OKEx Akademi Konuşmaları Özeti: DCEP – DeFi yatırımcıları için güvenlik nasıl sağlanır?

Merkezi olmayan finansın kısaltması olan DeFi, 2019’dan beri kripto para birimi alanında bir moda sözcük haline geldi. DeFi büyüdükçe, finansın geleceğine doğru bir adım daha ilerliyoruz. Günümüzde her finansal hizmet için küresel ve daha şeffaf bir çerçeve oluşturmak: tasarruflar, krediler, ticaret ve daha fazlası.

OKEx Academy, DeFi güvenliği ve DeFi yatırımcılarının yatırımlarının güvenli olmasını nasıl sağlayabilecekleri konusundaki görüşlerini paylaşmak için bazı özel konuklarla çevrimiçi bir Web semineri düzenledi..

Bu makale, tartışmanın özetinde size rehberlik edecek.

Konuk konuşmacılar:

Yu Guo – SECBIT Labs’ın Kurucusu

Dominik Teiml – Certik Baş Ethereum Denetçisi

Zhengchao Du – Slowmist’te Kıdemli Güvenlik Mühendisi

Moderatör:

Michael Gui – Boks Madenciliği

Michael: Merkezi olmayan finans hızla büyüyor, şu anda DeFi Smart sözleşmelerinde kilitli kripto ile 800 Milyon Dolardan fazla var. Bu sözleşmeler merkezi olmadığı için, içerik oluşturucuların bu sözleşmelerin arkasındaki kodun güvenli olduğundan emin olmaları gerekir. Bunu yapmamak, felaketle sonuçlanan korsanlıklara neden olabilir – örneğin, 2 haftadan daha kısa bir süre önce bir bilgisayar korsanı, dForce sözleşmelerinden 25 Milyon $ değerinde kripto “çalmayı” başardı. Bilgisayar korsanlarından gelen güvenlik, DeFi’nin uzun vadeli büyümesini sağlamak için çok önemlidir. Neyse ki bugün bir güvenlik uzmanları panelimiz var.

Bir DeFi Eleştirmeninden kritik bir alıntıyla başlamak "DeFi hakkında yalnızca bir proje başarısız olduğunda ve para kaybettiğinde öğrenirim". Merkezi olmayan finansmanın en büyük güvenlik riskleri sizce nelerdir??

SECBIT: DeFi, farklı ekipler tarafından geliştirilen birçok modülden oluşan kod üzerine inşa edilmiştir. Temel modüllerin, yapı taşlarının yanlış anlaşılması daha büyük kayıplar getirecektir. Her modülün arayüzünü netleştirmek, belirtmek veya resmileştirmek kolay değildir.

Certik: Anahtarların güvenliği, ön uçların ele geçirilmesi ve / veya DNS sunucuları, OpSec, vb. Gibi zincir dışı şeylerin yanı sıra, en büyük zincir içi risklerin yürütme hatası (Hegic bug) ve diğer hesaplarla etkileşim olduğunu düşünüyorum. : manipüle edilebilir oracle’lar (bZx hack) ve re-entrancy saldırıları (Uniswap & Lendf.me hile)

Slowmist: Merkezi olmayan finans bize üç ana özellik getiriyor: birlikte çalışabilirlik, programlanabilirlik ve Oluşturulabilirlik. Bu üç özellik sayesinde, bize bol miktarda finansal ürün ve sonsuz olasılık getiren lego bloklarını birleştirmek gibi her türlü akıllı sözleşmeyi birleştirebiliyoruz. Ancak DeFi o kadar karmaşık bir sistem ki riskler artacak. Başka bir deyişle, merkezi finansal sistem için olası risk senaryoları, standartlar üzerinde çalışarak ve erişim izinlerini sınırlayarak kontrol edilebilirken, DeFi için, anlaşmanın standartlarını karşılayan iki sözleşmeden herhangi biri bir araya getirilebilir, yani birçok daha olası senaryolar ve her yeni senaryo potansiyel yeni riskler getirir. Ve en önemlisi, bir standardın bir özelliği her koşulda kusur haline gelebilir.

Michael: DeFi ile tam bir güvenlik elde edebilir miyiz?


SECBIT: Bu bir kutsal kâse. Hedefe hem teorik hem de pratik olarak ulaşmak imkansızdır. Herhangi bir güvenlik varsayımlara dayanmaktadır. Sistem ne kadar karmaşıksa, o kadar fazla güvenlik varsayımına güvenilir. Ancak bu güvenlik varsayımlarının güvenilirliği bilinmemektedir. Çoğu durumda, bu güvenlik varsayımları gevşeyebilir.

Teorik olarak, emniyetin tanımı oldukça belirsizdir. Örneğin, tamsayı taşmaları içermeyen belirli bir güvenlik tanımlayabiliriz. Ancak genellikle eksiktir. DeFi kavramı büyümeye devam ederken, güvenliğin anlamı da büyüyor. Tam bir güvenlik konseptini nasıl tanımlayacağımızı bilmiyoruz.

