ბლოკჩეინის უსაფრთხოების ექსპერტები იკრიბებიან, რათა გააუმჯობესონ ინდუსტრიის საფრთხეებზე რეაგირება

ამ წლის გაზაფხულიდან ისააკ პატკა AI უსაფრთხოების ფირმა Shield3-დან და პარადიგმის კვლევის პარტნიორი სემი, უფრო ცნობილი როგორც Samczsun, მუშაობენ ბლოკჩეინის პროექტებთან ერთად უსაფრთხოების გასაუმჯობესებლად კიბერ საფრთხეების ფონზე, რომელიც კვლავ აწუხებს ინდუსტრიას.

დუეტმა გამოუშვა SEAL 911 აგვისტოს დასაწყისში, Telegram-ის ბოტი, რომელიც შექმნილია მომხმარებლების დასაკავშირებლად უსაფრთხოების შემოწმებულ ექსპერტებთან, რომლის მიზანია კიბერუსაფრთხოების გამჟღავნება და სწრაფად თავიდან აიცილოს DeFi ჰაკები, პოტენციურად ასობით მილიონი დოლარის ღირებულების.

ეს ინიციატივა დაარსდა იმ იმედით, რომ შეეწინააღმდეგებოდა ინდუსტრიასთან დაკავშირებულ მრავალ ჰაკერს, რომელიც მოხდა ამ წელს, მათ შორის Curve Finance-ის 70 მილიონი დოლარის ექსპლუატაცია ივლისში.

ახლა წყვილი იმედოვნებს წინსვლას, დაამყარებს ახალ გადაუდებელ სავარჯიშო ინიციატივას, რომელიც შექმნილია ბლოკჩეინის პროტოკოლების დასახმარებლად მავნე ჰაკერებისა და პოტენციური თავდასხმის ვექტორების წინააღმდეგ ბრძოლაში.

Blockworks-მა მიაღწია პატკას, რათა უკეთ გაეგო მათი ვალდებულება და გაკვეთილები, რომლებიც ისწავლეს ბოლო რამდენიმე თვის განმავლობაში.

ბლოკირების სამუშაოები: შეგიძლიათ მოგვმართოთ ამ გადაუდებელი სავარჯიშო ინიციატივის დაწყების შესახებ? რა იყო ამის მამოძრავებელი ძალა?

პატკა: პირველად სემი ჩვენი საერთო მეგობრის ჟანას მეშვეობით გავიცანი. მე შევხვდი ჯინს DWeb 2022 წლის ბანაკში, როდესაც წარმოვადგენდი ჩემს წინა ღია კოდის და სტანდარტების პროექტებს. გავიგე, რომ სემი ეძებდა დახმარებას პროტოკოლის გუნდებისთვის სასწავლო ინფრასტრუქტურის აშენებაში, რათა ევარჯიშებინათ ომის ოთახში ყოფნისას რეალური საგანგებო სიტუაციის წინ. 

იდეა გამიჯდა, რადგან იმ დროს ვმუშაობდი ზოგიერთ კვლევასა და ინსტრუმენტებზე, რომლებიც დაკავშირებულია დეცენტრალიზებულ თემებში სოციალური თავდასხმების და დამოკიდებულების წარუმატებლობის გამოვლენასა და თავიდან აცილებასთან. 

მე მოხალისედ გავუწიე დახმარებას კონცეფციის მტკიცებულების მოპოვებაში და გაზაფხულზე სწრაფი ბრეინშტორმინგის ზარის შემდეგ, დავიწყე მუშაობა Compound Labs-ის საბურღი ჩარჩოს ჩამოყალიბებაზე, რომელიც იყო პირველი გუნდი, რომელმაც შესთავაზა მონაწილეობა სავარჯიშოში.

ბლოკირების სამუშაოები: თქვენ ახსენეთ „ყოვლისმომცველი გადახედვის“ როლი თქვენს წვრთნებში. როგორ ადგენს ეს საწყისი ნაბიჯი სავარჯიშოს დანარჩენი ნაწილისთვის?

პატკა: გადაკეთების ფაზაში მე ვეცნობი ყველა მახასიათებელს, ჭკვიან კონტრაქტებს, დოკუმენტებს და საჯაროდ ხელმისაწვდომ ინფორმაციას სამიზნე პროტოკოლის შესახებ. მე ვცდილობ გავარკვიო, რა არის „საკონტროლო ზედაპირი“ ნებისმიერი პრივილეგირებული მომხმარებლის [ან] ადმინისტრატორისთვის, როგორ ურთიერთქმედებს პროტოკოლი [ან] ეყრდნობა სხვა პროტოკოლებს, როგორ აკონტროლებენ სისტემის ჯანმრთელობას, რა რისკის პროცესები არსებობს, როგორ წარმოადგენენ ისეთ რამეებს, როგორიცაა პროტოკოლის განახლება ან ახალი ფუნქციების გამოშვება, და არის თუ არა შეუსაბამობები სისტემაში, თუ ის განლაგებულია სხვადასხვა ქსელში. 

