ملخص محادثات أكاديمية OKEx: DCEP – كيف تضمن الأمن لمستثمري DeFi؟

أصبحت DeFi ، اختصارًا للتمويل اللامركزي ، كلمة طنانة في مجال العملات المشفرة منذ عام 2019. مع نمو DeFi ، نتجه خطوة أخرى إلى مستقبل التمويل. إنشاء إطار عمل عالمي وأكثر شفافية لكل خدمة مالية اليوم: المدخرات والقروض والتداول والمزيد.

أقامت OKEx Academy ندوة عبر الإنترنت مع بعض الضيوف المميزين لمشاركة رؤاهم حول أمان DeFi وكيف يمكن لمستثمري DeFi التأكد من أن استثماراتهم آمنة.

ستوجهك هذه المقالة خلال ملخص المناقشة.

المتحدثون الضيوف:

Yu Guo – مؤسس مختبرات SECBIT

دومينيك تيمل – كبير مدققي Ethereum بشركة Certik

Zhengchao Du – كبير مهندسي الأمن في Slowmist

الوسيط:

مايكل غوي – Boxmining

ميخائيل: التمويل اللامركزي ينمو بوتيرة سريعة ، لدينا حاليًا أكثر من 800 مليون دولار من العملات المشفرة في عقود DeFi Smart. نظرًا لأن هذه العقود لا مركزية ، يحتاج المنشئون إلى التأكد من أن الكود وراء هذه العقود آمن. يمكن أن يؤدي عدم القيام بذلك إلى عمليات اختراق كارثية – على سبيل المثال ، قبل أقل من أسبوعين تمكن أحد المتسللين من “سرقة” ما قيمته 25 مليون دولار من العملات المشفرة من عقود dForce. يعد الأمان من الاختراقات أمرًا بالغ الأهمية لضمان نمو DeFi على المدى الطويل. لحسن الحظ ، لدينا اليوم لجنة من خبراء الأمن.

البدء باقتباس نقدي من DeFi Critic "أتعلم فقط عن DeFi عندما يفشل المشروع ويفقد الأموال". ما هي في رأيك أكبر المخاطر الأمنية للتمويل اللامركزي?

SECBIT: تم بناء DeFi على كود ، والذي يتكون من العديد من الوحدات ، والتي تم تطويرها من قبل فرق مختلفة. إن سوء فهم الوحدات الأساسية ، اللبنات الأساسية سيؤدي إلى خسائر أكبر. ليس من السهل توضيح واجهة كل وحدة أو تحديدها أو إضفاء الطابع الرسمي عليها.

سيرتيك: بصرف النظر عن الأشياء خارج السلسلة مثل أمان المفاتيح ، واختطاف الواجهات الأمامية و / أو خوادم DNS ، و OpSec ، وما إلى ذلك ، أعتقد أن أكبر المخاطر على السلسلة هي عدم صحة التنفيذ (خطأ Hegic) والتفاعل مع الحسابات الأخرى ، وبالتحديد : هجمات oracles المتلاعب بها (bZx hack) وهجمات إعادة الدخول (Uniswap & Lendf.me الاختراق)

بطيء: يقدم لنا التمويل اللامركزي ثلاث ميزات رئيسية: قابلية التشغيل البيني وإمكانية البرمجة وقابلية التركيب. بفضل هذه الميزات الثلاث ، نحن قادرون على الجمع بين جميع أنواع العقود الذكية مثل الجمع بين كتل lego ، والتي توفر لنا منتجات مالية وفيرة وإمكانيات غير محدودة. ومع ذلك ، فإن DeFi هو نظام معقد لدرجة أنه سيتم تضخيم المخاطر. بعبارة أخرى ، بالنسبة للنظام المالي المركزي ، يمكن التحكم في سيناريوهات المخاطر المحتملة من خلال العمل على المعايير والحد من أذونات الوصول ، بينما بالنسبة لـ DeFi ، يمكن دمج أي من عقدين يفيان بمعايير الاتفاقية معًا ، مما يعني الكثير المزيد من السيناريوهات المحتملة وكل سيناريو جديد يجلب مخاطر جديدة محتملة. والأهم من ذلك كله ، أن سمة المعيار يمكن أن تصبح عيبًا تحت أي ظرف من الظروف.

