OKEx Academy Talks Recap: DCEP – Com garantir la seguretat dels inversors de DeFi?

DeFi, abreviatura de finances descentralitzades, s’havia convertit en una paraula de moda en l’espai de criptomonedes des del 2019. A mesura que DeFi creix, anem avançant cap al futur de les finances. Crear un marc global i més transparent per a tots els serveis financers actuals: estalvis, préstecs, comerç i molt més.

OKEx Academy va organitzar un seminari web en línia amb alguns convidats especials per compartir les seves opinions sobre la seguretat de DeFi i sobre com els inversors de DeFi poden garantir que les seves inversions siguin segures..

Aquest article us guiarà a través de la resum de la discussió.

Ponents convidats:

Yu Guo: fundador dels laboratoris SECBIT

Dominik Teiml: auditor principal d’Ethereum de Certik

Zhengchao Du: enginyer principal de seguretat a Slowmist

Moderador:

Michael Gui – Boxmining

Michael: Les finances descentralitzades creixen a un ritme ràpid, actualment tenim més de 800 milions de dòlars de dòlars amb criptografia tancada als contractes DeFi Smart. Com que aquests contractes estan descentralitzats, els creadors han d’assegurar-se que el codi darrere d’aquests contractes sigui segur. Si no ho feu, es poden produir pirateries catastròfiques; per exemple, fa menys de dues setmanes un pirata informàtic va aconseguir “robar” criptografia de 25 milions de dòlars dels contractes dForce. La seguretat contra els pirates informàtics és fonamental per garantir el creixement a llarg termini de DeFi. Per sort, avui tenim un grup d’experts en seguretat.

Començant per una cita crítica d’un crític de DeFi "Només aprenc sobre DeFi quan un projecte falla i perd fons". Quins creieu que són els majors riscos de seguretat per a les finances descentralitzades??

SECBIT: El DeFi està basat en codi, que es compon de molts mòduls, que van ser desenvolupats per diferents equips. La incomprensió dels mòduls bàsics, els blocs constructius, comportaria pèrdues més grans. La interfície de cada mòdul no és fàcil d’aclarir, especificar o formalitzar.

Certik: A part de les qüestions fora de la cadena, com ara la seguretat de les claus, el segrest de servidors DNS i front-end i / o DNS, OpSec, etc. Crec que els majors riscos de la cadena són la incorrecció en l’execució (error Hegic) i la interacció amb altres comptes, és a dir, : oracles manipulables (hack bZx) i atacs de reentrada (Uniswap & Lendf.me cop de destral)

Slowmist: Les finances descentralitzades ens aporten tres característiques principals: interoperabilitat, programabilitat i composabilitat. Gràcies a aquestes tres funcions, som capaços de combinar tot tipus de contractes intel·ligents com la combinació de blocs de lego, cosa que ens aporta abundants productes financers i infinites possibilitats. No obstant això, DeFi és un sistema tan complicat que els riscos s’amplificaran. En una altra paraula, per al sistema financer centralitzat, es poden controlar els possibles escenaris de risc treballant en estàndards i limitant els permisos d’accés, mentre que per a DeFi es pot combinar qualsevol dels dos contractes que compleixin els estàndards de l’acord, cosa que significa molts més escenaris possibles i cada nou escenari comporta nous riscos potencials. I el més important de tot és que, en qualsevol cas, una característica d’un estàndard es pot convertir en un defecte.

Michael: Podem aconseguir una seguretat completa amb DeFi?


SECBIT: És un sant grial. És impossible assolir l’objectiu, tant teòricament com pràcticament. Qualsevol seguretat es basa en supòsits. Com més complex sigui el sistema, més es basen en els supòsits de seguretat. Però es desconeix la fiabilitat d’aquests supòsits de seguretat. En molts casos, aquests supòsits de seguretat poden perdre’s.

En teoria, la definició de seguretat és bastant vaga. Podem definir seguretat específica, per exemple, lliure de desbordaments enters. Però generalment és incomplet. A mesura que el concepte de DeFi continua creixent, també creix el significat de seguretat. No sabem com definir un concepte complet de seguretat.