Finans, doğası gereği risklidir. Geleneksel olarak, kâr risk almaktan gelir. Şimdi, finansal riskler hesaplama karmaşıklığıyla karışıyor ve bu nedenle birleşik risklerin kontrol edilmesi daha zor. Uygulamada, güvenliğin tespit edilmesi ve doğrulanması zordur. Farklı seviyelerde, güvenlik varsayımında, blok zincirlerinde, sanal makine ve derleyicilerde, kitaplıklarda, kodun mantığında, hizmetlerin arayüzünde meydana gelebilecek güvenlik sorunları olabilir. Hiçbirinin hatasız olması kolay değil.

DeFi’nin gelecek vaat eden özelliklerinden biri, akıllı sözleşmeler farklı ekipler tarafından geliştirilmiş olsa bile akıllı sözleşmelerin yüksek oranda düzenlenebilir olmasıdır. Ancak arabirimlerde bulunan hataları gördük – örneğin, ERC777, ERC827, ERC 233. Birleştirilebilirlik, sistemi daha açık ve dinamik hale getirecek. Birçok geleneksel yaklaşım, statik sistemi güvenli hale getirmekle ilgilidir, yeni, açık, dinamik ve devasa sistem için işe yaramaz.

Certik: Güvenlik, azalan getiri meselesidir. Herhangi bir mantıksal muhakemenin geçerli olduğundan asla emin olamayız, çünkü mantık paradoksu olan doğrulamanın kendisinde bir hata yapıyor olabiliriz. Aynı şekilde, bir şeyin güvenli olduğundan asla% 100 emin olamayız. Bununla birlikte, uygun önlemlerle yüksek güvenlik garantileri elde edebileceğimiz konusunda çok iyimserim. Kapsamlı ve yoğun denetimler, resmi doğrulama, cömert hata ödülleri …

Daha ilginç olan soru, bu ölçeklerin olup olmadığıdır. Güvenliği otomatikleştiren bir araç bulabilir miyiz? Bunu henüz kimse başaramadı; hala açık bir soru.

Slowmist: DeFi dahil hiçbir ürün için tam güvenlik imkansızdır. Bilgisayar korsanının elde edebileceği faydalardan çok daha fazlasına mal olması amacıyla güvenliğin karşı önlemler içerdiğini anlamalıyız. Ve güvenlik dinamiktir; yeni senaryolar, yeni teknikler ve DeFi ürünlerinin yinelenmesi yeni güvenlik sorunlarına neden olabilir, bu nedenle bir kez güvende olun ve her şey mümkün değildir.

Michael: Kabul edilen yeni programlama dilleriyle – Vyper (Ethereum), Haskell (Cardano) – bunun blockchain güvenliğine yardımcı olacağını düşünüyor musunuz??

SECBIT: Vyper, iyileştirmelerin çoğu, sağlamlığa çok benziyor. Haskell ise daha matematikseldir. Ama dediğim gibi, en büyük güvenlik sorunları dil seviyesinden değil mantık seviyesinden kaynaklanıyor. Yeni saldırılar tamamen dil düzeyinde değildir ve çok karmaşık olan tüm blok zinciri sisteminden gelirler. Bilgisayar korsanları, daha önce hiç görmediğimiz yeni saldırılar icat etmeye devam ediyor. Yeni güvenlik açıklarının derleyicilere gömülü araçlarla tespit edilmesi zordur. Saldırıların otomatik olarak önleneceğini hayal edemiyoruz. Dil araçları gelişiyor olsa bile, mantık seviyesinden kaynaklanan daha fazla güvenlik açığı göreceğiz. Kod uzmanlar tarafından denetlenmelidir.

Statik yazmanın programcıların aptalca hatalar yapmasını engellediği programlama dili topluluğunun çalışmalarını takdir ediyorum. Örneğin, Facebook tarafından önerilen MOVE adlı dil Libra zincirinde çalışıyor. Fikrini RUST’dan ödünç alır. "taşı veya kopyala", "mülkiyet ve borçlanma". Statik tip sistemi, dijital varlıkların toplam miktarının, ne geliştiricilerin ne de bilgisayar korsanlarının.

Öte yandan, resmi şartnamelere veya resmi doğrulamalara ihtiyacımız var. "doğruluk" bir dereceye kadar. % 100 değil, maksimum güvenlik sadece matematiğe bağlıyız. Ancak araçlar ve uygulamalar hala yolda. CertiK ekibinden iş öneriyorum.

Certik: Muhtemelen. Ekosistemimizin ilk aşamalarında güvenliği hafife aldığımızı düşünüyorum. Sonrasında değiştirilmesi son derece zor olan mimari kararlar aldık. EVM, herhangi bir statik analizi son derece hantal hale getiren dinamik sıçramalara sahiptir ve neredeyse hiç faydası yoktur. 0,5’ten bu yana sağlamlık, bence, güvenlik odaklı hale geldi ve arka görüşteki zayıf dil tasarım kararlarının bir kısmını tersine çevirdi..

