خلاصه صحبت های آکادمی OKEx: DCEP – چگونه از سرمایه گذاران DeFi اطمینان حاصل کنیم؟

DeFi ، مخفف Financial Decentralized ، از سال 2019 به یک کلید واژه در فضای ارزهای رمزپایه تبدیل شده بود. هرچه DeFi رشد کند ، ما یک قدم جلوتر به سمت آینده امور مالی می رویم. ایجاد یک چارچوب جهانی و شفاف تر برای هر سرویس مالی امروز: پس انداز ، وام ، تجارت و موارد دیگر.

آکادمی OKEx یک وبینار آنلاین با برخی از مهمانان ویژه برای ایجاد دیدگاه های خود در مورد امنیت DeFi و اینکه چگونه سرمایه گذاران DeFi می توانند از ایمن بودن سرمایه گذاری های خود اطمینان حاصل کنند ، ایجاد کرده است..

این مقاله شما را در خلاصه بحث راهنمایی می کند.

سخنرانان مهمان:

یو گو – بنیانگذار آزمایشگاه های SECBIT

Dominik Teiml – حسابرس سرب Ethereum Certik

Zhengchao Du – مهندس ارشد امنیت در Slowmist

مجری:

Michael Gui – Boxmining

مایکل: امور مالی غیرمتمرکز با سرعت بالایی در حال رشد است ، در حال حاضر بیش از 800 میلیون دلار سرمایه رمزنگاری شده در قراردادهای DeFi Smart داریم. از آنجا که این قراردادها غیرمتمرکز است ، سازندگان باید از ایمن بودن کد پشت این قراردادها اطمینان حاصل کنند. عدم انجام این کار می تواند منجر به هک های فاجعه باری شود – به عنوان مثال ، کمتر از 2 هفته پیش یک هکر موفق شد 25 میلیون دلار رمزنگاری شده از قراردادهای dForce را “بدزدد”. امنیت در برابر هک ها از اهمیت بالاتری برای اطمینان از رشد طولانی مدت DeFi برخوردار است. خوشبختانه امروز ما گروهی از متخصصان امنیت داریم.

شروع با یک نقل قول انتقادی از منتقد DeFi "من فقط وقتی DeFi با شکست مواجه می شود و بودجه ای از دست می رود ، درباره DeFi اطلاعات کسب می کنم". به نظر شما بزرگترین خطرات امنیتی برای مالیات غیرمتمرکز چیست?

SECBIT: DeFi بر اساس کدی ساخته شده است که از چندین ماژول تشکیل شده است که توسط تیم های مختلف ساخته شده اند. درک نادرست از ماژول های اساسی ، بلوک های ساختمانی ضررهای بیشتری به همراه خواهد داشت. رابط کاربری هر ماژول به آسانی قابل شفاف سازی ، مشخص یا رسمی نیست.

Certik: به غیر از موارد خارج از زنجیره مانند امنیت کلیدها ، ربودن سرورهای جلویی و / یا سرورهای DNS ، OpSec و غیره. من فکر می کنم بزرگترین خطرات موجود در زنجیره نادرست بودن اجرا (اشکال Hegic) و تعامل با حساب های دیگر ، یعنی : خطاهای قابل دستکاری (هک bZx) و حملات ورود مجدد (بدون سر و صدا) & Lendf.me هک)

آهسته: مالی غیرمتمرکز سه ویژگی اصلی را برای ما به ارمغان می آورد: قابلیت همکاری ، قابلیت برنامه ریزی و قابلیت انعطاف پذیری. با توجه به این سه ویژگی ، ما قادر به ترکیب انواع قراردادهای هوشمند مانند ترکیب بلوک های لگو هستیم که محصولات مالی فراوان و امکانات بی نهایت برای ما به ارمغان می آورد. با این حال ، DeFi چنان سیستم پیچیده ای است که خطرات آن افزایش می یابد. به عبارت دیگر ، برای سیستم مالی متمرکز ، سناریوهای ریسک احتمالی را می توان با کار بر روی استانداردها و محدود کردن مجوزهای دسترسی کنترل کرد ، در حالی که برای DeFi ، هر یک از دو قرارداد مطابق با استانداردهای توافق نامه را می توان با هم ترکیب کرد ، که به معنی بسیاری از سناریوهای ممکن بیشتر و هر سناریوی جدید خطرات جدید بالقوه ای را به همراه دارد. و از همه مهمتر ، ویژگی یک استاندارد تحت هر شرایطی می تواند به نقص تبدیل شود.