Les finances són arriscades per naturalesa. Convencionalment, els beneficis provenen de la presa de riscos. Ara, els riscos financers es barregen amb la complexitat computacional i, per tant, els riscos combinats són més difícils de controlar. A la pràctica, la seguretat és difícil de detectar i de verificar. Es poden produir problemes de seguretat en diferents nivells, suposició de seguretat, cadenes de blocs, màquines virtuals i compiladors, biblioteques, la lògica del codi i la interfície de serveis. Cap d’ells és fàcil d’aconseguir sense errors.

Una de les característiques prometedores de DeFi és que els contractes intel·ligents són molt composables, fins i tot si els contractes intel·ligents van ser desenvolupats per diferents equips. Però hem vist errors trobats a les interfícies, per exemple, ERC777, ERC827, ERC 233. La composibilitat farà que el sistema sigui més obert i dinàmic. Molts enfocaments tradicionals consisteixen a fer que el sistema estàtic sigui segur i no funcionaria per al sistema nou, obert, dinàmic i enorme.

Certik: La seguretat és una qüestió de rendiments disminuïts. Mai no podem estar segurs que cap raonament lògic sigui vàlid perquè podríem cometre un error en la pròpia verificació, la paradoxa de la lògica. De la mateixa manera, mai no podem estar 100% segurs que alguna cosa sigui segura. Tot i això, sóc molt optimista perquè puguem aconseguir garanties d’alta seguretat amb les mesures adequades. Auditories extenses i intensives, verificació formal, generoses recompenses d’errors …

La pregunta més interessant és si aquestes escales. Podem trobar una eina que automatitzi la seguretat? Ningú ho ha aconseguit encara; encara és una pregunta oberta.

Slowmist: La seguretat completa és impossible per a qualsevol producte, inclòs DeFi. Ens hem d’adonar que la seguretat implica contramesures, amb la finalitat que l’hacker costaria molt més que els beneficis que podria obtenir. I la seguretat és dinàmica, els nous escenaris, les noves tècniques i la iteració dels productes DeFi poden causar nous problemes de seguretat, de manera que no és possible protegir-se d’una vegada per totes..

Michael: Amb els nous llenguatges de programació adoptats: Vyper (Ethereum), Haskell (Cardano), creieu que això ajudarà a la seguretat de blockchain?

SECBIT: Vyper s’assembla força a la solidesa, la majoria de les millores. Haskell, en canvi, és més matemàtic. Però, com he dit, els problemes de seguretat més grans provenen del nivell lògic i no del nivell lingüístic. Els nous atacs no són exclusivament a nivell lingüístic i provenen de tot el sistema blockchain, cosa que és molt complicat. Els hackers continuen inventant nous atacs que mai no havíem vist. Les noves vulnerabilitats són difícils de detectar per les eines incrustades als compiladors. No podem imaginar que s’evitessin atacs automàticament. Veurem més vulnerabilitats arrelades des del nivell lògic, fins i tot si les eines lingüístiques estan millorant. El codi ha de ser auditat per experts.

Agraeixo el treball de la comunitat de llenguatges de programació, on la tipificació estàtica impedeix als programadors cometre errors ximples. Per exemple, el llenguatge proposat per Facebook, anomenat MOVE, s’executa a la cadena Libra. Manlleva la idea a RUST of "moure vs. copiar", "propietat i préstecs". El sistema de tipus estàtic garanteix que la quantitat total d’actius digitals no canvia, de manera que ni els desenvolupadors ni els pirates informàtics poden fer-ho.

D ‘altra banda, necessitem especificacions formals o verificacions formals per garantir el "correcció" fins a cert punt. No 100%, però la màxima seguretat només depenem de les matemàtiques. Tot i això, les eines i les pràctiques encara estan en camí. Suggereixo la feina de l’equip de CertiK.

Certik: Probablement. Crec que hem subestimat la seguretat en les primeres fases del nostre ecosistema. Vam prendre decisions arquitectòniques extremadament difícils de canviar després. L’EVM té salts dinàmics, que fan que qualsevol anàlisi estàtica sigui extremadament pesada i amb prou feines hi ha avantatges. La solidesa des del 0,5, al meu entendre, s’ha centrat en la seguretat, invertint algunes de les coses que es van produir amb decisions de disseny de llenguatge deficients.

