OKEx Academy Talks Recap: DCEP – จะมั่นใจในความปลอดภัยสำหรับนักลงทุน DeFi ได้อย่างไร?

DeFi ย่อมาจาก Decentralized finance กลายเป็นคำที่แพร่หลายในพื้นที่ของสกุลเงินดิจิทัลตั้งแต่ปี 2019 เมื่อ DeFi เติบโตขึ้นเรากำลังก้าวไปอีกขั้นสู่อนาคตของการเงิน การสร้างกรอบการทำงานระดับโลกและโปร่งใสมากขึ้นสำหรับทุกบริการทางการเงินในปัจจุบัน: การออมการกู้ยืมการซื้อขายและอื่น ๆ.

OKEx Academy ได้จัดสัมมนาออนไลน์กับแขกพิเศษเพื่อแบ่งปันข้อมูลเชิงลึกเกี่ยวกับความปลอดภัยของ DeFi และวิธีที่นักลงทุน DeFi สามารถมั่นใจได้ว่าการลงทุนของพวกเขาจะปลอดภัย.

บทความนี้จะแนะนำคุณตลอดการสรุปการสนทนา.

วิทยากรรับเชิญ:

Yu Guo – ผู้ก่อตั้ง SECBIT Labs

Dominik Teiml – หัวหน้าผู้ตรวจสอบ Ethereum ของ Certik

Zhengchao Du – วิศวกรความปลอดภัยอาวุโสของ Slowmist

พิธีกร:

Michael Gui – Boxmining

ไมเคิล: การเงินแบบกระจายอำนาจกำลังเติบโตอย่างรวดเร็วปัจจุบันเรามีเงินมากกว่า 800 ล้านดอลลาร์โดยมีการเข้ารหัสลับไว้ในสัญญา DeFi Smart เนื่องจากสัญญาเหล่านี้มีการกระจายอำนาจผู้สร้างจึงจำเป็นต้องตรวจสอบให้แน่ใจว่ารหัสที่อยู่เบื้องหลังสัญญาเหล่านี้มีความปลอดภัย หากไม่ทำเช่นนั้นอาจส่งผลให้เกิดการแฮ็กที่หายนะได้ตัวอย่างเช่นเมื่อไม่ถึง 2 สัปดาห์ที่ผ่านมาแฮกเกอร์สามารถ “ขโมย” crypto มูลค่า 25 ล้านเหรียญจากสัญญา dForce ได้ การรักษาความปลอดภัยจากการแฮ็กสิ่งสำคัญยิ่งเพื่อให้แน่ใจว่า DeFi จะเติบโตในระยะยาว โชคดีที่วันนี้เรามีคณะผู้เชี่ยวชาญด้านความปลอดภัย.

เริ่มต้นด้วยคำพูดที่สำคัญจาก DeFi Critic "ฉันเรียนรู้เกี่ยวกับ DeFi เฉพาะเมื่อโครงการล้มเหลวและสูญเสียเงินทุน". คุณคิดว่าอะไรคือความเสี่ยงด้านความปลอดภัยที่ใหญ่ที่สุดสำหรับการเงินแบบกระจายอำนาจ?

SECBIT: DeFi สร้างขึ้นจากรหัสซึ่งประกอบด้วยโมดูลจำนวนมากซึ่งพัฒนาโดยทีมต่างๆ ความเข้าใจผิดเกี่ยวกับโมดูลพื้นฐานการสร้างบล็อคจะทำให้เกิดความสูญเสียมากขึ้น อินเทอร์เฟซของแต่ละโมดูลไม่ใช่เรื่องง่ายที่จะชี้แจงระบุหรือทำให้เป็นทางการ.

Certik: นอกเหนือจากสิ่งที่ไม่อยู่ในเครือข่ายเช่นการรักษาความปลอดภัยของคีย์การลักลอบใช้ส่วนหน้าและ / หรือเซิร์ฟเวอร์ DNS, OpSec เป็นต้นฉันคิดว่าความเสี่ยงบนเครือข่ายที่ยิ่งใหญ่ที่สุดคือการดำเนินการที่ไม่ถูกต้อง (Hegic bug) และการโต้ตอบกับบัญชีอื่น ๆ กล่าวคือ : oracles ที่จัดการได้ (แฮ็ค bZx) และการโจมตีกลับเข้ามาใหม่ (Uniswap & Lendf.me สับ)