مایکل: آیا می توانیم با DeFi به ایمنی کامل دست پیدا کنیم?


SECBIT: این یک جام مقدس است. رسیدن به هدف از نظر تئوری و عملی غیرممکن است. هر امنیتی بر اساس فرضیات است. هرچه سیستم پیچیده تر باشد ، به پیش فرض های امنیتی بیشتری اعتماد می شود. اما قابلیت اطمینان این فرضیات ایمنی ناشناخته است. در بسیاری از موارد ، این فرضیات ایمنی ممکن است از بین بروند.

از نظر تئوری ، تعریف ایمنی نسبتاً مبهم است. ممکن است ایمنی خاصی تعریف کنیم ، به عنوان مثال ، بدون سرریز عدد صحیح. اما به طور کلی ناقص است. با افزایش مفهوم DeFi ، معنای ایمنی نیز در حال رشد است. ما نمی توانیم چگونه یک مفهوم کامل ایمنی را تعریف کنیم.

مالی ذاتاً خطرناک است. به طور معمول ، سود حاصل از ریسک پذیری است. اکنون ، ریسک های مالی با پیچیدگی محاسباتی مخلوط شده اند ، بنابراین کنترل ریسک های ترکیبی دشوارتر است. در عمل ، به سختی قابل تشخیص است ، اما تأیید آن سخت است. موارد ایمنی ممکن است در سطوح مختلف ، فرض امنیتی ، بلاکچین ، ماشین مجازی و کامپایلرها ، کتابخانه ها ، منطق کد ، رابط خدمات وجود داشته باشد. دستیابی به هیچ یک از آنها آسان و بدون اشکال نیست.

یکی از ویژگی های امیدوار کننده DeFi این است که قراردادهای هوشمند بسیار قابل انعطاف هستند ، حتی اگر قراردادهای هوشمند توسط تیم های مختلف ساخته شده باشد. اما ما اشکالاتی را در رابط ها دیده ایم – به عنوان مثال ERC777 ، ERC827 ، ERC 233. ترکیب پذیری سیستم را بازتر و پویاتر می کند. بسیاری از رویکردهای سنتی در مورد ایمن سازی سیستم استاتیک برای سیستم جدید ، باز ، پویا و عظیم جواب نمی دهد.

Certik: ایمنی مسئله کاهش بازده است. ما هرگز نمی توانیم مطمئن باشیم که هر استدلال منطقی معتبر است ، زیرا ممکن است در تأیید ، تناقض منطق ، اشتباه کنیم. به همین ترتیب ، ما هرگز نمی توانیم 100٪ مطمئن باشیم که چیزی امن است. با این حال ، من بسیار خوش بین هستم که ما می توانیم با اقدامات مناسب به تضمین های امنیتی بالا دست پیدا کنیم. ممیزی گسترده و فشرده ، تأیید رسمی ، امتیازات سخاوتمندانه اشکالات

سوال جالبتر این است که آیا این مقیاس ها هستند؟ آیا می توانیم ابزاری پیدا کنیم که امنیت را به صورت خودکار انجام دهد؟ هنوز کسی به آن دست نیافته است. هنوز یک سوال باز است.

آهسته: امنیت کامل برای هر محصولی از جمله DeFi غیرممکن است. ما باید بدانیم که امنیت شامل اقدامات متقابل است ، به این منظور که هزینه هکر بسیار بیشتر از مزایایی است که می تواند داشته باشد. و امنیت پویا است ، سناریوهای جدید ، تکنیک های جدید و تکرار محصولات DeFi می تواند مشکلات امنیتی جدیدی ایجاد کند ، بنابراین یک بار برای همیشه در امنیت باشید ، امکان پذیر نیست.

