Πώς το HashEx βοηθά στην ασφάλεια της βιομηχανίας DeFi μέσω του ελέγχου έξυπνων συμβάσεων

Ο έλεγχος των έξυπνων συμβάσεων γίνεται ακόμη πιο σημαντικός με την εμφάνιση της αποκεντρωμένης χρηματοδότησης. Εδώ μπαίνουν στην εικόνα εταιρείες όπως το HashEx. Η HashEx έχει παράσχει έλεγχο έξυπνων συμβάσεων για περισσότερα από 500 έργα μέχρι σήμερα και η εταιρεία βοηθά στην ασφάλεια των πρωτοκόλλων DeFi. Τα τρωτά σημεία που εντόπισε η εταιρεία στα έξυπνα συμβόλαια έχουν εξοικονομήσει έργα περισσότερα από 2 δισεκατομμύρια δολάρια.

Ο Bitcoinist κάθισε με τον διευθύνοντα σύμβουλο της HashEx, Ντμίτρι Μισούνιν, για να μιλήσει για τη δουλειά της εταιρείας στον χώρο. Ιδρύθηκε το 2017, το HashEx μπορεί να υπερηφανεύεται για ένα εντυπωσιακό ιστορικό στον χώρο του DeFi. Ο Mishunin είπε στον Bitcoinist για τη δουλειά του στον χώρο της κυβερνοασφάλειας, την εργασία με έξυπνα συμβόλαια και τον πιο πρόσφατο έλεγχο του HashEx, το έξυπνο συμβόλαιο KODA.

Bitcoinist: Πώς μπήκατε στην κυβερνοασφάλεια;

Ντμίτρι Μισούνιν: Έκανα ανάπτυξη λογισμικού για δέκα χρόνια για διαφορετικές εταιρείες. Ως επί το πλείστον, δούλεψα με μια μικρή ομάδα μηχανικών συνθέτοντας σύνθετες λύσεις. Δεν κάναμε ποτέ ιστότοπους ή εφαρμογές για κινητά. Πάντα δημιουργούσαμε κάτι περίπλοκο. Οι πελάτες μας ήταν μεγάλες ρωσικές εταιρείες πληροφορικής και όταν είχαν έλλειψη εσωτερικών ομάδων ανάπτυξης και είχαν ενδιαφέροντα έργα να τρέξουν όπως τα Big Data και τα εργαλεία ανάλυσης, ήρθαν σε εμάς και ζήτησαν να το κάνουμε. Πριν από το HashEx, είχαμε τουλάχιστον πέντε χρόνια εξωτερικής ανάθεσης των υπηρεσιών μας. 

Κάτι ενδιαφέρον να αναφέρω εδώ είναι ότι εργάστηκα ως CIO σε τρεις εταιρείες ηλεκτρονικού εμπορίου στη Ρωσία και υπάρχει πάντα ένας πόλεμος μεταξύ του CIO και του CSO επειδή ο CIO θέλει να βελτιστοποιήσει όλες τις διαδικασίες, να εφαρμόσει νέες λύσεις, να εισαγάγει νέο λογισμικό τρέξτε γρηγορότερα και όλα αυτά αποτελούν πιθανό κίνδυνο ασφάλειας για έναν αξιωματικό ασφαλείας. Άρα έχεις πάντα κάποια σύγκρουση εκεί. Εκείνη την εποχή, ήμουν σε διαφορετική γραμμή μάχης. Όταν άρχισα να ασχολούμαι με την κυβερνοασφάλεια στο blockchain, νομίζω ότι το κύριο σημείο δεν ήταν η ίδια η ασφάλεια αλλά τα κεφάλαια των επενδυτών και των επενδυτών. 

Bitcoinist: Με το υπόβαθρό σας, θα μπορούσατε να είχατε πάει σε οποιοδήποτε μέρος του τομέα της κυβερνοασφάλειας. Γιατί επιλέξατε τον έλεγχο έξυπνων συμβολαίων;

Ντμίτρι Μισούνιν: Στα μέσα του 2013 ή του 2014, μπήκα στην εξόρυξη Bitcoin. Προσπάθησα να εξορύξω Bitcoin. Στη συνέχεια έστρεψα την εστίασή μου στο Litecoin. Έφτιαξα μερικές φάρμες. Στη συνέχεια, στράφηκα στο λογισμικό εξόρυξης και στα συστήματα παρακολούθησης εξόρυξης. Όταν εισήχθη το Ethereum, είχα ήδη κάποια εμπειρία με τα blockchains και την ίδια την τεχνολογία. 