Slowmist: การเงินแบบกระจายอำนาจทำให้เรามีคุณสมบัติหลักสามประการ ได้แก่ ความสามารถในการทำงานร่วมกันความสามารถในการเขียนโปรแกรมและความสามารถในการประกอบ ด้วยคุณสมบัติทั้งสามนี้เราจึงสามารถรวมสัญญาอัจฉริยะทุกประเภทเช่นการรวมตัวต่อเลโก้ซึ่งทำให้เรามีผลิตภัณฑ์ทางการเงินมากมายและความเป็นไปได้ที่ไม่มีที่สิ้นสุด อย่างไรก็ตาม DeFi เป็นระบบที่ซับซ้อนซึ่งความเสี่ยงจะถูกขยายออกไป กล่าวอีกนัยหนึ่งสำหรับระบบการเงินแบบรวมศูนย์สถานการณ์ความเสี่ยงที่เป็นไปได้สามารถควบคุมได้โดยทำงานตามมาตรฐานและ จำกัด สิทธิ์การเข้าถึงในขณะที่ DeFi สัญญาใด ๆ จากสองสัญญาที่เป็นไปตามมาตรฐานของข้อตกลงสามารถรวมเข้าด้วยกันได้ซึ่งหมายความว่าหลาย ๆ สถานการณ์ที่เป็นไปได้มากขึ้นและแต่ละสถานการณ์ใหม่จะนำความเสี่ยงใหม่ ๆ และที่สำคัญที่สุดคุณลักษณะของมาตรฐานอาจกลายเป็นข้อบกพร่องได้ไม่ว่าในสถานการณ์ใด ๆ.

ไมเคิล: เราจะได้รับความปลอดภัยอย่างสมบูรณ์ด้วย DeFi?


SECBIT: มันคือจอกศักดิ์สิทธิ์ เป็นไปไม่ได้ที่จะบรรลุเป้าหมายทั้งในทางทฤษฎีและทางปฏิบัติ ความปลอดภัยใด ๆ ขึ้นอยู่กับสมมติฐาน ยิ่งระบบมีความซับซ้อนมากขึ้นเท่าใดก็จะต้องอาศัยสมมติฐานด้านความปลอดภัยมากขึ้นเท่านั้น แต่ไม่ทราบความน่าเชื่อถือของสมมติฐานด้านความปลอดภัยเหล่านี้ ในหลายกรณีสมมติฐานด้านความปลอดภัยเหล่านี้อาจหลวม.

ในทางทฤษฎีคำจำกัดความของความปลอดภัยค่อนข้างคลุมเครือ เราอาจกำหนดความปลอดภัยเฉพาะตัวอย่างเช่นไม่มีจำนวนเต็มล้น แต่โดยทั่วไปแล้วจะไม่สมบูรณ์ เนื่องจากแนวคิดของ DeFi เติบโตขึ้นเรื่อย ๆ ความหมายของความปลอดภัยก็เติบโตขึ้นเช่นกัน เราไม่สามารถกำหนดแนวคิดที่สมบูรณ์เกี่ยวกับความปลอดภัยได้อย่างไร.

การเงินมีความเสี่ยงโดยสันดาน โดยปกติผลกำไรมาจากการรับความเสี่ยง ตอนนี้ความเสี่ยงทางการเงินผสมกับความซับซ้อนของการคำนวณดังนั้นความเสี่ยงที่รวมกันจึงยากที่จะควบคุม ในทางปฏิบัติความปลอดภัยนั้นยากที่จะมองเห็นยากที่จะตรวจสอบได้ มีปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นในระดับที่แตกต่างกันสมมติฐานด้านความปลอดภัย blockchains เครื่องเสมือนและคอมไพเลอร์ไลบรารีตรรกะของรหัสส่วนต่อประสานของบริการ ไม่มีข้อใดที่ง่ายต่อการบรรลุข้อผิดพลาด.

หนึ่งในคุณสมบัติที่มีแนวโน้มของ DeFi คือสัญญาอัจฉริยะสามารถประกอบได้สูงแม้ว่าสัญญาอัจฉริยะจะได้รับการพัฒนาโดยทีมงานที่แตกต่างกันก็ตาม แต่เราพบข้อบกพร่องที่พบในอินเทอร์เฟซเช่น ERC777, ERC827, ERC 233 ความสามารถในการประกอบจะทำให้ระบบเปิดกว้างและมีพลวัตมากขึ้น วิธีการดั้งเดิมหลายอย่างเกี่ยวกับการทำให้ระบบคงที่ปลอดภัยจะไม่สามารถใช้ได้กับระบบใหม่แบบเปิดไดนามิกและขนาดใหญ่.

