Como o HashEx está ajudando a proteger a indústria de DeFi por meio de auditoria de contratos inteligentes

A auditoria inteligente de contratos está se tornando ainda mais importante com o advento das finanças descentralizadas. É aqui que empresas como a HashEx entram em cena. A HashEx forneceu auditoria inteligente de contratos para mais de 500 projetos até o momento e a empresa ajuda a proteger os protocolos DeFi. As vulnerabilidades que a empresa encontrou nos contratos inteligentes economizaram mais de US $ 2 bilhões para os projetos.

O Bitcoinist conversou com o CEO da HashEx, Dmitry Mishunin, para falar sobre o trabalho da empresa no setor. Fundada em 2017, a HashEx possui um histórico impressionante no espaço DeFi. Mishunin contou ao Bitcoinist sobre seu trabalho na área de segurança cibernética, trabalhando com contratos inteligentes e a auditoria mais recente da HashEx, o contrato inteligente KODA.

Bitcoinista: Como você entrou na segurança cibernética?

Dmitri Mishunin: Fiz desenvolvimento de software por dez anos para diferentes empresas. Principalmente, trabalhei com uma pequena equipe de engenheiros montando soluções complexas. Nunca criamos sites ou aplicativos móveis. Sempre criamos algo complicado. Nossos clientes eram grandes empresas de TI russas e, quando não havia equipes de desenvolvimento interno e projetos interessantes para executar como Big Data e ferramentas de análise, eles nos procuraram e pediram para fazê-lo. Antes da HashEx, tínhamos pelo menos cinco anos terceirizando nossos serviços. 

Algo interessante de mencionar aqui é que trabalhei como CIO em três empresas de e-commerce na Rússia e sempre há uma guerra entre o CIO e o CSO porque o CIO quer otimizar todos os processos, implementar novas soluções, apresentar novos softwares para executar mais rápido, e tudo isso é um risco de segurança potencial para um oficial de segurança. Então você sempre tem algum conflito aí. Naquela época, eu estava em uma linha de batalha diferente. Quando comecei a trabalhar com cibersegurança em blockchain, acho que o ponto principal não era a segurança em si, mas os investidores e fundos de investidores. 

Bitcoinista: Com sua formação, você poderia ter atuado em qualquer parte do setor de segurança cibernética. Por que você escolheu a auditoria de contratos inteligentes?

Dmitri Mishunin: Em meados de 2013 ou 2014, entrei na mineração de Bitcoin. Eu tentei minerar Bitcoin. Então voltei meu foco para Litecoin. Construí algumas fazendas. Depois mudei o foco para software de mineração e sistemas de monitoramento de mineração. Quando o Ethereum foi introduzido, eu já tinha alguma experiência com blockchains e com a própria tecnologia. 

Em 2017, com o primeiro boom de ICO, decidimos parar de terceirizar nossas atividades de desenvolvimento para diferentes direções e nos concentramos apenas em contratos inteligentes Ethereum. Trabalhamos nisso por um ano, de 2017 a 2018. Fizemos cerca de 100 projetos diferentes, contratos inteligentes e aplicativos descentralizados, ganhando boa habilidade e conhecimento sobre como Ethereum, Solidity e contratos inteligentes funcionavam. As solicitações de nossos clientes mudaram de solicitações de código para consultoria para garantir que seus códigos sejam seguros. Começamos como um verdadeiro auditor. Mudamos nosso trabalho principal de escrever código para inspeção de código e, em seguida, para auditoria de código.

Eu tinha ampla experiência com os mercados de ações como o Nasdaq e o mercado de ações russo. Então eu entendi como é importante manter seus fundos seguros. Não apenas de ladrões, mas também de más decisões de investimento. Estávamos pensando em como ganhar confiança em um espaço sem confiança. Isso era muito mais importante para nós do que a segurança cibernética. 

Antes de entrar no blockchain, tive inúmeras oportunidades de me tornar um oficial de segurança, talvez abrir uma empresa que faça testes de penetração e encontre vazamentos de segurança. Eu não estava interessado nesta esfera. No entanto, quando se tratava de investimentos em blockchain e projetos de blockchain e o alto risco associado ao espaço, fiquei animado sobre como poderíamos torná-lo mais seguro, como poderíamos ajudar as pessoas a aproveitar com segurança as oportunidades apresentadas por esse campo.

Bitcoinist: Sua empresa HashEx auditou mais de 500 contratos inteligentes. Você pode falar sobre alguns de seus projetos mais desafiadores? 

