Осы жылдың көктемінен бастап AI қауіпсіздік фирмасының Shield3 қызметкері Исаак Патка және Samczsun деген атпен танымал Paradigm зерттеу серіктесі Сэм саланы толғандырып келе жатқан киберқауіптерден кейін қауіпсіздікті жақсарту үшін блокчейн жобаларымен бірге жұмыс істеуде.
Дуэт тамыз айының басында SEAL 911 іске қосты, бұл Telegram боты пайдаланушыларды киберқауіпсіздікті ашуды жақсартуға және жүздеген миллион долларды құрайтын DeFi бұзуларының алдын алуға бағытталған тексерілген қауіпсіздік сарапшыларымен байланыстыруға арналған.
Бұл бастама осы жылы орын алған салаға қатысты көптеген бұзуларға, соның ішінде Curve Finance компаниясының шілдедегі 70 миллион долларлық эксплуатациясына қарсы тұру үмітімен құрылған.
Енді бұл жұп зиянды хакерлерге және ықтимал шабуыл векторларына қарсы күресте жаңа блокчейн хаттамаларына көмектесу үшін жасалған жаңа төтенше жаттығулар бастамасын құруға үміттенеді.
Blockworks өздерінің бастамалары мен соңғы бірнеше айда алған сабақтарын жақсырақ түсіну үшін Паткаға хабарласты.
Блоктау жұмыстары: Осы төтенше жағдай бойынша жаттығу бастамасының басталуын көрсете аласыз ба? Оның қозғаушы күші қандай болды?
Патка: Мен Сэммен бірінші досымыз Жанна арқылы таныстым. Мен Жаннамен DWeb лагерінде 2022 алдыңғы ашық бастапқы коды мен стандарттар жобаларымды таныстырған кезде кездестім. Мен Сэмнің нақты төтенше жағдайға дейін соғыс бөлмесінде болуды үйрену үшін хаттамалық командаларға оқу инфрақұрылымын құруда көмек іздеп жатқанын естідім.
Бұл идея менімен резонанс тудырды, өйткені ол кезде мен орталықтандырылмаған қауымдастықтардағы әлеуметтік шабуылдар мен тәуелділік сәтсіздіктерін анықтауға және болдырмауға қатысты кейбір зерттеулер мен құралдармен жұмыс істеп жатырмын.
Мен концепцияны дәлелдеуге көмектесуге ерікті болдым және көктемде жылдам миға шабуылдан кейін мен жаттығуға қатысуды ұсынған алғашқы команда болған Құрама зертханалар үшін бұрғылау құрылымын анықтаумен айналыстым.
Блоктау жұмыстары: Сіз жаттығуларыңызда «жан-жақты барлау» рөлін атап өттіңіз. Бұл бастапқы қадам жаттығудың қалған бөлігіне қалай жағдай жасайды?
Патка: Барлау кезеңінде мен барлық мүмкіндіктермен, смарт келісім-шарттармен, құжаттармен және мақсатты хаттама туралы жалпыға қолжетімді ақпаратпен жылдам жұмыс істеймін. Мен кез келген артықшылықты пайдаланушылар [немесе] әкімшілер үшін «басқару беті» деген не екенін, протокол басқа хаттамалармен қалай әрекеттесетінін, [немесе] басқа протоколдарға сүйенетінін, олар жүйенің денсаулығын қалай бақылайтынын, қандай қауіп процестері бар екенін анықтауға тырысамын. олар протоколды жаңарту немесе жаңа мүмкіндік шығарылымдары сияқты нәрселерді қалай енгізеді және жүйеде сәйкессіздіктер бар ма, егер ол әртүрлі желілерде қолданылса.
Бұл шолу біз ықтимал мәселелер туралы сөйлесетін үстел үсті сценарийлерінің негізі болады.
Блоктау жұмыстары: Үстел үсті модельдеулерін пайдалану қызықты тәсіл сияқты. Сіз бұл модельдеулерге не кіретінін және олар келесі қадамдарды қалай хабардар ететінін егжей-тегжейлі айтып бере аласыз ба?
Патка: Барлау кезеңінен кейін мен бірнеше сценарийлері бар сценарийді құрастырып, олар арқылы бүкіл командамен қоңырау шалып сөйлесемін. Бұл сценарийлер олардың оқиғаға жауап беру процедураларын, олардың мониторингін және әлеуметтік/коммуникация стилін түсінуге көмектеседі. Осы ретте қоятын сұрақтарымыз:
- «Х» болды. Команда қалай ескертілді? Мұны ұстанған мониторинг болды ма, әлде қауымдастықтан біреу командаға хабарласты ма?