مایکل: با استفاده از زبان های برنامه نویسی جدید – Vyper (Ethereum)، Haskell (Cardano) – آیا فکر می کنید این به امنیت بلاکچین کمک کند?

SECBIT: Vyper تقریباً شبیه جامدادی است ، بیشتر پیشرفت ها. از طرف دیگر ، هاسکل بیشتر ریاضی است. اما ، همانطور که گفتم ، بزرگترین مسائل امنیتی از سطح منطق است ، نه از سطح زبان. حملات جدید صرفاً در سطح زبان نیستند و از کل سیستم بلاکچین ناشی شده اند که بسیار پیچیده است. هکرها مرتباً حملات جدیدی را اختراع می کنند که تاکنون ندیده ایم. آسیب پذیری های جدید به سختی توسط ابزارهای تعبیه شده در کامپایلرها قابل شناسایی هستند. نمی توان تصور کرد که از حملات به طور خودکار جلوگیری شود. ما می خواهیم آسیب پذیری های بیشتری را از ریشه منطقی ببینیم ، حتی اگر ابزارهای زبان در حال بهبود باشند. این کد باید توسط کارشناسان حسابرسی شود.

من از کار جامعه زبان برنامه نویسی قدردانی می کنم ، جایی که تایپ ایستا باعث می شود برنامه نویسان اشتباهات احمقانه ای نداشته باشند. به عنوان مثال ، زبان پیشنهادی توسط فیس بوک ، به نام MOVE ، در زنجیره Libra اجرا می شود. این ایده را از RUST of وام می گیرد "انتقال در مقابل کپی", "مالکیت و وام گرفتن". سیستم نوع ساکن اطمینان حاصل می کند که مقدار کل دارایی های دیجیتال بدون تغییر است ، به طوری که نه توسعه دهندگان و نه هکرها نمی توانند.

از طرف دیگر ، ما برای اطمینان از مشخصات رسمی یا تأیید رسمی نیاز داریم "درستی" تا حدی نه 100٪ ، اما حداکثر ایمنی ما فقط به ریاضیات بستگی داریم. با این حال ، ابزارها و روش ها هنوز در راه است. من کار را از تیم CertiK پیشنهاد می کنم.

Certik: شاید. فکر می کنم ما در مراحل اولیه اکوسیستم خود امنیت را دست کم گرفتیم. ما تصمیمات معماری گرفتیم که تغییر پس از آن بسیار دشوار است. EVM دارای جهش های دینامیکی است که تجزیه و تحلیل استاتیک را بسیار دست و پا گیر می کند و به هیچ وجه مزایایی ندارد. جامدادی از 0.5 به بعد ، به امنیت متمرکز شده است ، و برخی از تصمیمات طراحی ضعیف زبان را تغییر می دهد.

Vyper بهتر است ، اما متأسفانه برای پروژه های بزرگ آماده تولید نیست و فاقد بسیاری از ویژگی های مهم است.

من در واقع از DeapSEA ، یک زبان برنامه نویسی هدفمند EVM که سعی در غلبه بر این چالش های تحمیل شده توسط EVM دارد و امکان تأیید رسمی آسان تر قراردادهای هوشمند Ethereum را فراهم می کنم ، هیجان زده ام. توسط Certik و Yale در حال توسعه است و به زودی در مورد آن بیشتر خواهیم شنید.

اگرچه این یک افق طولانی تر است ، اما من فکر می کنم انتقال به eWASM برای امنیت عالی خواهد بود. Wasm نه تنها بیشتر بر ثانیه متمرکز است ، بلکه قادر خواهیم بود از اکوسیستم ابزارهای امنیتی آن نیز استفاده کنیم.

Slowmist: این زبان ها ویژگی های امنیتی خاص خود را دارند. به عنوان مثال ، Vyper بسیاری از بررسی های سرریز را با استفاده از محاسبات حساب انجام می دهد و زبانهای عملکردی مانند Haskell می توانند به تأیید رسمی کمک کنند. اما امنیت چند بعدی است و جدا از ویژگی های امن زبان برنامه نویسی ، امنیت توسعه محصول و امنیت منطق کسب و کار به اندازه زبانها مهم هستند.