Certik: ความปลอดภัยเป็นเรื่องของผลตอบแทนที่ลดน้อยลง เราไม่สามารถแน่ใจได้ว่าเหตุผลเชิงตรรกะใด ๆ ถูกต้องเพราะเราอาจทำผิดพลาดในการตรวจสอบตัวเองซึ่งเป็นความขัดแย้งของตรรกะ ในทำนองเดียวกันเราไม่สามารถมั่นใจได้ 100% ว่าบางสิ่งบางอย่างปลอดภัย อย่างไรก็ตามฉันมองโลกในแง่ดีมากเราสามารถบรรลุการรับประกันความปลอดภัยระดับสูงได้ด้วยมาตรการที่เหมาะสม การตรวจสอบที่กว้างขวางและเข้มข้นการตรวจสอบอย่างเป็นทางการรางวัลบั๊กมากมาย …

คำถามที่น่าสนใจกว่าคือว่าเครื่องชั่งเหล่านี้ เราจะหาเครื่องมือที่ช่วยรักษาความปลอดภัยโดยอัตโนมัติได้ไหม? ยังไม่มีใครทำสำเร็จ ยังคงเป็นคำถามที่เปิดกว้าง.

Slowmist: การรักษาความปลอดภัยที่สมบูรณ์เป็นไปไม่ได้สำหรับผลิตภัณฑ์ใด ๆ รวมถึง DeFi เราควรตระหนักว่าการรักษาความปลอดภัยเกี่ยวข้องกับมาตรการตอบโต้เพื่อจุดประสงค์ที่แฮกเกอร์จะต้องเสียค่าใช้จ่ายมากกว่าผลประโยชน์ที่เขาจะได้รับ และการรักษาความปลอดภัยเป็นแบบไดนามิกสถานการณ์ใหม่ ๆ เทคนิคใหม่ ๆ และการทำซ้ำผลิตภัณฑ์ DeFi อาจทำให้เกิดปัญหาด้านความปลอดภัยใหม่ ๆ ดังนั้นจงปลอดภัยเพียงครั้งเดียวเป็นไปไม่ได้.

ไมเคิล: ด้วยภาษาโปรแกรมใหม่ที่นำมาใช้ – Vyper (Ethereum), Haskell (Cardano) – คุณคิดว่าสิ่งนี้จะช่วยในเรื่องความปลอดภัยของบล็อกเชนได้หรือไม่?

SECBIT: Vyper ค่อนข้างเหมือนความแข็งแกร่งการปรับปรุงส่วนใหญ่ ในทางกลับกัน Haskell เป็นคณิตศาสตร์มากกว่า แต่อย่างที่บอกว่าปัญหาด้านความปลอดภัยที่ใหญ่ที่สุดมาจากระดับตรรกะไม่ใช่ระดับภาษา การโจมตีใหม่ไม่ได้อยู่ที่ระดับภาษาอย่างเดียวและมาจากระบบบล็อกเชนทั้งหมดซึ่งมีความซับซ้อนมาก แฮกเกอร์ยังคงคิดค้นการโจมตีใหม่ ๆ ที่เราไม่เคยเห็นมาก่อน ช่องโหว่ใหม่นั้นยากที่จะตรวจพบโดยเครื่องมือที่ฝังอยู่ในคอมไพเลอร์ เรานึกไม่ถึงว่าการโจมตีจะถูกป้องกันโดยอัตโนมัติ เราจะเห็นช่องโหว่เพิ่มเติมจากระดับตรรกะแม้ว่าเครื่องมือภาษาจะดีขึ้นก็ตาม รหัสต้องได้รับการตรวจสอบโดยผู้เชี่ยวชาญ.

ฉันขอขอบคุณผลงานจากชุมชนภาษาโปรแกรมที่การพิมพ์แบบคงที่ช่วยป้องกันไม่ให้โปรแกรมเมอร์ทำผิดพลาดโง่ ๆ ตัวอย่างเช่นภาษาที่เสนอโดย Facebook ชื่อ MOVE กำลังทำงานบนเครือข่าย Libra มันยืมความคิดจาก RUST of "ย้ายเทียบกับสำเนา", "กรรมสิทธิ์และการกู้ยืม". ระบบประเภทคงที่จะตรวจสอบให้แน่ใจว่าจำนวนสินทรัพย์ดิจิทัลทั้งหมดไม่มีการเปลี่ยนแปลงซึ่งทั้งนักพัฒนาและแฮกเกอร์ก็ไม่สามารถทำได้.