- Мұнымен қалай күресуге болатынын білетін мүдделі тараптар мен тақырыптық сарапшылар кімдер
- Егер бұл оқиға басқа протоколдарға әсер етсе, сол топтың байланыс ақпараты кімде бар?
- Егер бұл мульти-сигналдан жауап беруді қажет етсе, қол қоюшылар кімдер және олармен қалай байланысып жатырсыз? Олар қаншалықты жылдам жауап береді деп ойлайсыз?
Мұның бәрі бізге ықтимал «ыстық нүктелерді» немесе тікелей сценарийде стресс сынағымыз келетін нәрселерді табуға көмектеседі.
Блоктау жұмыстары: Протокол топтарын таңдау үшін қандай критерийлерді қолданасыз? Сізде қандай да бір алғышарттар бар ма?
Патка: Бұл кезеңде біз командалармен жұмыс істеуге тырысамыз, онда біз оларға біраз тренингтер беру арқылы көмектесе аламыз деп ойлаймыз, сонымен қатар олардан ғарыштағы ең жақсы хаттамалық топтардың қалай жұмыс істейтіні туралы үйренеміз және сол тәжірибелерді кең қауымдастықпен бөлісеміз.
Сонымен, бізде нақты алғышарттар болмаса да, қазір жақсы сәйкестік - бұл жеткілікті кең таралған хаттамаға үлес қосатын және біз әртүрлі командалық стильдер туралы біле алатындай бірнеше оқиғаларды бастан кешірген команда.
Дегенмен, біздің инфрақұрылымымыз берік және орнату оңайырақ болғандықтан, мен бұрын ешқашан соғыс залында болмаған адамдарға кейбір тренингтер өткізу үшін олардың протоколында кейбір командалармен жұмыс істегенді ұнатамын.
Блоктау жұмыстары: Сіздің бірінші сынақыңыз Құрама хаттамамен болды. Осы бастапқы сынақтан алынған кейбір ерекше қиындықтарды немесе сабақтарды біле аласыз ба?
Патка: Жоспарлаудағы ең үлкен қиындық ренжіту үшін тым апатты емес, бірақ тартымды болу үшін жеткілікті қызықты және кейбір диагностика мен үйлестіруді қамтитын сценарийді анықтау болды.
Біз сыртқы протокол ақаулары, басқару шабуылдары және келісімшартты жаңарту мәселелері сияқты әртүрлі нәрселерді қарастырдық. Біз олардың мониторингі процеске қалай әсер ететінін және олардың қалай жауап беретінін көру үшін хаттаманы баяу қаражат жоғалтуға мәжбүрлейтін қатені модельдеуді аяқтадық.
Мұндағы ең үлкен сабақтардың бірі әлеуметтік, үйлестіру қабаты болды. Маған мәселені диагностикалауда хаттама әзірлеушілер мен аудиторлар мен хаттама қорғаушылары арасындағы тығыз ынтымақтастық таң қалдырды.
Техникалық деңгейде бірінші жаттығу сонымен қатар түнгі жөндеудің көптеген инфрақұрылымын, желі шанышқысын және блок зерттеушісін алуды және инфра тұрақтылығын бақылауды қамтыды.
Блоктау жұмыстары: Сіз жаттығуларыңызда нөлдік күндік осалдықтарды болдырмау туралы айттыңыз. Бұл шешімнің себебін және оның жаттығудың тұтастығына қалай әсер ететінін түсіндіре аласыз ба?
Патка: «Нөлдік күн» осалдықтарынан немесе басқа да өте кең таралған апаттардан аулақ болу себебіміз протокол тобын олар ақылға қонымды жауап бере алатын нәрсеге және олардың протоколының экожүйесінде қамтылған нәрсеге тарта аламыз. Мысалы, біз компилятор қателері немесе консенсус қабатының қателері сияқты нәрселерге қатысты жаттығулар жасаған жоқпыз.
Дегенмен, менің ойымша, бұл кең таралған мәселелерді хаттамааралық жаттығуларда модельдеу қызықты болар еді, онда біз бірнеше командаларды және мүмкін хаттамаларды пайдаланушылардың барлығын шындыққа айналдыру және әлеуметтік тұрақтылықты қалыптастыру үшін бірдеңе дұрыс емес желімен өзара әрекеттесетін болады.
Блоктау жұмыстары: Сіз олармен тестілеу кезінде Yearn компаниясының «төтенше жағдайдағы процедура карталарын» атап өттіңіз. Бұл тәжірибе басқа хаттамаларда қаншалықты жиі кездеседі және оны стандарт ретінде ұсына аласыз ба?