Dmitri Mishunin: Às vezes, enfrentamos grandes projetos com uma base de código enorme. Em setembro, conduzimos uma auditoria do protocolo de empréstimo do Trader Joe que se baseia no Avalanche. Eles haviam bifurcado o CREAM Finance, que foi hackeado várias vezes com centenas de milhões de dólares roubados. Ao bifurcar o CREAM, eles também herdaram as vulnerabilidades da rede. Então, eles nos procuraram para fazer uma auditoria na base de código. Foi enorme. 

Uma auditoria de contrato inteligente geralmente leva de 5 a 7 dias úteis para ser concluída. Mas levou mais de um mês para concluir a auditoria do protocolo do Trader Joe. Tivemos que trazer mais auditores para o projeto. Não poderíamos fazer isso com nossa abordagem padrão de dois auditores no projeto. Tínhamos um auditor supervisor entre duas pequenas equipes de auditores. Este foi um dos projetos mais complicados em que trabalhamos.

Bitcoinista: HashEx auditou recentemente o contrato inteligente KODA. Você pode falar sobre o projeto?

Dmitri Mishunin: Começamos a trabalhar com eles neste verão. Recebemos pelo menos dois ou três contratos inteligentes com eles, o primeiro dos quais no verão. Então eles lançaram a segunda versão do KODA. Eles mudaram muitas vezes porque estavam tentando ajustá-lo às necessidades do mercado. KODA é um projeto interessante porque, por trás dele, existe an empresário, James Gale, que é muito bom no que faz. Acho que alguém assim é bom para um projeto como o KODA. Ele tem um negócio no mundo real na Grã-Bretanha e sua experiência empresarial é importante para eles.

Bitcoinista: Que riscos você descobriu no contrato inteligente KODA durante sua auditoria?

Dmitri Mishunin: Tanto quanto me lembro, KODA é um RFI token bifurcado e a maioria deles está apenas tentando bifurcar um ao outro. Isso faz com que tenham muitas oportunidades de violações de backdoor. Um dos maiores projetos de RFI é Safemoon, que atingiu mais de US $ 2 bilhões em capitalização. Fizemos uma auditoria para eles durante o verão e encontramos alguns insights de backdoor. Eles tinham cerca de 10 vulnerabilidades e essas vulnerabilidades eram arriscadas quando esses projetos começaram a interagir uns com os outros.

Publicamos um artigo que foi publicado em publicações criptográficas de destaque. Revelamos como a equipe Safemoon conseguiu esbanjar cerca de US $ 20 milhões em fundos de investidores. O projeto teve cerca de dez auditorias anteriores e ninguém encontrou esta vulnerabilidade. Quando a KODA foi ao mercado, eles haviam bifurcado o mesmo código do Safemoon, portanto, tinham a mesma porta dos fundos.

Revelamos as vulnerabilidades para a equipe KODA e eles consertaram a capacidade de roubar fundos por meio dessa porta dos fundos. Agora, acho que o projeto é muito bom.

Bitcoinista: Depois de encontrar essas vulnerabilidades no contrato inteligente, como você melhorou a segurança do contrato inteligente?

Dmitri Mishunin: Quando realizamos uma auditoria, enviamos um relatório preliminar para a equipe. Enviamos nossas recomendações e sugestões e a equipe as seguirá em seu código. Em seguida, eles nos enviam a próxima versão da base de código. Nós verificamos novamente os problemas e nos certificamos de que não haja mais vulnerabilidades no código. Pelo que me lembro, passamos na KODA com um bom resultado de auditoria. Houve alguns problemas menores, mas não acho que seja grande coisa não trabalhar com eles.

Bitcoinista: Com a auditoria concluída com sucesso, quão confiante você está no futuro do projeto KODA?

Dmitri Mishunin: Se estamos falando sobre o lado técnico, como o contrato inteligente, estou 100% confiante no projeto.

Bitcoinista: Onde você vê a indústria DeFi nos próximos, digamos, cinco a dez anos?

Dmitri Mishunin: Acho que será maior do que o setor bancário atual. Estamos vendo muitos investidores institucionais, grandes empresas como Microsoft, Facebook, estão todos entrando no espaço. É muito fácil de usar. Acho que os setores financeiros tradicionais, como bancos, empréstimos, empréstimos e muito mais, serão transformados pelas finanças descentralizadas (DeFi).

Imagem em destaque do Medium

Fonte: https://bitcoinist.com/how-hashex-is-helping-secure-the-defi-industry-through-smart-contracts-auditing/?utm_source=rss&utm_medium=rss&utm_campaign=how-hashex-is-helping-secure -a-indústria-defi-através-de-auditoria-de-contratos-inteligentes