ميخائيل: هل يمكننا تحقيق الأمان الكامل مع DeFi?

SECBIT: إنها الكأس المقدسة. من المستحيل الوصول إلى الهدف نظريًا وعمليًا. أي ضمان على أساس الافتراضات. كلما زاد تعقيد النظام ، زاد الاعتماد على افتراضات الأمان. لكن مصداقية افتراضات السلامة هذه غير معروفة. في كثير من الحالات ، قد تفقد افتراضات السلامة هذه.

من الناحية النظرية ، فإن تعريف السلامة غامض إلى حد ما. قد نحدد سلامة معينة ، على سبيل المثال ، خالية من فيضان الأعداد الصحيحة. لكنها بشكل عام غير مكتملة. مع استمرار نمو مفهوم DeFi ، ينمو معنى السلامة أيضًا. نحن لا نحدد مفهومًا كاملاً للسلامة.

التمويل محفوف بالمخاطر بطبيعته. تقليديا ، تأتي الأرباح من المخاطرة. الآن ، يتم خلط المخاطر المالية مع التعقيد الحسابي ، وبالتالي يصعب السيطرة على المخاطر المشتركة. من الناحية العملية ، يصعب رصد السلامة ، ويصعب التحقق منها. قد تحدث مشكلات تتعلق بالسلامة في مستويات مختلفة ، مثل الافتراضات الأمنية ، وسلسلة الكتل ، والآلة الافتراضية والمترجمات ، والمكتبات ، ومنطق الكود ، وواجهة الخدمات. ليس من السهل تحقيق أي منها خالٍ من الأخطاء.

تتمثل إحدى الميزات الواعدة لـ DeFi في أن العقود الذكية قابلة للتكوين بدرجة كبيرة ، حتى لو تم تطوير العقود الذكية بواسطة فرق مختلفة. لكننا رأينا أخطاء موجودة في الواجهات – على سبيل المثال ، ERC777 ، ERC827 ، ERC 233. ستجعل قابلية التركيب النظام أكثر انفتاحًا وديناميكية. تدور العديد من الأساليب التقليدية حول جعل النظام الثابت آمنًا لن يعمل مع النظام الجديد والمفتوح والديناميكي والضخم.

سيرتيك: السلامة هي مسألة تناقص الغلة. لا يمكننا أبدًا التأكد من صحة أي تفكير منطقي لأننا قد نرتكب خطأ في التحقق نفسه ، وهو تناقض المنطق. وبنفس الطريقة ، لا يمكننا أبدًا أن نكون متأكدين بنسبة 100٪ من أن شيئًا ما آمن. ومع ذلك ، أنا متفائل جدًا بأننا نستطيع تحقيق ضمانات أمنية مشددة بالإجراءات المناسبة. عمليات تدقيق مكثفة ومكثفة ، وتحقق رسمي ، ومكافآت سخية للأخطاء …

السؤال الأكثر إثارة للاهتمام هو ما إذا كانت هذه المقاييس. هل يمكننا العثور على أداة تعمل على أتمتة الأمان؟ لم يحقق أحد ذلك بعد. لا يزال السؤال مفتوحًا.

بطيء: الأمان الكامل مستحيل لأي منتجات بما في ذلك DeFi. يجب أن ندرك أن الأمن يتضمن إجراءات مضادة ، بغرض أن يكلف المتسلل أكثر بكثير من الفوائد التي قد يحصل عليها. والأمان ديناميكي ، والسيناريوهات الجديدة ، والتقنيات الجديدة ، وتكرار منتجات DeFi قد يتسبب في مشاكل أمنية جديدة ، لذا فاحرص على أن تكون آمنًا إلى الأبد غير ممكن.