Патка: Мен Yearn сияқты апаттық процедура карталарын жүзеге асыратын басқа хаттамаларды әлі көрмедім, бірақ мен оны өте ұсынар едім. Көптеген хаттамаларда, бірақ әсіресе Yearn-де нақты контекст пен тақырыптық сараптаманы қажет ететін көптеген сыртқы интеграциялар бар.
Қандай да бір оқиға орын алғанда, әрекет етудің орнына өз құжаттарыңызды және келісім-шарттарыңызды қайта оқуға уақыт жұмсағыңыз келмейді. Арнайы сценарийлер үшін төтенше жағдай процедураларының болуы командаларға тезірек және сенімдірек шешім қабылдауға көмектеседі. Бұл төтенше жағдай процедураларын жазу - Yearn стратегияларын қолданудың тәуекел [және] сынау процесінің міндетті қадамы.
Мен басқа хаттамалар үшін, мысалы, әртүрлі активтермен қамтамасыз ету көздері ретінде біріктіру немесе біріктірмеу немесе оларды нарықтарға қосу туралы шешім қабылдағанда, төтенше жағдай процедураларын тәуекел/зерттеу процестеріне қосуды ұсынамын.
Блоктау жұмыстары: Оның тиімділігін өлшеу үшін жаттығу кезінде және одан кейін қандай негізгі өнімділік көрсеткіштеріне қарайсыз?
Патка: Мен жаттығуды ұйымдастырушылар ретінде біздің жұмысымыздың көрсеткіштерін және команданың қаншалықты жақсы жұмыс істегенін іздеймін. Біздің тарапымыз үшін мен инфрақұрылымымыздың тұрақтылығына және команданың имитацияланған ортаға қаншалықты бейімделетініне қарап жатырмын.
Жоба жағында мен эмитенттердің қай уақытта анықталғанын, диагноз қанша уақытқа дейін және қандай әрекетке қатысты консенсус болғанға дейін уақыт кестесін сақтаймын.
Біз сондай-ақ командаларға олардың не үйренгенін, өз процестерінде нені жақсартуды жоспарлап отырғанын және модельдеуімізді қалай жақсартуға болатынын білу үшін өлімнен кейінгі сауалнама жібереміз.
Блоктау жұмыстары: Осы жаттығулардың нәтижесінде хаттамалық қауіпсіздікте байқаған кейбір жалпы тенденциялармен немесе жалпы олқылықтармен бөлісе аласыз ба?
Патка: Мен бұл олқылық екеніне сенімді емеспін, бірақ әртүрлі протоколдардағы ресми «шақыру» жүйесі мен күткеннен азырақ сияқты. Криптографиялық мәдениеттің «әрдайым желіде» аспектісі бар, онда адамдар қажет болған жағдайда дұрыс әзірлеуші немесе көп сигналға қол қоюшы қол жетімді болады деп есептейтін сияқты.
Бұл, әдетте, жұмыс істейтін сияқты, бірақ рөлдер мен кестелерді көбірек ресімдеу көмектесетінін білгім келеді. Мен сондай-ақ бақылау және басқару коды орналастырылған әртүрлі [layer-1s/layer-2s] протоколдары үшін өзгеретінін байқадым. Менің ойымша, көптеген желілерді біріктіретін хаттамалар келісім-шарттарды қалай басқаратыны туралы салада жақсартуға мүмкіндік бар.
Блоктау жұмыстары: Болашаққа қарап, бұл жаттығуларды көбірек хаттамаларды немесе тіпті әртүрлі сынақ түрлерін қамту үшін кеңейту жоспарда бар ма?
Патка: Әрине, біз әр түрлі хаттамаларды немесе бір уақытта бірнеше хаттамаларды қамту үшін жаттығуларды кеңейтуді іздейміз. Біз сондай-ақ командалар қауымдастық қатысушылары үшін оқиғаларға жауап беру тәжірибесін қалыптастыру үшін тұрақты тренингтер өткізе алатындай дәрежеге жеткіміз келеді. Мен сондай-ақ сценарийлерді құрастыру және симуляцияларды конфигурациялау арқылы қауіпсіздік туралы білгісі келетін жаңа қауіпсіздік инженерлерімен араласқым келеді.
Бұл сұхбат анықтық пен нақтылық үшін өңделген.
Келесі үлкен оқиғаны жіберіп алмаңыз – күнделікті тегін ақпараттық бюллетеньге қосылыңыз.
Сэм Банкмен-Фридтің сот процесін сот залындағы соңғы жаңалықтармен қадағалаңыз.
Дереккөз: https://blockworks.co/news/blockchain-security-experts-team