OKEx Academy Talks Recap:DCEP – DeFi投資家のセキュリティを確保する方法は?

DeFiは、Decentralized Financeの略で、2019年以来、暗号通貨の分野で流行語になりました。DeFiが成長するにつれて、私たちは金融の未来にさらに一歩進んでいます。今日のすべての金融サービス(貯蓄、ローン、取引など)に対して、グローバルでより透明性の高いフレームワークを作成する.

OKEx Academyは、DeFiのセキュリティと、DeFiの投資家が投資の安全性を確保する方法についての洞察を共有するために、特別ゲストとオンラインウェビナーをまとめました。.

この記事では、ディスカッションの要約を説明します.

ゲストの解説者:

YuGuo-SECBITラボの創設者

DominikTeiml-Certikのリードイーサリアム監査人

ZhengchaoDu-Slowmistのシニアセキュリティエンジニア

モデレータ:

MichaelGui-ボックスマイニング

マイケル:分散型ファイナンスは急速に成長しており、現在、DeFiスマートコントラクトにロックされた暗号通貨で8億ドル以上があります。これらの契約は分散化されているため、作成者はこれらの契約の背後にあるコードが安全であることを確認する必要があります。そうしないと、壊滅的なハッキングが発生する可能性があります。たとえば、2週間以内に、ハッカーはdForce契約から2500万ドル相当の暗号を「盗む」ことができました。 DeFiの長期的な成長を確実にするために、このようなハッキングからのセキュリティが最も重要です。幸いなことに、今日はセキュリティ専門家のパネルがあります.

DeFi評論家からの批判的な引用から始めます "プロジェクトが失敗して資金を失ったときにのみDeFiについて学びます". 分散型ファイナンスに対する最大のセキュリティリスクは何だと思いますか?

SECBIT:DeFiは、さまざまなチームによって開発された多くのモジュールで構成されるコードに基づいて構築されています。基本モジュールの誤解、ビルディングブロックはより大きな損失をもたらすでしょう。各モジュールのインターフェースは、明確化、指定、または形式化するのが簡単ではありません.

Certik:キーのセキュリティ、フロントエンドやDNSサーバーのハイジャック、OpSecなどのオフチェーンのものは別として、オンチェーンの最大のリスクは実行の誤り(Hegicバグ)と他のアカウントとの相互作用、つまり:操作可能なオラクル(bZxハック)と再入可能攻撃(Uniswap & Lendf.me ハック)

スローミスト:分散型ファイナンスは、相互運用性、プログラム可能性、および構成可能性という3つの主要な機能をもたらします。これら3つの機能により、レゴブロックの組み合わせなど、あらゆる種類のスマートコントラクトを組み合わせることができ、豊富な金融商品と無限の可能性をもたらします。ただし、DeFiは非常に複雑なシステムであるため、リスクが増幅されます。言い換えれば、集中型金融システムの場合、標準に取り組み、アクセス許可を制限することで、起こりうるリスクシナリオを制御できます。一方、DeFiの場合、契約の標準を満たす2つの契約のいずれかを組み合わせることができます。つまり、多くのより多くの可能なシナリオとそれぞれの新しいシナリオは、潜在的な新しいリスクをもたらします。そして何よりも重要なのは、標準の機能がどのような状況でも欠陥になる可能性があることです。.

マイケルDeFiで完全な安全性を達成できるでしょうか?

SECBIT:それは聖杯です。理論的にも実際的にも、目標を達成することは不可能です。すべてのセキュリティは仮定に基づいています。システムが複雑になるほど、より多くのセキュリティの前提が信頼されます。しかし、これらの安全性の仮定の信頼性は不明です。多くの場合、これらの安全性の仮定は緩む可能性があります.

理論的には、安全性の定義はかなり曖昧です。たとえば、整数オーバーフローのない特定の安全性を定義できます。しかし、それは一般的に不完全です。 DeFiの概念が成長し続けるにつれて、安全性の意味も成長しています。安全の完全な概念を定義する方法はありません.