ميخائيل: مع اعتماد لغات برمجة جديدة – Vyper (Ethereum) و Haskell (Cardano) – هل تعتقد أن هذا سيساعد في أمان blockchain?

SECBIT: Vyper يشبه إلى حد كبير الصلابة ، معظم التحسينات. هاسكل ، من ناحية أخرى ، أكثر رياضية. ولكن ، كما قلت ، أكبر مشكلات الأمان تأتي من مستوى المنطق وليس مستوى اللغة. الهجمات الجديدة ليست على مستوى اللغة البحت ، وقد جاءت من نظام blockchain بأكمله ، وهو أمر معقد للغاية. يواصل المتسللون اختراع هجمات جديدة لم نشهدها من قبل. من الصعب اكتشاف الثغرات الأمنية الجديدة بواسطة الأدوات المضمنة في المجمّعين. لا يمكننا أن نتخيل أن الهجمات سيتم منعها تلقائيًا. سنرى المزيد من نقاط الضعف متجذرة من المستوى المنطقي ، حتى لو كانت أدوات اللغة تتحسن. يجب تدقيق الكود من قبل خبراء.

أنا أقدر العمل من مجتمع لغة البرمجة ، حيث تمنع الكتابة الثابتة المبرمجين من ارتكاب أخطاء سخيفة. على سبيل المثال ، اللغة التي اقترحها Facebook ، المسماة MOVE ، تعمل على سلسلة Libra. إنها تقترض الفكرة من RUST of "نقل مقابل نسخ", "الملكية والاقتراض". يتأكد نظام النوع الثابت من أن المبلغ الإجمالي للأصول الرقمية لم يتغير ، بحيث لا يستطيع المطورون ولا المتسللون القيام بذلك.

من ناحية أخرى ، نحتاج إلى مواصفات رسمية أو عمليات تحقق رسمية لضمان "صحة" إلى حد ما. ليس بنسبة 100٪ ، ولكن بأقصى درجات الأمان نعتمد فقط على الرياضيات. ومع ذلك ، لا تزال الأدوات والممارسات في الطريق. أقترح العمل من فريق CertiK.

سيرتيك: المحتمل. أعتقد أننا قللنا من أهمية الأمن في المراحل الأولى من نظامنا البيئي. اتخذنا قرارات معمارية يصعب تغييرها بعد ذلك. يحتوي EVM على قفزات ديناميكية ، مما يجعل أي تحليل ثابت مرهقًا للغاية ، ولا تكاد توجد فوائد على الإطلاق. أصبحت الصلابة منذ 0.5 ، في رأيي ، تركز على الأمان ، مما عكس بعض ما كان مع قرارات تصميم اللغة السيئة في الرؤية الخلفية..

Vyper أفضل ، لكن لسوء الحظ ، ليس جاهزًا للإنتاج للمشاريع الكبيرة ويفتقر إلى الكثير من الميزات المهمة.

أنا متحمس حقًا بشأن DeapSEA ، وهي لغة برمجة تستهدف EVM تحاول التغلب على هذه التحديات التي يفرضها EVM والسماح بالتحقق الرسمي الأسهل من عقود Ethereum الذكية. يتم تطويره بواسطة Certik و Yale وسنسمع المزيد عنه قريبًا.

على الرغم من أن هذا في أفق أطول ، أعتقد أن الانتقال إلى eWASM سيكون رائعًا للأمان. ليس تطبيق wasm أكثر تركيزًا على الثواني فحسب ، بل سنكون قادرين أيضًا على الاستفادة من نظامه البيئي الخاص بأدوات الأمان.

بطيء: هذه اللغات لها ميزات الأمان الخاصة بها. على سبيل المثال ، يقوم Vyper بإجراء الكثير من عمليات التحقق من الفائض المطبقة على الحسابات الحسابية ، ويمكن أن تساعد اللغات الوظيفية مثل Haskell في التحقق الرسمي. لكن الأمان متعدد الأبعاد ، وبغض النظر عن ميزات لغة البرمجة الآمنة ، فإن أمان تطوير المنتج وأمن منطق الأعمال لا يقل أهمية عن اللغات.