Το 2017, με την πρώτη έκρηξη ICO, αποφασίσαμε να σταματήσουμε την εξωτερική ανάθεση των αναπτυξιακών μας δραστηριοτήτων για διαφορετικές κατευθύνσεις και επικεντρωθήκαμε μόνο στα έξυπνα συμβόλαια Ethereum. Δουλέψαμε πάνω σε αυτό για ένα χρόνο, από το 2017 έως το 2018. Κάναμε περίπου 100 διαφορετικά έργα, έξυπνα συμβόλαια και αποκεντρωμένες εφαρμογές, αποκτώντας καλές δεξιότητες και γνώσεις σχετικά με το πώς λειτουργούσαν το Ethereum, το Solidity και τα έξυπνα συμβόλαια. Τα αιτήματα των πελατών μας άλλαξαν από αιτήματα κωδικών σε συμβουλευτικές υπηρεσίες για να βεβαιωθούμε ότι οι κωδικοί τους είναι ασφαλείς. Ξεκινήσαμε ως πραγματικός ελεγκτής. Αλλάξαμε την κύρια εργασία μας από τη σύνταξη κώδικα σε επιθεώρηση κώδικα και μετά σε έλεγχο κώδικα.

Είχα ευρεία εμπειρία με τις χρηματιστηριακές αγορές όπως το Nasdaq και το ρωσικό χρηματιστήριο. Κατάλαβα λοιπόν πόσο σημαντικό ήταν να διατηρήσετε τα χρήματά σας ασφαλή. Όχι μόνο από κλέφτες, αλλά και κακές επενδυτικές αποφάσεις. Σκεφτόμασταν πώς να κερδίσουμε εμπιστοσύνη σε έναν χώρο χωρίς εμπιστοσύνη. Αυτό ήταν πολύ πιο σημαντικό για εμάς από την ασφάλεια στον κυβερνοχώρο. 

Πριν πάω στο blockchain, είχα αμέτρητες ευκαιρίες να γίνω αξιωματικός ασφαλείας, ίσως να ξεκινήσω μια εταιρεία που κάνει δοκιμές διείσδυσης και βρίσκει διαρροές ασφαλείας. Δεν με ενδιέφερε αυτή η σφαίρα. Ωστόσο, όσον αφορά τις επενδύσεις blockchain και τα έργα blockchain και τον υψηλό κίνδυνο που σχετίζεται με τον χώρο, ήμουν ενθουσιασμένος για το πώς θα μπορούσαμε να τον κάνουμε πιο ασφαλή, πώς θα μπορούσαμε να βοηθήσουμε τους ανθρώπους να εκμεταλλευτούν με ασφάλεια τις ευκαιρίες που παρουσίαζε αυτό το πεδίο.

Bitcoinist: Η εταιρεία σας HashEx έχει ελέγξει πάνω από 500 έξυπνα συμβόλαια. Μπορείτε να μιλήσετε για μερικά από τα πιο δύσκολα έργα σας; 

Ντμίτρι Μισούνιν: Μερικές φορές ερχόμαστε αντιμέτωποι με μεγάλα έργα με τεράστια βάση κωδικών. Τον Σεπτέμβριο, πραγματοποιήσαμε έλεγχο του πρωτοκόλλου δανεισμού του Trader Joe που είναι χτισμένο στο Avalanche. Είχαν διαχωρίσει την CREAM Finance, η οποία έχει χακαριστεί πολλές φορές με κλοπές εκατοντάδων εκατομμυρίων δολαρίων. Διαχωρίζοντας το CREAM, είχαν κληρονομήσει και τα τρωτά σημεία του δικτύου. Ήρθαν λοιπόν σε εμάς για να κάνουμε έλεγχο της βάσης κωδικών. Ήταν τεράστιο. 

Ένας έξυπνος έλεγχος συμβολαίου διαρκεί συνήθως 5-7 εργάσιμες ημέρες για να ολοκληρωθεί. Αλλά μας πήρε πάνω από ένα μήνα για να ολοκληρώσουμε τον έλεγχο του πρωτοκόλλου του Trader Joe. Έπρεπε να φέρουμε περισσότερους ελεγκτές για το έργο. Δεν μπορούσαμε να το κάνουμε με την τυπική μας προσέγγιση δύο ελεγκτών στο έργο. Είχαμε έναν επόπτη ελεγκτή μεταξύ δύο μικρών ομάδων ελεγκτών. Αυτό ήταν ένα από τα πιο περίπλοκα έργα που έχουμε δουλέψει.

Bitcoinist: Η HashEx έλεγξε πρόσφατα το έξυπνο συμβόλαιο KODA. Μπορείτε να μιλήσετε για το έργο;

Ντμίτρι Μισούνιν: Ξεκινήσαμε να δουλεύουμε μαζί τους αυτό το καλοκαίρι. Είχαμε τουλάχιστον δύο ή τρία έξυπνα συμβόλαια από αυτούς, εκ των οποίων το πρώτο το πήραμε το καλοκαίρι. Στη συνέχεια κυκλοφόρησαν τη δεύτερη έκδοση του KODA. Το άλλαξαν πολλές φορές γιατί προσπαθούσαν να το προσαρμόσουν στις ανάγκες της αγοράς. Το KODA είναι ένα ενδιαφέρον έργο γιατί πίσω από αυτό, υπάρχει an επιχειρηματίας, James Gale, που είναι πολύ καλός σε αυτό που κάνει. Νομίζω ότι κάποιος σαν αυτό είναι καλός για ένα έργο όπως το KODA. Έχει μια πραγματική επιχείρηση στη Μεγάλη Βρετανία και η επιχειρηματική του εμπειρία είναι σημαντική για αυτούς.