ეს გადახედვა ხდება საფუძველი მაგიდის სცენარებისთვის, სადაც ვსაუბრობთ პოტენციურ საკითხებზე.

ბლოკირების სამუშაოები: მაგიდის სიმულაციების გამოყენება საინტერესო მიდგომაა. შეგიძლიათ დაკონკრეტდეთ, რა შედის ამ სიმულაციებში და როგორ აცნობენ ისინი შემდგომ ნაბიჯებს?

პატკა: გადამუშავების ფაზის შემდეგ, მე შევადგინე სცენარი რამდენიმე სცენარით და ვესაუბრე მათ მთელ გუნდს გამოძახებით. ეს სცენარები გვეხმარება გავიგოთ მათი ინციდენტზე რეაგირების პროცედურები, მათი მონიტორინგი და მათი სოციალური/საკომუნიკაციო სტილი. კითხვები, რომლებსაც ამ ეტაპზე ვსვამთ, არის:

1.  "X" მოხდა. როგორ გააფრთხილეს გუნდი? იყო თუ არა მონიტორინგი, რომელმაც ეს დააფიქსირა, ან ვინმემ საზოგადოებამ დაუკავშირა გუნდს?
2. ვინ არიან დაინტერესებული მხარეები და საგნის ექსპერტები, რომლებმაც იციან როგორ გაუმკლავდნენ ამას
3. თუ ეს ინციდენტი გავლენას ახდენს სხვა პროტოკოლებზე, ვის აქვს ამ გუნდის საკონტაქტო ინფორმაცია?
4. თუ ეს მოითხოვს პასუხს მულტი-სიგისგან, ვინ არიან ხელმომწერები და როგორ მიმართავთ მათ? როგორ ფიქრობთ, რამდენად სწრაფად უპასუხებენ?

ეს ყველაფერი გვეხმარება პოტენციური „ცხელი წერტილების“ ან საგნების პოვნაში, რის გამოც ჩვენ გვინდა სტრესის ტესტირება პირდაპირ სცენარში.

ბლოკირების სამუშაოები: რა კრიტერიუმებს იყენებთ პროტოკოლის გუნდების შესარჩევად, რომლებითაც აპირებთ ვარჯიშს? გაქვთ რაიმე წინაპირობა?

პატკა: ამ ფაზაში ჩვენ ვცდილობთ ვიმუშაოთ გუნდებთან, სადაც ვფიქრობთ, რომ შეგვიძლია დავეხმაროთ მათ გარკვეული ტრენინგის მიწოდებით, მაგრამ ასევე ვისწავლოთ მათგან, თუ როგორ მოქმედებენ ტოპ პროტოკოლის გუნდები სივრცეში და გავუზიაროთ ეს პრაქტიკა ფართო საზოგადოებას. 

ასე რომ, მიუხედავად იმისა, რომ ჩვენ არ გვაქვს კონკრეტული წინაპირობები, ახლა კარგია გუნდი, რომელიც ხელს უწყობს პროტოკოლს საკმაოდ ფართოდ გავრცელებით და უკვე განიცადა რამდენიმე ინციდენტი, ასე რომ ჩვენ შეგვიძლია გავიგოთ გუნდის სხვადასხვა სტილის შესახებ.

თუმცა, რამდენადაც ჩვენი ინფრასტრუქტურა უფრო მძლავრი ხდება და უფრო ადვილი დასაყენებელია, მე სიამოვნებით ვიმუშავებდი ზოგიერთ გუნდთან ადრე მათ პროტოკოლში, რათა მივაწოდო ტრენინგი იმ ადამიანებისთვის, რომლებიც აქამდე არასდროს ყოფილან ომის ოთახში.

ბლოკირების სამუშაოები: თქვენი პირველი ტესტი იყო Compound პროტოკოლით. შეგიძლიათ ჩაუღრმავდეთ რამდენიმე უნიკალურ გამოწვევას ან გაკვეთილს, რომელიც ისწავლეს ამ საწყისი ტესტიდან?

პატკა: დაგეგმვის ყველაზე დიდი გამოწვევა იყო სცენარის იდენტიფიცირება, რომელიც არ იყო ძალიან კატასტროფული იმედგაცრუებისთვის, მაგრამ საკმარისად საინტერესო იყო ჩართულობისთვის და მოიცავდა გარკვეულ დიაგნოზს და კოორდინაციას. 

