▼▼▼

Liu Feng: Cosine đã tham gia vào việc thu hồi số tiền bị đánh cắp của Lendf.me (gần 25 triệu đô la Mỹ) trong những ngày gần đây, bạn có thể cho chúng tôi biết về hàng chục giờ kinh nghiệm không?

Cosine: Bước đầu tiên là nhanh chóng xác định vị trí của mối đe dọa và chi tiết cuộc tấn công, để có thể nhanh chóng đưa ra nguyên nhân chính xác nhất của lỗ hổng. mã lõi của Lendf.Me và lỗ hổng này Nó cần được kết hợp với sự kết hợp dựa trên mã thông báo ERC777 để xảy ra. Sau khi biết bản chất của lỗ hổng và phương pháp tấn công, thật dễ dàng để biết kẻ tấn công đã đánh cắp bao nhiêu tài sản trên chuỗi.

Bước thứ hai là suy nghĩ về cách phục hồi. Vào chiều ngày 19 tháng 4, các nhóm bảo mật của dForce, Xinghuo và imToken đã tập hợp ngoại tuyến và kết nối từ xa với nhóm bảo mật của SlowMist để thành lập một "nhóm bảo mật tạm thời" để bắt đầu thu hồi tài sản. Do lượng thông tin rất lớn và lộn xộn nên các cuộc thảo luận tập trung có thể nhanh chóng đạt được sự đối xứng thông tin và tăng tốc độ.

Vào ngày 20 tháng 4, dựa trên dấu vết do tin tặc để lại trước và sau khi tấn công, "đội bảo mật tạm thời" đã xác định thành công chân dung chính xác của tin tặc và bắt đầu so sánh chéo với các nguồn tài nguyên khác nhau trong và ngoài nước để có được manh mối đột phá .đóng cửa. Chiều ngày 21/4, trong 48 giờ vàng trước áp lực nặng nề, hacker đã chủ động liên lạc với dForce và bắt đầu trả lại một số tài sản. Sau khi tiếp tục liên lạc, tất cả tài sản đã được thu hồi thành công, đó là ngày thứ ba sau vụ tấn công. Quá trình này không chỉ đóng vai trò then chốt trong “đội bảo mật tạm thời” mà còn nhận được sự giúp đỡ trực tiếp và gián tiếp từ nhiều bạn bè trong cộng đồng mã hóa.

Liu Feng: Về cuộc tấn công vào Lendf.me, mọi người nên rút ra bài học gì?

Cosine: Cái mới nào cũng sẽ có rủi ro bảo mật trong quá trình tiến hóa, đây là quy luật của tiến hóa, càng ra đời sớm thì rủi ro càng lớn, cuối cùng sẽ chết hoặc có xu hướng cân bằng tương đối ổn định.

Dựa trên sự chuẩn bị tâm lý này, hãy xem xét DeFi. Có một số rủi ro quan trọng: rủi ro bảo mật kỹ thuật, rủi ro bảo mật kinh doanh và rủi ro bảo mật tuân thủ. Hãy mở rộng ngắn gọn (lấy Ethereum làm ví dụ):

1. Bảo mật kỹ thuật

Trước hết, hãy kiểm tra xem bản thân chuỗi công khai đã được thử nghiệm và đủ an toàn chưa và Ethereum về cơ bản đáp ứng được điểm này; sau đó kiểm tra xem thiết kế của hợp đồng thông minh có đủ an toàn không, Solidity không quá hài lòng; sau đó kiểm tra các tiêu chuẩn liên quan (chẳng hạn như ERC20, 223, 721, 777, v.v.) Việc triển khai có đủ an toàn hay không, vấn đề lớn nhất ở đây là nhiều khi một "tính năng" sẽ trở thành một "khuyết điểm"; sau đó hãy xem khung dựa trên tiêu chuẩn trưởng thành có an toàn hay không, chẳng hạn như OpenZeppelin là rất tốt, cuối cùng hãy nhìn vào sự phát triển của bên dự án Rất khó để nói liệu các biện pháp bảo mật có thực sự nghiêm ngặt hay không.Rõ ràng là chất lượng phát triển không đồng đều.