مايكل: ما هو أكثر اختراق حساب واجهته تدميراً؟ أي تجربة شخصية يمكنك مشاركتها?

SECBIT: مفتاح مسروق. بضع مئات من ETH من أحد عملائنا. ولكن ، فُقدت المزيد من الحالات التي ترد إلينا لطلب المساعدة. لقد نسي الناس فقط رمز الذاكرة أو كلمة المرور. إنها معضلة أخرى في عالم الأمن. كيف يمكننا تذكر كلمة مرور آمنة؟ من السهل تذكر كلمة المرور الضعيفة ولكن مع انخفاض إنتروبيا. وهي عرضة لهجمات القوة الغاشمة. (على سبيل المثال. هجوم طاولة قوس قزح) ؛ بينما يصعب تذكر كلمة المرور الأكثر عشوائية. اكتبها على ورقة؟ قد ننسى الجريدة في صباح اليوم الآخر.

سيرتيك: أنا محظوظ لأنه لم يتم اختراق أي من المشاريع التي عملت عليها.

بطيء: يوم عيد الحب في Ethereum Black ، الذي حدده فريقنا. لوحظ هذا الحادث الأمني ​​لأول مرة في مارس 2018. سرق المخترق الرموز والرموز المميزة الأخرى من محفظة المستخدم بالنص التلقائي لمدة عامين قبل أن نعثر عليه لأول مرة. حتى الآن ، تمت سرقة حوالي 54864 ETH بقيمة حالية تبلغ 10 ملايين دولار من 6679 محفظة. هذا الاختراق مثير للإعجاب بالنظر إلى تأثيره ووقت مدته.

ميكاهيل: إذا كانت هناك نصيحة أمنية واحدة لمشاهدينا – النصيحة التي تعتقد أنها ستوفر لمشاهدينا آلاف الدولارات – فماذا ستكون?

SECBIT: تدرب على تذكر رمز ذاكري ؛ وأنا أعلم أنه من الصعب. إنه صعب للغاية. لكن ، صدقني ، هذه هي الطريقة الوحيدة للحفاظ على أمان أصولك الرقمية. اسأل مزودي الخدمة عن مقدار الميزانية التي أنفقوها على الأمن والتحكم في المخاطر ، وما هي الإجراءات المضادة التي اتخذوها ، واقرأ المواد مثل تقرير التدقيق ، ووثائق تصميم النظام على موقع الويب. أعتقد أن مقدمي الخدمة الذين يديرون عملًا جادًا على blockchain يجب أن يكون لديهم سياسات صارمة بشأن ذلك.

سيرتيك: قراءة التقارير. اقرأ تقرير التدقيق قبل استخدام أي تطبيق لامركزي. من وقت لآخر ، نرى نقاط ضعف يتم الإشارة إليها أثناء عمليات التدقيق ، ولم يتم تصحيحها مطلقًا ، ثم يتم استغلالها لاحقًا. تحقق مما إذا كان التقرير الأخير الصادر يشير إلى أي ثغرات خطيرة أو كبيرة.

بطيء: بالنسبة للأصول الشخصية ، نقترح حماية مفتاحك الخاص من الإنترنت.

بالنسبة للعملات المشفرة في منتجات DeFi ، نقترح أنه عند اختيار منتجات ومنصات DeFi ، يجب على المستخدم الانتباه إلى كل من آلية التحكم في المخاطر والمصادقة على تقارير تدقيقات الأمان من فريق أمان متميز تابع لجهة خارجية. إلى جانب ذلك ، فإن الأمان ديناميكي لذا يجب على الجميع التحقق من الخلفية الأمنية للمنتجات والأنظمة الأساسية من الآن وبعد ذلك.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Our Socials
Facebooktwitter
Promo
banner
Promo
banner