ჩვენ განვიხილეთ სხვადასხვა რამ, როგორიცაა გარე პროტოკოლის წარუმატებლობა, მმართველობის შეტევები და კონტრაქტის განახლების საკითხები. ჩვენ დავასრულეთ შეცდომის სიმულაცია, რამაც პროტოკოლმა ნელ-ნელა დაიწყო სახსრების დაკარგვა, რათა გვენახა, როგორ აიღებდა მათი მონიტორინგი ამ პროცესს და როგორ რეაგირებდნენ ისინი. 

აქ ერთ-ერთი ყველაზე დიდი გაკვეთილი იყო სოციალურ, საკოორდინაციო ფენაზე. შთაბეჭდილება მოახდინა პროტოკოლის შემქმნელებსა და აუდიტორებსა და პროტოკოლის მეურვეებს შორის პრობლემის დიაგნოსტიკის მჭიდრო თანამშრომლობით.

ტექნიკურ დონეზე, პირველი სავარჯიშო ასევე მოიცავდა უამრავ ინფრასტრუქტურას გვიან ღამით გამართვის, ქსელის ჩანგლის და ბლოკის მკვლევარის მიღებას და ინფრა სტაბილურობის მონიტორინგს.

ბლოკირების სამუშაოები: თქვენ ისაუბრეთ თქვენს წვრთნებში ნულოვანი დღის დაუცველობის თავიდან აცილებაზე. შეგიძლიათ ახსნათ ამ გადაწყვეტილების დასაბუთება და როგორ აისახება იგი ვარჯიშის მთლიანობაზე?

პატკა: მიზეზი, რის გამოც ჩვენ თავიდან ავიცილებთ "ნულოვანი დღის" დაუცველობას ან სხვა ძალიან გავრცელებულ კატასტროფებს, არის ის, რომ ჩვენ შეგვიძლია ჩავრთოთ პროტოკოლის გუნდი ისეთ რამეში, რაზეც მათ შეეძლოთ გონივრულად უპასუხონ და რაც შეიცავს მათი პროტოკოლის ეკოსისტემას. მაგალითად, ჩვენ არ გაგვიკეთებია სავარჯიშოები ისეთი საკითხების ირგვლივ, როგორიცაა შემდგენელი შეცდომები ან კონსენსუსის ფენის წარუმატებლობა. 

თუმცა, ვფიქრობ, რომ ამ ფართოდ გავრცელებული საკითხების სიმულაცია საინტერესო იქნებოდა ჯვარედინი პროტოკოლური სავარჯიშოებში, სადაც ჩვენ შეგვეძლო რამდენიმე გუნდი და შესაძლოა პროტოკოლების მომხმარებლები ყველა ურთიერთქმედებაში ჩავარდნილი ქსელით, სადაც რაღაც არასწორედ წარიმართა, რათა ის რეალისტური ყოფილიყო და ავაშენოთ სოციალური მდგრადობა.

ბლოკირების სამუშაოები: თქვენ ახსენეთ Yearn-ის „გადაუდებელი პროცედურის ბარათები“ მათთან გამოცდის დროს. რამდენად გავრცელებულია ეს პრაქტიკა სხვა პროტოკოლებში და გირჩევთ თუ არა მას სტანდარტად?

პატკა: მე ჯერ არ მინახავს სხვა პროტოკოლები, რომლებიც ახორციელებენ გადაუდებელი პროცედურის ბარათებს, როგორიცაა Yearn, მაგრამ მე ამას გირჩევთ. ბევრ პროტოკოლში, მაგრამ განსაკუთრებით Yearn-თან, არის მრავალი გარე ინტეგრაცია, რომელიც მოითხოვს კონკრეტულ კონტექსტს და საგნის ექსპერტიზას. 

როდესაც რაიმე ინციდენტი ხდება, თქვენ არ გსურთ დრო დახარჯოთ საკუთარი დოკუმენტების და კონტრაქტების ხელახლა წაკითხვაზე, მოქმედების ნაცვლად. საგანგებო პროცედურების არსებობა კონკრეტული სცენარებისთვის ეხმარება გუნდებს გადაწყვეტილებების უფრო სწრაფად და თავდაჯერებულად მიღებაში. ამ გადაუდებელი პროცედურების დაწერა არის სავალდებულო ნაბიჯი წელიწადის სტრატეგიების დანერგვის რისკის [და] გულმოდგინე პროცესისთვის. 

მე გირჩევდი სხვა პროტოკოლებისთვის რისკის/შრომისმოყვარეობის პროცესებს საგანგებო პროცედურების დამატებას, მაგალითად, როდესაც გადაწყვეტთ, ინტეგრირდეთ თუ არა სხვადასხვა აქტივებთან, როგორც გირაოს წყაროდ, ან დაამატოთ ისინი ბაზრებზე.