Bitcoinist: Ποιους κινδύνους ανακαλύψατε στο έξυπνο συμβόλαιο KODA κατά τη διάρκεια του ελέγχου σας;

Ντμίτρι Μισούνιν: Από όσο θυμάμαι το KODA είναι ένα RFI διχαλωτό κουπόνι και οι περισσότεροι από αυτούς απλώς προσπαθούν να διχαλώσουν ο ένας τον άλλον. Αυτό τους κάνει να έχουν πολλές ευκαιρίες για παραβιάσεις της κερκόπορτας. Ένα από τα μεγαλύτερα έργα RFI είναι το Safemoon, το οποίο έφτασε τα 2 δισεκατομμύρια δολάρια σε κεφαλαιοποίηση. Πραγματοποιήσαμε έναν έλεγχο για αυτούς κατά τη διάρκεια του καλοκαιριού και βρήκαμε κάποιες πληροφορίες από την πίσω πόρτα. Είχαν περίπου 10 τρωτά σημεία και αυτά τα τρωτά σημεία ήταν επικίνδυνα όταν αυτά τα έργα άρχισαν να αλληλεπιδρούν μεταξύ τους.

Δημοσιεύσαμε ένα άρθρο που δημοσιεύτηκε σε εξέχουσες εκδόσεις κρυπτογράφησης. Αποκαλύψαμε πώς η ομάδα του Safemoon μπορούσε να αντλήσει περίπου 20 εκατομμύρια δολάρια από τα κεφάλαια των επενδυτών. Το έργο είχε πραγματοποιήσει περίπου δέκα προηγούμενους ελέγχους και κανείς δεν είχε βρει αυτήν την ευπάθεια. Όταν η KODA βγήκε στην αγορά, είχαν διαχωρίσει τον ίδιο κωδικό με το Safemoon, οπότε είχαν την ίδια κερκόπορτα.

Αποκαλύψαμε τα τρωτά σημεία στην ομάδα της KODA και διόρθωσαν την ικανότητα κλοπής κεφαλαίων μέσω αυτής της κερκόπορτας. Τώρα, νομίζω ότι το έργο είναι πολύ καλό.

Bitcoinist: Μετά την εύρεση αυτών των τρωτών σημείων στο έξυπνο συμβόλαιο, πώς βελτιώσατε την ασφάλεια του έξυπνου συμβολαίου;

Ντμίτρι Μισούνιν: Όταν διενεργούμε έλεγχο, στέλνουμε μια προκαταρκτική αναφορά στην ομάδα. Στέλνουμε τις συστάσεις και τις προτάσεις μας και η ομάδα θα τις ακολουθήσει στον κώδικά της. Στη συνέχεια μας στέλνουν την επόμενη έκδοση της βάσης κωδικών. Ελέγχουμε ξανά για προβλήματα και βεβαιωνόμαστε ότι δεν υπάρχουν άλλα τρωτά σημεία στον κώδικα. Από όσο θυμάμαι, περάσαμε KODA με καλό αποτέλεσμα ελέγχου. Υπήρχαν κάποια δευτερεύοντα ζητήματα, αλλά δεν νομίζω ότι είναι μεγάλη υπόθεση να μην ασχοληθείς με αυτό.

Bitcoinist: Με τον έλεγχο που ολοκληρώθηκε με επιτυχία, πόσο σίγουροι είστε για το μέλλον του έργου KODA;

Ντμίτρι Μισούνιν: Αν μιλάμε για την τεχνολογική πλευρά, ως το έξυπνο συμβόλαιο, είμαι 100% σίγουρος για το έργο.

Bitcoinist: Πού βλέπετε τη βιομηχανία DeFi τα επόμενα, ας πούμε, πέντε έως δέκα χρόνια;

Ντμίτρι Μισούνιν: Νομίζω ότι θα είναι μεγαλύτερο από τον σημερινό τραπεζικό κλάδο. Βλέπουμε πολλούς θεσμικούς επενδυτές, μεγάλες εταιρείες όπως η Microsoft, το Facebook, να μπαίνουν όλες στον χώρο. Είναι πολύ εύκολο στη χρήση. Νομίζω ότι οι παραδοσιακοί χρηματοοικονομικοί τομείς όπως ο τραπεζικός τομέας, ο δανεισμός, ο δανεισμός και άλλα θα μεταμορφωθούν από την αποκεντρωμένη χρηματοδότηση (DeFi).

Επιλεγμένη εικόνα από το Medium

Πηγή: https://bitcoinist.com/how-hashex-is-helping-secure-the-defi-industry-through-smart-contracts-auditing/?utm_source=rss&utm_medium=rss&utm_campaign=how-hashex-is-helping-secure -ο-defi-βιομηχανία-μέσω-έξυπνων-συμβάσεων-ελέγχου