金融は本質的に危険です。従来、利益はリスクテイクから得られます。現在、財務リスクは計算の複雑さと混ざり合っているため、組み合わされたリスクを制御することは困難です。実際には、安全性を見つけることは難しく、検証することは困難です。さまざまなレベル、セキュリティの前提、ブロックチェーン、仮想マシンとコンパイラ、ライブラリ、コードのロジック、サービスのインターフェイスで発生する可能性のある安全性の問題があります。それらのどれもバグなしで達成するのは簡単ではありません.

DeFiの有望な機能の1つは、スマートコントラクトが異なるチームによって開発された場合でも、スマートコントラクトが非常に構成可能であることです。ただし、ERC777、ERC827、ERC 233などのインターフェイスでバグが見つかりました。構成可能性により、システムがよりオープンで動的になります。多くの従来のアプローチは、静的システムを安全にすることに関するものであり、新しい、オープンで、動的で、巨大なシステムでは機能しません。.

Certik:安全性は収穫逓減の問題です。論理のパラドックスである検証自体に誤りがある可能性があるため、論理的推論が有効であるかどうかを確認することはできません。同様に、何かが安全であると100%確信することはできません。しかし、適切な対策を講じることで高セキュリティの保証を実現できると非常に楽観視しています。広範囲にわたる集中的な監査、フォーマル検証、寛大なバグ報奨金…

より興味深い質問は、これらがスケーリングするかどうかです。セキュリティを自動化するツールを見つけることができますか?まだ誰もそれを達成していません。それはまだ未解決の質問です.

スローミスト:DeFiを含むどの製品でも完全なセキュリティは不可能です。ハッカーが得る利益よりもはるかに多くの費用がかかるという目的のために、セキュリティには対抗策が含まれることを理解する必要があります。また、セキュリティは動的であり、新しいシナリオ、新しい手法、およびDeFi製品の反復により、新しいセキュリティの問題が発生する可能性があるため、完全にセキュリティを確保することは不可能です。.

マイケル新しいプログラミング言語が採用されました– Vyper(Ethereum)、Haskell(Cardano)–これはブロックチェーンのセキュリティに役立つと思いますか?

SECBIT:Vyperは堅牢性に非常によく似ており、ほとんどの改善点があります。一方、Haskellはより数学的なものです。しかし、私が言ったように、最大​​のセキュリティ問題は、言語レベルではなく、ロジックレベルからのものです。新しい攻撃は純粋に言語レベルではなく、非常に複雑なブロックチェーンシステム全体から発生しました。ハッカーは、これまでに見たことのない新しい攻撃を発明し続けています。新しい脆弱性は、コンパイラに組み込まれたツールでは検出が困難です。攻撃が自動的に防止されるとは想像できません。言語ツールが改善されている場合でも、ロジックレベルに根ざした脆弱性が増えるでしょう。コードは専門家による監査が必要です.

静的型付けによってプログラマーがばかげた間違いをするのを防ぐプログラミング言語コミュニティの仕事に感謝します。たとえば、Facebookによって提案されたMOVEという名前の言語は、Libraチェーンで実行されています。 RUSTのアイデアを借りています "移動とコピー", "所有権と借入". 静的型システムは、開発者もハッカーもできないように、デジタル資産の総量が変更されていないことを確認します.

一方、次のことを確認するには、正式な仕様または正式な検証が必要です。 "正しさ" ある程度。 100%ではありませんが、最大限の安全性は数学にのみ依存しています。ただし、ツールとプラクティスはまだ進行中です。私はCertiKチームからの仕事を提案します.

Certik: 多分。エコシステムの初期段階では、セキュリティを過小評価していたと思います。後で変更するのが非常に難しいアーキテクチャ上の決定を行いました。 EVMには動的ジャンプがあるため、静的分析は非常に面倒であり、メリットはほとんどありません。私の意見では、0.5以降の堅実性はセキュリティに重点を置いており、後知恵の貧弱な言語設計の決定にあったものの一部を逆転させています。.

