In che modo HashEx sta aiutando a proteggere l'industria DeFi attraverso l'audit dei contratti intelligenti

La verifica dei contratti intelligenti sta diventando ancora più importante con l’avvento della finanza decentralizzata. È qui che entrano in gioco aziende come HashEx. Fino ad oggi HashEx ha fornito audit di contratti intelligenti per oltre 500 progetti e l'azienda aiuta a proteggere i protocolli DeFi. Le vulnerabilità riscontrate dall’azienda nei contratti intelligenti hanno consentito di risparmiare sui progetti più di 2 miliardi di dollari.

Bitcoinist ha incontrato il CEO di HashEx Dmitry Mishunin per parlare del lavoro dell'azienda in questo ambito. Fondata nel 2017, HashEx vanta un track record impressionante nello spazio DeFi. Mishunin ha raccontato a Bitcoinist del suo lavoro nel campo della sicurezza informatica, del lavoro con i contratti intelligenti e dell'audit più recente di HashEx, il contratto intelligente KODA.

Bitcoinist: Come sei arrivato al mondo della sicurezza informatica?

Dmitry Mishunin: Ho svolto attività di sviluppo software per dieci anni per diverse aziende. Per lo più, ho lavorato con un piccolo team di ingegneri mettendo insieme soluzioni complesse. Non abbiamo mai realizzato siti web o applicazioni mobili. Abbiamo sempre creato qualcosa di complicato. I nostri clienti erano grandi aziende IT russe e quando mancavano team di sviluppo interni e avevano progetti interessanti da gestire come Big Data e strumenti di analisi, sono venuti da noi e hanno chiesto di farlo. Prima di HashEx, avevamo esternalizzato i nostri servizi per almeno cinque anni. 

Qualcosa di interessante da menzionare qui è che ho lavorato come CIO in tre società di e-commerce in Russia e c'è sempre una guerra tra CIO e CSO perché il CIO vuole ottimizzare tutti i processi, implementare nuove soluzioni, introdurre nuovi software in correre più velocemente e tutto ciò rappresenta un potenziale rischio per la sicurezza per un responsabile della sicurezza. Quindi hai sempre qualche conflitto lì. A quel tempo, ero su una linea di battaglia diversa. Quando ho iniziato a lavorare sulla sicurezza informatica nella blockchain, penso che il punto principale non fosse la sicurezza in sé, ma gli investitori e i loro fondi. 

Bitcoinist: Con il tuo background, avresti potuto entrare in qualsiasi parte del settore della sicurezza informatica. Perché hai scelto l’auditing dei contratti intelligenti?

Dmitry Mishunin: A metà del 2013 o 2014, ho iniziato a dedicarmi al mining di Bitcoin. Ho provato a estrarre Bitcoin. Poi mi sono concentrato su Litecoin. Ho costruito alcune fattorie. Poi ho spostato l'attenzione sui software di mining e sui sistemi di monitoraggio del mining. Quando è stato introdotto Ethereum, avevo già una certa esperienza con le blockchain e la tecnologia stessa. 

Nel 2017, con il primo boom delle ICO, abbiamo deciso di smettere di esternalizzare le nostre attività di sviluppo in direzioni diverse e di concentrarci solo sui contratti intelligenti di Ethereum. Ci abbiamo lavorato per un anno, dal 2017 al 2018. Abbiamo realizzato circa 100 progetti diversi, contratti intelligenti e applicazioni decentralizzate, acquisendo buone competenze e conoscenze su come funzionavano Ethereum, Solidity e contratti intelligenti. Le richieste dei nostri clienti sono passate dalla richiesta di codice alla consulenza per garantire che i loro codici siano sicuri. Abbiamo iniziato come un vero revisore dei conti. Abbiamo cambiato il nostro lavoro principale dalla scrittura del codice all'ispezione del codice e quindi al controllo del codice.

Ho avuto una vasta esperienza con i mercati azionari come il Nasdaq e il mercato azionario russo. Così ho capito quanto fosse importante tenere i propri fondi al sicuro. Non solo dai ladri, ma anche dalle cattive decisioni di investimento. Stavamo pensando a come ottenere fiducia in uno spazio senza fiducia. Per noi questo era molto più importante della sicurezza informatica. 

Prima di dedicarmi alla blockchain, ho avuto innumerevoli opportunità di diventare un responsabile della sicurezza, magari avviare un’azienda che effettui test di penetrazione e trovi falle di sicurezza. Non ero interessato a questo ambito. Tuttavia, quando si trattava di investimenti e progetti blockchain e dell’alto rischio associato a questo spazio, ero entusiasta di come avremmo potuto renderlo più sicuro, di come avremmo potuto aiutare le persone a sfruttare in modo sicuro le opportunità presentate da questo campo.

Bitcoinist: La tua azienda HashEx ha verificato oltre 500 contratti intelligenti. Puoi parlarci di alcuni dei tuoi progetti più impegnativi? 