ბლოკირების სამუშაოები: რა არის შესრულების ძირითადი ინდიკატორი, რომელსაც უყურებთ ვარჯიშის დროს და მის შემდეგ მისი ეფექტურობის შესაფასებლად?

პატკა: მე ვეძებ რამდენიმე ინდიკატორს, როგორც ჩვენი, როგორც წვრთნების ორგანიზატორების შესრულებისა და რამდენად კარგად მოიქცა გუნდმა. ჩვენი მხრიდან, მე ვუყურებ ჩვენი ინფრასტრუქტურის სტაბილურობას და რამდენად კარგად ეგუება გუნდი სიმულაციურ გარემოს. 

პროექტის მხრივ, მე ვინახავ ვადებს, თუ რა მომენტში აღმოჩნდებიან გამცემები, რამდენ ხანს გაკეთდება დიაგნოზი და რამდენ ხანს იქნება გარკვეული კონსენსუსი მოქმედების ირგვლივ.

ჩვენ ასევე ვუგზავნით გუნდებს სიკვდილის შემდგომ გამოკითხვას, რათა გავარკვიოთ, რა ისწავლეს, რის გაუმჯობესებას გეგმავენ თავიანთ პროცესებში და როგორ შეგვიძლია გავაუმჯობესოთ ჩვენი სიმულაციები.

ბლოკირების სამუშაოები: შეგიძლიათ გააზიაროთ ზოგიერთი ძირითადი ტენდენცია ან საერთო ხარვეზები, რომლებიც შენიშნეთ პროტოკოლის უსაფრთხოებაში ამ წვრთნების შედეგად?

პატკა: დარწმუნებული არ ვარ, არის თუ არა ეს ხარვეზი, მაგრამ, როგორც ჩანს, უფრო ნაკლებია ფორმალური „გამოძახების“ სისტემა სხვადასხვა პროტოკოლებში, ვიდრე ველოდი. არსებობს კრიპტო კულტურის „ყოველთვის ონლაინ“ ასპექტი, სადაც ადამიანები, როგორც ჩანს, უბრალოდ ვარაუდობენ, რომ საჭიროების შემთხვევაში, სწორი დეველოპერი ან ხელმომწერი ხელმომწერი იქნება ხელმისაწვდომი. 

როგორც ჩანს, ეს ჩვეულებრივ მუშაობს, მაგრამ მე მაინტერესებს ვისწავლო როლებისა და გრაფიკების უფრო ფორმალიზება თუ არა. მე ასევე შევამჩნიე, რომ მონიტორინგი და მმართველობა განსხვავდება პროტოკოლებისთვის სხვადასხვა [ფენა-1/ფენა-2], სადაც მათ აქვთ განლაგებული კოდი. მე ვფიქრობ, რომ ინდუსტრიაში გაუმჯობესების ადგილია იმის შესახებ, თუ როგორ მართავენ თავიანთ კონტრაქტებს პროტოკოლები, რომლებიც მრავალ ქსელშია გადაჭიმული.

ბლოკირების სამუშაოები: მომავლისთვის, იგეგმება თუ არა ამ წვრთნების გაფართოება მეტი პროტოკოლის ან თუნდაც სხვადასხვა ტიპის ტესტების ჩასატარებლად?

პატკა: რა თქმა უნდა, ჩვენ ვცდილობთ გავაფართოვოთ წვრთნები სხვადასხვა ტიპის პროტოკოლების, ან, შესაძლოა, ერთდროულად რამდენიმე პროტოკოლის ჩათვლით. ჩვენ ასევე გვსურს მივიდეთ იმ წერტილამდე, როდესაც ეს საკმარისად მარტივია გასაშვებად, რომ გუნდებს შეუძლიათ რეგულარულად ჩაატარონ ტრენინგი საზოგადოების მონაწილეებისთვის, რათა შექმნან თავიანთი გამოცდილება ინციდენტების რეაგირებაში. მე ასევე სიამოვნებით ვითანამშრომლებ უსაფრთხოების ახალ ინჟინრებთან, რომლებსაც შეიძლება სურთ უსაფრთხოების შესახებ გაეცნონ სცენარების შემუშავებითა და სიმულაციების კონფიგურაციით.

ეს ინტერვიუ რედაქტირებულია სიმკვეთრისა და სიცხადისთვის.

არ გამოტოვოთ შემდეგი დიდი ამბავი - შემოუერთდით ჩვენს უფასო ყოველდღიურ ბიულეტენს.

მიჰყევით სემ ბანკმენ-ფრიდის სასამართლო პროცესს სასამართლო დარბაზიდან უახლესი ამბებით.