Vyperの方が優れていますが、残念ながら、大規模なプロジェクトでは本番環境に対応しておらず、多くの重要な機能が不足しています。.

私は実際、これらのEVMが課す課題を克服し、Ethereumスマートコントラクトのより簡単なフォーマル検証を可能にするEVMターゲットプログラミング言語であるDeapSEAに興奮しています。これはCertikとYaleによって開発されており、まもなく詳しく説明します。.

それはより長い期間ですが、eWASMへの移行はセキュリティにとって素晴らしいことだと思います。 wasmは秒重視であるだけでなく、セキュリティツールのエコシステムを利用できるようになります。.

スローミスト: これらの言語には、独自のセキュリティ機能があります。たとえば、Vyperは算術計算に適用される多くのオーバーフローチェックを実行し、Haskellのような関数型言語はフォーマル検証に役立ちます。しかし、セキュリティは多次元的であり、プログラミング言語の安全な機能とは別に、製品開発のセキュリティとビジネスロジックのセキュリティは言語と同じくらい重要です。.

Michael:これまでに遭遇した中で最も破壊的なアカウントハッキングは何ですか?あなたが共有できる個人的な経験?

SECBIT:鍵が盗まれました。クライアントの1つから数百ETH。しかし、助けを求めて私たちに向かってくるより多くの事件は鍵を失いました。人々はニーモニックコードまたはパスワードを忘れただけです。これは、セキュリティの世界におけるさらに別のジレンマです。安全なパスワードをどのように覚えることができますか?弱いパスワードは覚えやすいですが、エントロピーは低くなります。ブルートフォース攻撃に対して脆弱です。 (例:レインボーテーブルアタック);一方、よりランダムなパスワードを覚えるのは非常に困難です。紙に書いてみませんか?先日の朝、紙を忘れてしまうかもしれません.

Certik: 私が今まで取り組んだプロジェクトのどれもハッキングされなかったのは幸運です.

スローミスト: 私たちのチームによって名付けられたイーサリアムブラックバレンタインデー。このセキュリティインシデントは2018年3月に最初に観察されました。ハッカーは、最初に発見する前の2年間、自動スクリプトを使用してユーザーのウォレットからethやその他のトークンを盗みました。現在までに、現在の価値が1,000万ドルの約54864ETHが6679個のウォレットから盗まれました。このハックは、その影響と期間を考えると非常に印象的です.

Micahel:視聴者にセキュリティのヒントが1つあったとしたら、視聴者は数千ドルも節約できると思いますが、それは何でしょうか。?

SECBIT:ニーモニックコードを覚えておく練習をしてください。私はそれが難しいことを知っています。非常に難しいです。しかし、私を信じてください、それがあなたのデジタル資産を安全に保つ唯一の方法です。セキュリティとリスク管理にどれだけの予算を費やしたか、どのような対策を講じているかをサービスプロバイダーに尋ね、監査レポート、Webサイトのシステム設計ドキュメントなどの資料を読んでください。ブロックチェーンで真剣にビジネスを運営しているプロバイダーは、それについて厳格なポリシーを持つべきだと思います.

Certik: レポートを読む。分散型アプリケーションを使用する前に、監査レポートをお読みください。監査中に脆弱性が指摘され、修正されず、後で悪用されることが時々あります。最後に発行されたレポートに重大または重大な脆弱性が記載されているかどうかを確認します.

スローミスト: 個人資産については、インターネットから秘密鍵を保護することをお勧めします.

DeFi製品の暗号通貨については、DeFi製品とプラットフォームを選択する際に、リスク管理メカニズムと、優れたサードパーティのセキュリティチームからのセキュリティ監査レポートの承認の両方に注意を払うことをお勧めします。その上、セキュリティは動的であるため、誰もがdefi製品とプラットフォームのセキュリティの背景を時々チェックする必要があります.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Our Socials
Facebooktwitter
Promo
banner
Promo
banner