ในทางกลับกันเราจำเป็นต้องมีข้อกำหนดที่เป็นทางการหรือการยืนยันอย่างเป็นทางการเพื่อให้แน่ใจว่า "ความถูกต้อง" ในระดับหนึ่ง ไม่ใช่ 100% แต่ความปลอดภัยสูงสุดเราขึ้นอยู่กับคณิตศาสตร์เท่านั้น อย่างไรก็ตามเครื่องมือและการปฏิบัติยังอยู่ในระหว่างการเดินทาง ฉันขอแนะนำผลงานจากทีมงาน CertiK.

Certik: น่าจะเป็น ฉันคิดว่าเราประเมินความปลอดภัยต่ำไปในช่วงแรก ๆ ของระบบนิเวศของเรา เราได้ทำการตัดสินใจทางสถาปัตยกรรมซึ่งยากมากที่จะเปลี่ยนแปลงในภายหลัง EVM มีการกระโดดแบบไดนามิกซึ่งทำให้การวิเคราะห์แบบคงที่ยุ่งยากมากและแทบจะไม่มีประโยชน์เลย ในความคิดของฉัน Solidity ตั้งแต่ 0.5 ได้กลายเป็นเน้นความปลอดภัยโดยย้อนกลับบางสิ่งที่เกิดขึ้นกับการตัดสินใจออกแบบภาษาที่ไม่ดี.

Vyper ดีกว่า แต่น่าเสียดายที่มันไม่พร้อมใช้งานจริงสำหรับโปรเจ็กต์ขนาดใหญ่และขาดคุณสมบัติที่สำคัญมากมาย.

ฉันรู้สึกตื่นเต้นจริงๆเกี่ยวกับ DeapSEA ซึ่งเป็นภาษาโปรแกรมที่กำหนดเป้าหมายจาก EVM ซึ่งพยายามเอาชนะความท้าทายที่กำหนดโดย EVM เหล่านี้และช่วยให้สามารถตรวจสอบสัญญาอัจฉริยะ Ethereum อย่างเป็นทางการได้ง่ายขึ้น ได้รับการพัฒนาโดย Certik และ Yale และเราจะได้รับทราบข้อมูลเพิ่มเติมในเร็ว ๆ นี้.

แม้ว่าจะอยู่ในขอบฟ้าที่ยาวนานกว่า แต่ฉันคิดว่าการเปลี่ยนไปใช้ eWASM จะดีมากสำหรับการรักษาความปลอดภัย ไม่เพียง แต่เน้นความปลอดภัยมากขึ้นเท่านั้น แต่เรายังสามารถใช้ประโยชน์จากระบบนิเวศของเครื่องมือรักษาความปลอดภัยได้อีกด้วย.

Slowmist: ภาษาเหล่านี้มีคุณลักษณะด้านความปลอดภัยของตนเอง ตัวอย่างเช่น Vyper ทำการตรวจสอบมากเกินไปซึ่งใช้กับการคำนวณทางคณิตศาสตร์และภาษาที่ใช้งานได้เช่น Haskell สามารถช่วยในการตรวจสอบอย่างเป็นทางการได้ แต่การรักษาความปลอดภัยนั้นมีหลายมิติและนอกเหนือจากคุณสมบัติความปลอดภัยของภาษาโปรแกรมแล้วความปลอดภัยในการพัฒนาผลิตภัณฑ์และความปลอดภัยทางตรรกะทางธุรกิจก็มีความสำคัญเช่นเดียวกับภาษา.

Michael: การแฮ็กบัญชีที่ร้ายแรงที่สุดที่คุณเคยพบคืออะไร? ประสบการณ์ส่วนตัวใด ๆ ที่คุณสามารถแบ่งปันได้?

