell более математичен. Но, как я уже сказал, самые большие проблемы с безопасностью возникают на логическом, а не на языковом уровне. Новые атаки происходят не только на уровне языка, они исходят от всей системы блокчейн, что очень сложно. Хакеры продолжают изобретать новые атаки, которых мы никогда раньше не видели. Новые уязвимости сложно обнаружить инструментами, встроенными в компиляторы. Мы не можем представить себе, что атаки будут предотвращены автоматически. Мы увидим больше уязвимостей, связанных с логическим уровнем, даже если языковые инструменты улучшатся. Код должен быть проверен экспертами.

Я ценю работу сообщества языков программирования, где статическая типизация предотвращает глупые ошибки программистов. Например, предложенный Facebook язык под названием MOVE работает в цепочке Libra. Он заимствует идею из RUST "перемещение против копирования", "владение и заимствование". Система статического типа гарантирует, что общее количество цифровых активов не изменится, так что ни разработчики, ни хакеры не могут.

С другой стороны, нам действительно нужны формальные спецификации или формальные проверки, чтобы гарантировать "правильность" в некоторой степени. Не 100%, а максимальная безопасность, мы полагаемся только на математику. Однако инструменты и методы все еще в разработке. Предлагаю работу команды CertiK.

Certik: Наверное. Я думаю, что мы недооценили безопасность на ранних этапах нашей экосистемы. Мы приняли архитектурные решения, которые потом изменить крайне сложно. В EVM есть динамические скачки, которые делают любой статический анализ чрезвычайно громоздким, и в этом нет никаких преимуществ. На мой взгляд, Solidity с версии 0.5 стал ориентирован на безопасность, полностью изменив то, что было с задним числом неудачных языковых дизайнерских решений..

Vyper лучше, но, к сожалению, он не готов к производству для больших проектов и не имеет многих важных функций..

Я действительно в восторге от DeapSEA, языка программирования, ориентированного на EVM, который пытается преодолеть эти проблемы, связанные с EVM, и позволяет упростить формальную проверку смарт-контрактов Ethereum. Его разрабатывают Certik и Yale, и мы скоро узнаем о нем подробнее..

Хотя это в более отдаленной перспективе, я думаю, что переход на eWASM будет иметь большое значение для безопасности. Wasm не только намного больше ориентирован на сек, но и мы сможем задействовать его экосистему инструментов безопасности..

Slowmist: Эти языки имеют свои собственные функции безопасности. Например, Vyper выполняет множество проверок переполнения применительно к арифметическим вычислениям, а функциональные языки, такие как Haskell, могут помочь с формальной проверкой. Но безопасность многомерна, и, помимо функций безопасности языка программирования, безопасность разработки продукта и безопасность бизнес-логики так же важны, как и языки..

Майкл: Какой самый разрушительный взлом аккаунта вам когда-либо приходилось сталкиваться? Любой личный опыт, которым вы можете поделиться?

СЕКБИТ: Ключ украден. Несколько сотен ETH от одного из наших клиентов. Но все больше случаев, обращавшихся к нам за помощью, были потеряны. Люди просто забыли мнемонический код или пароль. Это еще одна дилемма в мире безопасности. Как мы могли запомнить надежный пароль? Слабый пароль легко запомнить, но с низкой энтропией. Он уязвим для атак методом перебора. (например, атака по радужному столу); в то время как более случайный пароль смертельно трудно запомнить. Напишите это на бумаге? Мы можем забыть о газете на днях.

Certik: Мне повезло, что ни один из проектов, над которыми я когда-либо работал, не был взломан.

Slowmist: День святого Валентина Ethereum Black, названный нашей командой. Этот инцидент с безопасностью впервые был замечен в марте 2018 года. Хакер украл эти и другие токены из кошелька пользователя с помощью автоматического скрипта в течение двух лет, прежде чем мы впервые его обнаружили. К настоящему времени из 6679 кошельков было украдено около 54864 ETH при текущей стоимости 10 миллионов долларов. Этот хак очень впечатляет, учитывая его влияние и время действия..

Микаэль: Если бы был ОДИН совет по безопасности для наших зрителей – совет, который, по вашему мнению, сэкономит нашим зрителям потенциально тысячи долларов – что бы это было?

СЕКБИТ: Практика запоминания мнемонического кода; Я знаю, что это сложно. Это очень тяжело. Но поверьте мне, это единственный способ сохранить ваши цифровые активы в безопасности. Спросите у поставщиков услуг, сколько бюджета они потратили на безопасность и контроль рисков, какие контрмеры они принимают, и прочтите на веб-сайте такие материалы, как отчет об аудите и документацию по проектированию системы. Я думаю, что провайдеры, которые серьезно ведут бизнес на блокчейне, должны иметь строгие правила в отношении этого..

Certik: Читайте отчеты. Прочтите аудиторский отчет перед использованием любого децентрализованного приложения. Время от времени мы видим уязвимости, выявленные в ходе аудитов, которые никогда не исправлялись, а затем использовались. Проверьте, не упоминаются ли в последнем опубликованном отчете какие-либо критические или существенные уязвимости.

Slowmist: Для личных активов мы предлагаем защитить ваш закрытый ключ от Интернета..

Что касается криптовалют в продуктах DeFi, мы предлагаем, чтобы при выборе продуктов и платформ DeFi пользователь обращал внимание как на механизм контроля рисков, так и на подтверждение отчетов об аудите безопасности от выдающейся сторонней группы безопасности. Кроме того, безопасность является динамической, поэтому каждый должен время от времени проверять безопасность продуктов и платформ defi..

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map