Vyper daha iyi, ancak maalesef büyük projeler için üretime hazır değil ve birçok önemli özelliğe sahip değil.

EVM’nin dayattığı bu zorlukların üstesinden gelmeye çalışan ve Ethereum akıllı sözleşmelerinin daha kolay resmi doğrulamasına izin veren EVM hedefli bir programlama dili olan DeapSEA konusunda gerçekten heyecanlıyım. Certik ve Yale tarafından geliştiriliyor ve yakında daha fazlasını öğreneceğiz.

Bu daha uzun bir ufukta olsa da, eWASM’ye geçişin güvenlik için harika olacağını düşünüyorum. Wasm sadece çok daha fazla sn odaklı değil, aynı zamanda güvenlik araçları ekosisteminden de yararlanabileceğiz..

Slowmist: Bu dillerin kendi güvenlik özellikleri vardır. Örneğin, Vyper aritmetik hesaplamalara uygulanan çok sayıda taşma kontrolü gerçekleştirir ve Haskell gibi işlevsel diller resmi doğrulamaya yardımcı olabilir. Ancak güvenlik çok boyutludur ve programlama dilinin güvenli özelliklerinden ayrı olarak, ürün geliştirme güvenliği ve iş mantığı güvenliği diller kadar önemlidir.

Michael: Şimdiye kadar karşılaştığınız en yıkıcı hesap saldırısı nedir? Paylaşabileceğiniz herhangi bir kişisel deneyim?

SECBIT: Anahtar çalındı. Müşterilerimizden birinden birkaç yüz ETH. Ancak, yardım için bize gelen daha fazla vaka anahtar kayıpları oldu. İnsanlar anımsatıcı kodu veya şifreyi unuttular. Güvenlik dünyasındaki bir başka ikilem de budur. Güvenli bir şifreyi nasıl hatırlayabiliriz? Zayıf bir parolanın hatırlanması kolaydır, ancak düşük entropiye sahiptir. Kaba zorlama saldırılarına karşı savunmasızdır. (örneğin, Rainbow Table Attack); daha rastgele bir parolanın hatırlanması ölümcül derecede zordur. Bir kağıda yazmak mı? Geçen sabah gazeteyi unutabiliriz.

Certik: Şimdiye kadar çalıştığım projelerin hiçbiri hacklenmediği için şanslıyım.

Slowmist: Ekibimiz tarafından isimlendirilen Ethereum Black Sevgililer Günü. Bu güvenlik olayı ilk olarak 2018 Mart’ında gözlemlendi. Bilgisayar korsanı, biz bulmadan önce iki yıl boyunca kullanıcının cüzdanından eths ve diğer jetonları otomatik komut dosyasıyla çalmıştı. Şimdiye kadar, şu anki değeri 10 milyon dolar olan yaklaşık 54864 ETH, 6679 cüzdandan çalındı. Bu hack, etkisi ve süresi göz önüne alındığında çok etkileyici..

Micahel: İzleyicilerimiz için TEK bir güvenlik ipucu olsaydı – İzleyicilerimize potansiyel olarak binlerce dolar kazandıracağını düşündüğünüz ipucu – bu ne olurdu?

SECBIT: Anımsatıcı kodu hatırlamak için alıştırma yapın; Zor olduğunu biliyorum. Son derece zordur. Ama güven bana, dijital varlıklarınızı güvende tutmanın tek yolu bu. Hizmet sağlayıcılara güvenlik ve risk kontrolü için ne kadar bütçe harcadıklarını, hangi karşı önlemleri aldıklarını sorun ve web sitesindeki denetim raporu, sistem tasarım belgeleri gibi materyalleri okuyun. Blockchain üzerinde ciddi bir şekilde iş yürüten sağlayıcıların bu konuda katı politikaları olması gerektiğini düşünüyorum..

Certik: Raporları okuyun. Merkezi olmayan herhangi bir uygulamayı kullanmadan önce bir denetim raporu okuyun. Zaman zaman, denetimler sırasında güvenlik açıklarının işaret edildiğini, asla düzeltilmediğini ve daha sonra istismar edildiğini görüyoruz. Son yayınlanan raporda kritik veya önemli güvenlik açıklarından bahsedilip bahsedilmediğini kontrol edin.

Slowmist: Kişisel varlıklar için, özel anahtarınızı İnternet’ten korumanızı öneririz..

DeFi ürünlerindeki kripto para birimleri için, DeFi ürünlerini ve platformlarını seçerken, kullanıcının hem risk kontrol mekanizmasına hem de olağanüstü bir üçüncü taraf güvenlik ekibinden gelen güvenlik denetimi raporlarının onaylanmasına dikkat etmesini öneriyoruz. Ayrıca güvenlik dinamiktir, bu nedenle herkes defi ürünlerinin ve platformlarının güvenlik geçmişini ara sıra kontrol etmelidir.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map