Dmitry Mishunin: A volte ci troviamo di fronte a grandi progetti con una base di codice enorme. A settembre abbiamo condotto un audit del protocollo di prestito di Trader Joe basato su Avalanche. Avevano biforcato CREAM Finance, che è stato violato più volte con il furto di centinaia di milioni di dollari. Forzando CREAM, avevano ereditato anche le vulnerabilità della rete. Quindi sono venuti da noi per fare un controllo del codice base. Era enorme. 

Il completamento di un audit del contratto intelligente richiede solitamente 5-7 giorni lavorativi. Ma ci è voluto più di un mese per completare la verifica del protocollo di Trader Joe. Abbiamo dovuto coinvolgere più revisori nel progetto. Non potremmo farlo con il nostro approccio standard di due revisori al progetto. Avevamo un supervisore auditor tra due piccoli gruppi di auditor. Questo è stato uno dei progetti più complicati su cui abbiamo lavorato.

Bitcoinist: HashEx ha recentemente verificato il contratto intelligente KODA. Puoi parlare del progetto?

Dmitry Mishunin: Abbiamo iniziato a lavorare con loro quest'estate. Abbiamo avuto almeno due o tre contratti intelligenti da loro, il primo dei quali lo abbiamo ottenuto in estate. Quindi hanno rilasciato la seconda versione di KODA. L’hanno cambiato molte volte perché cercavano di adattarlo alle esigenze del mercato. KODA è un progetto interessante perché dietro c'è an imprenditore, James Gale, che è molto bravo in quello che fa. Penso che qualcuno come questo sia buono per un progetto come KODA. Ha un'attività reale in Gran Bretagna e la sua esperienza commerciale è importante per loro.

Bitcoinist: Quali rischi hai scoperto nel contratto intelligente KODA nel corso del tuo audit?

Dmitry Mishunin: Per quanto ricordo, KODA è un RFI token biforcato e la maggior parte di loro sta solo cercando di biforcarsi a vicenda. Ciò fa sì che abbiano molte opportunità di violazioni backdoor. Uno dei più grandi progetti di RFI è Safemoon, che ha raggiunto una capitalizzazione di oltre 2 miliardi di dollari. Abbiamo eseguito un audit per loro durante l'estate e abbiamo trovato alcuni spunti di backdoor. Avevano circa 10 vulnerabilità e queste vulnerabilità erano rischiose quando questi progetti iniziarono a interagire tra loro.

Abbiamo pubblicato un articolo che è stato pubblicato in importanti pubblicazioni crittografiche. Abbiamo rivelato come il team di Safemoon sia riuscito a raccogliere circa 20 milioni di dollari dai fondi degli investitori. Il progetto aveva avuto una decina di audit precedenti e nessuno aveva riscontrato questa vulnerabilità. Quando KODA venne lanciata sul mercato, avevano biforcato lo stesso codice di Safemoon, quindi avevano la stessa backdoor.

Abbiamo rivelato le vulnerabilità al team KODA e hanno corretto la possibilità di rubare fondi attraverso questa backdoor. Ora, penso che il progetto sia piuttosto buono.

Bitcoinist: Dopo aver individuato queste vulnerabilità nel contratto intelligente, come avete migliorato la sicurezza del contratto intelligente?

Dmitry Mishunin: Quando eseguiamo un audit, inviamo un rapporto preliminare al team. Inviamo i nostri consigli e suggerimenti e il team li seguirà nel proprio codice. Quindi ci inviano la versione successiva della codebase. Ricontrolliamo i problemi e ci assicuriamo che non ci siano più vulnerabilità nel codice. Per quanto ricordo, abbiamo superato il KODA con un buon risultato dell'audit. Ci sono stati alcuni problemi minori, ma non penso che sia un grosso problema non lavorarci.

Bitcoinist: Con l'audit completato con successo, quanto sei fiducioso nel futuro del progetto KODA?

Dmitry Mishunin: Se parliamo del lato tecnologico, come del contratto intelligente, sono fiducioso al 100% nel progetto.

Bitcoinist: Come vedi il settore DeFi nei prossimi, diciamo, cinque-dieci anni?

Dmitry Mishunin: Penso che sarà più grande dell’attuale settore bancario. Stiamo vedendo molti investitori istituzionali, grandi aziende come Microsoft e Facebook, che stanno entrando nello spazio. È molto facile da usare. Penso che i settori finanziari tradizionali come quello bancario, dei prestiti, dei prestiti e altro ancora saranno trasformati dalla finanza decentralizzata (DeFi).

Immagine in primo piano da Medium

Fonte: https://bitcoinist.com/how-hashex-is-helping-secure-the-defi-industry-through-smart-contracts-auditing/?utm_source=rss&utm_medium=rss&utm_campaign=how-hashex-is-helping-secure -l'industria-defi-attraverso-l'auditing-contratti-intelligenti