Vyper és millor, però, malauradament, no està preparat per a la producció per a grans projectes i no té moltes funcions importants.

En realitat, estic emocionat amb DeapSEA, un llenguatge de programació orientat a EVM que intenta superar aquests reptes imposats per EVM i permetre una verificació formal més fàcil dels contractes intel·ligents d’Ethereum. Està sent desenvolupat per Certik i Yale i en coneixerem més aviat.

Tot i que es tracta d’un horitzó més llarg, crec que la transició a eWASM serà fantàstica per seguretat. No només es va centrar molt més en els seg, sinó que també podrem aprofitar el seu ecosistema d’eines de seguretat.

Cara lenta: Aquests idiomes tenen les seves pròpies funcions de seguretat. Per exemple, Vyper realitza moltes comprovacions de desbordament aplicables als càlculs aritmètics, i els llenguatges funcionals com Haskell poden ajudar amb la verificació formal. Però la seguretat és multidimensional i, a part de les funcions segures del llenguatge de programació, la seguretat del desenvolupament del producte i la seguretat de la lògica empresarial són tan importants com els idiomes..

Michael: Quin és el pirateig de comptes més devastador que heu trobat mai? Qualsevol experiència personal que pugueu compartir?

SECBIT: Clau robada. Uns quants centenars d’ET d’un dels nostres clients. Però, es van perdre claus més casos que ens venien a buscar ajuda. La gent acaba d’oblidar el codi mnemotècnic o la contrasenya. És un altre dilema en el món de la seguretat. Com podem recordar una contrasenya segura? Una contrasenya dèbil és fàcil de recordar, però amb poca entropia. És vulnerable als atacs forçosos. (per exemple, Rainbow Table Attack); mentre que una contrasenya més aleatòria és mortalment difícil de recordar. L’escriureu en un paper? Podríem oblidar-nos del diari l’altre matí.

Certik: Tinc la sort que cap dels projectes en què he treballat mai ha estat piratejat.

Cara lenta: El dia de Sant Valentí negre d’Ethereum, anomenat pel nostre equip. Aquest incident de seguretat es va observar per primera vegada el març del 2018. El pirata informàtic havia robat els eths i altres fitxes de la cartera de l’usuari amb l’escriptura automàtica durant dos anys abans de trobar-lo per primera vegada. A hores d’ara, es van robar aproximadament 54864 ETH amb el valor actual de 10 milions de dòlars de 6679 carteres. Aquest hack és molt impressionant tenint en compte la seva influència i el temps de durada.

Micahel: si hi hagués UN UN consell de seguretat per als nostres espectadors: el consell que creieu que estalviarà potencialment milers de dòlars als nostres espectadors, quin seria?

SECBIT: Pràctica per recordar el codi mnemotècnic; Sé que és difícil. És extremadament dur. Però, confieu en mi, aquesta és l’única manera de protegir els vostres actius digitals. Pregunteu als proveïdors de serveis quant de pressupost han invertit en seguretat i control de riscos, quines contramesures han estat prenent i llegiu el material, com ara l’informe d’auditoria i els documents de disseny de sistemes del lloc web. Crec que els proveïdors que gestionen seriosament un negoci a la cadena de blocs haurien de tenir polítiques estrictes al respecte.

Certik: Llegiu informes. Llegiu un informe d’auditoria abans d’utilitzar qualsevol aplicació descentralitzada. De tant en tant veiem vulnerabilitats assenyalades durant les auditories, mai corregides i posteriorment explotades. Comproveu si el darrer informe emès menciona alguna vulnerabilitat crítica o significativa.

Cara lenta: Per als actius personals, us recomanem que protegiu la vostra clau privada d’Internet.

Per a les criptomonedes en productes DeFi, suggerim que a l’hora de triar els productes i plataformes DeFi, l’usuari ha de prestar atenció tant al mecanisme de control de riscos com a l’adhesió dels informes d’auditories de seguretat d’un equip de seguretat de tercers. A més, la seguretat és dinàmica, de manera que tothom hauria de comprovar els antecedents de seguretat dels productes i plataformes defi d’ara en endavant.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map