SECBIT: กุญแจถูกขโมย ETH ไม่กี่ร้อยจากลูกค้าของเรา แต่มีหลายกรณีที่มาหาเราเพื่อขอความช่วยเหลือคือกุญแจหาย ผู้คนลืมรหัสช่วยในการจำหรือรหัสผ่าน ยังเป็นอีกหนึ่งสถานการณ์ที่กลืนไม่เข้าคายไม่ออกในโลกแห่งความปลอดภัย เราจะจำรหัสผ่านที่ปลอดภัยได้อย่างไร? รหัสผ่านที่ไม่รัดกุมนั้นง่ายต่อการจดจำ แต่มีเอนโทรปีต่ำ มีความเสี่ยงต่อการโจมตีแบบดุร้าย (เช่น Rainbow Table Attack); ในขณะที่รหัสผ่านแบบสุ่มมากขึ้นนั้นยากที่จะจำได้ เขียนลงกระดาษ? เราอาจลืมเรื่องกระดาษในเช้าวันอื่น ๆ.

ใบรับรอง: ฉันโชคดีที่ไม่มีโครงการใดที่ฉันเคยทำอยู่เลยถูกแฮ็ก.

Slowmist: Ethereum Black Valentine’s Day ซึ่งตั้งชื่อโดยทีมงานของเรา เหตุการณ์ด้านความปลอดภัยนี้เกิดขึ้นครั้งแรกในเดือนมีนาคมปี 2018 แฮ็กเกอร์ได้ขโมย eths และโทเค็นอื่น ๆ จากกระเป๋าเงินของผู้ใช้ด้วยสคริปต์อัตโนมัติเป็นเวลาสองปีก่อนที่เราจะพบครั้งแรก ถึงตอนนี้ประมาณ 54864 ETH ซึ่งมีมูลค่าปัจจุบัน 10 ล้านดอลลาร์ถูกขโมยไปจาก 6679 วอลเล็ต การแฮ็กนี้น่าประทับใจมากเมื่อพิจารณาจากอิทธิพลและระยะเวลา.

Micahel: หากมีเคล็ดลับความปลอดภัยหนึ่งอย่างสำหรับผู้ชมของเรา – เคล็ดลับที่คุณคิดว่าจะช่วยผู้ชมของเราได้หลายพันดอลลาร์ – จะเป็นอย่างไร?

SECBIT: ฝึกจำรหัสช่วยในการจำ; ฉันรู้ว่ามันยาก มันยากมาก แต่เชื่อฉันเถอะว่านั่นเป็นวิธีเดียวที่จะทำให้สินทรัพย์ดิจิทัลของคุณปลอดภัย ถามผู้ให้บริการว่าพวกเขาใช้งบประมาณไปเท่าไหร่ในการรักษาความปลอดภัยและการควบคุมความเสี่ยงมาตรการตอบโต้ที่พวกเขาดำเนินการอะไรบ้างและอ่านเอกสารต่างๆเช่นรายงานการตรวจสอบเอกสารการออกแบบระบบบนเว็บไซต์ ฉันคิดว่าผู้ให้บริการที่ดำเนินธุรกิจบนบล็อคเชนอย่างจริงจังควรมีนโยบายที่เข้มงวดในเรื่องนี้.

ใบรับรอง: อ่านรายงาน อ่านรายงานการตรวจสอบก่อนใช้แอปพลิเคชันแบบกระจายอำนาจ ในบางครั้งเราจะเห็นช่องโหว่ที่ชี้ให้เห็นในระหว่างการตรวจสอบไม่เคยแก้ไขและถูกใช้ประโยชน์ในภายหลัง ตรวจสอบว่ารายงานล่าสุดที่ออกกล่าวถึงช่องโหว่ที่สำคัญหรือสำคัญหรือไม่.

Slowmist: สำหรับทรัพย์สินส่วนบุคคลเราขอแนะนำให้ปกป้องคีย์ส่วนตัวของคุณจากอินเทอร์เน็ต.

สำหรับสกุลเงินดิจิทัลในผลิตภัณฑ์ DeFi เราขอแนะนำว่าเมื่อเลือกผลิตภัณฑ์และแพลตฟอร์ม DeFi ผู้ใช้ควรใส่ใจทั้งกลไกการควบคุมความเสี่ยงและการรับรองรายงานการตรวจสอบความปลอดภัยจากทีมรักษาความปลอดภัยบุคคลที่สามที่โดดเด่น นอกจากนี้ความปลอดภัยยังเป็นแบบไดนามิกดังนั้นทุกคนควรตรวจสอบภูมิหลังด้านความปลอดภัยของผลิตภัณฑ์และแพลตฟอร์ม defi ตั้งแต่บัดนี้เป็นต้นไป.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map