مایکل: مخرب ترین هک اکانت که تاکنون دیده اید چیست؟ هر تجربه شخصی که می توانید به اشتراک بگذارید?

SECBIT: کلید به سرقت رفته چند صد ETH از یکی از مشتریان ما. اما موارد بیشتری که برای کمک به ما مراجعه می کردند ، کلیدی بودند. افراد فقط کد mnemonic یا رمز ورود را فراموش کرده اند. این یک معضل دیگر در دنیای امنیت است. چگونه می توانیم یک رمز عبور امن به خاطر بسپاریم؟ رمز عبور ضعیف به راحتی به خاطر سپرده می شود اما با آنتروپی کم است. در برابر حملات بی رحمانه آسیب پذیر است. (به عنوان مثال Rainbow Table Attack) ؛ در حالی که به خاطر سپردن رمز عبور تصادفی تر بسیار دشوار است. آن را روی کاغذ بنویسید؟ ممکن است صبح روز دیگر مقاله را فراموش کنیم.

Certik: خوشبختانه هیچ یک از پروژه هایی که در آن کار کرده ام هک نشده است.

Slowmist: روز ولنتاین سیاه Ethereum ، که توسط تیم ما نامگذاری شده است. این حادثه امنیتی برای اولین بار در مارس 2018 مشاهده شد. هکر قبل از اینکه ما اولین بار آن را پیدا کنیم ، اخلاق و سایر نشانه ها را با کیف پول خودکار با کیف پول کاربر سرقت کرده بود. در حال حاضر ، حدود 54864 ETH با ارزش فعلی 10 میلیون دلار از 6679 کیف پول به سرقت رفته است. این هک با توجه به تأثیر آن و مدت زمان آن بسیار چشمگیر است.

میکائیل: اگر یک نکته امنیتی برای بینندگان ما وجود داشته باشد – نکته ای که فکر می کنید به طور بالقوه هزاران دلار در بینندگان ما صرفه جویی می کند – چه می شود?

SECBIT: تمرین کنید تا کد mnemonic را به خاطر بسپارید. میدونم سخته. بسیار سخت است. اما ، به من اعتماد کنید ، این تنها راه برای ایمن نگه داشتن دارایی های دیجیتال است. از ارائه دهندگان خدمات بپرسید که چه میزان بودجه برای امنیت و کنترل ریسک هزینه کرده اند ، چه اقدامات متقابل را انجام داده اند و مطالبی مانند گزارش حسابرسی ، اسناد طراحی سیستم را در وب سایت بخوانید. من فکر می کنم ارائه دهندگانی که به طور جدی در بلاکچین مشاغلی را اداره می کنند باید سیاست های سختگیرانه ای در این زمینه داشته باشند.

Certik: گزارشات را بخوانید. قبل از استفاده از هرگونه برنامه غیرمتمرکز ، گزارش حسابرسی را بخوانید. هر از گاهی می بینیم که آسیب پذیری هایی که در حین ممیزی ها به آنها اشاره شده ، هرگز اصلاح نشده و بعداً مورد سو explo استفاده قرار گرفته اند. بررسی کنید که آیا در آخرین گزارش صادر شده آسیب پذیری مهم یا قابل توجهی ذکر شده است.

Slowmist: برای دارایی های شخصی ، ما پیشنهاد می کنیم از کلید خصوصی خود در برابر اینترنت محافظت کنید.

برای ارزهای رمزنگاری شده در محصولات DeFi ، ما پیشنهاد می کنیم که هنگام انتخاب محصولات و سیستم عامل های DeFi ، کاربر باید به مکانیسم کنترل ریسک و تأیید گزارش های ممیزی امنیتی از یک تیم امنیتی شخص ثالث برجسته توجه کند. علاوه بر این ، امنیت پویا است ، بنابراین همه باید از این پس و سپس اطلاعات امنیتی محصولات و سیستم عامل های defi را بررسی کنند.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map