2. Bảo mật doanh nghiệp

Hoạt động kinh doanh phụ thuộc vào thiết kế của DeFi, chẳng hạn như cho vay thế chấp, cho vay nhanh, giao dịch, v.v. Doanh nghiệp cần xem xét đặc biệt về kiểm soát rủi ro bảo mật, chẳng hạn như tôi nên làm gì nếu giá giảm mạnh hoặc tăng vọt? Làm thế nào để đối phó với số tiền chuyển tiền lớn đột ngột? Làm cách nào để giải quyết các rủi ro bảo mật của bên thứ ba (chẳng hạn như quyền truy cập vào mã thông báo của bên thứ ba, liên kết với bên thứ ba, v.v.)?

3. Tuân thủ và Bảo mật

Điều gì sẽ xảy ra nếu đó là một DeFi có viền xám hoặc đen, vô tình bị cơ quan thực thi pháp luật ở một số quốc gia đánh sập hoặc tự bỏ chạy?

Ngoài ra, một số đánh giá đặc biệt liên quan đến quan điểm của người dùng được thêm vào:

1. Bên dự án có đội ngũ bảo mật mạnh hoặc nhân sự nòng cốt có kinh nghiệm bảo mật phong phú để kiểm tra

2. Bên dự án đã được cơ quan an ninh chuyên nghiệp bên thứ ba kiểm tra trong vòng sáu tháng qua và kết quả kiểm tra an ninh đã được công khai

3. Bên dự án có mối quan hệ hợp tác lâu dài, liên tục và chặt chẽ với bên thứ ba là đơn vị bảo vệ chuyên nghiệp

4. Các đảng viên nòng cốt của dự án có thái độ thẳng thắn, cởi mở đối với vấn đề an toàn, dũng cảm nhận lỗi và đặt an toàn lên hàng đầu

5. Bên dự án đầy kính sợ và tôn trọng công tác an toàn

Dựa trên 5 điểm trên, một số sự thật có thể được mở rộng, chẳng hạn như: truyền miệng, số lượng người dùng thực, minh bạch dữ liệu, minh bạch bảo mật, v.v.

Liu Feng: Mọi người đều sẵn sàng sử dụng các sản phẩm DeFi, lý do là họ lo lắng về tính bảo mật của nền tảng dịch vụ tài chính tập trung và hy vọng tìm kiếm hòa bình thông qua DeFi. Tuy nhiên, hàng loạt nền tảng và sản phẩm DeFi đã bị tấn công trong năm nay khiến mọi người mất lòng tin vào DeFi thay vào đó, tôi cảm thấy hơi tiếc. Bạn nghĩ sao?

Yu Xian: Ý kiến ​​của tôi khác, chúng ta hãy nhìn vào lịch sử.

Xem chi tiết tại đây:https://hacked.slowmist.io/

Bạn sẽ thấy rằng có những trường hợp lịch sử rất nghiêm trọng về tập trung hóa và phi tập trung hóa, nhưng trên thực tế không cần phải làm mất niềm tin vì điều này. DeFi phải có định vị của riêng mình, nhưng DeFi không nên cố gắng thống trị thế giới. Điều tương tự cũng vậy phù hợp với CeFi. Trong tương lai, nó sẽ là Chúng ta sẽ thấy nhiều loại lai DeFi + CeFi xuất hiện. Hơn nữa, DeFi không nhất thiết phải phi tập trung hoàn toàn, đây là ý kiến ​​cá nhân của tôi.

Tôi là một hacker, trong mắt tôi những cái này không an toàn tuyệt đối và còn nhiều điểm yếu, nhưng không phải hacker nào cũng xấu, chúng ta mong phát triển theo hướng bảo mật nhưng khi chiến đấu thì phải có đủ tư duy hung hãn.

Liu Feng: Khán giả hỏi, việc kiểm toán các hợp đồng DeFi quan trọng như thế nào? Có đủ an toàn không? Các dự án defi đã được kiểm toán có đáng tin cậy không?

Cosine: Kiểm tra bảo mật DeFi là lớp thứ hai của chiến lược bảo mật, lớp đầu tiên là bảo mật cho quá trình phát triển DeFi, đây là công việc kinh doanh của phía dự án. Kiểm tra bảo mật DeFi có thể tránh được nhiều vấn đề ở lớp thứ hai và cải thiện mức độ bảo vệ an ninh lên cấp độ cao hơn. Nhưng còn một lớp thứ ba sau đó, đó là tính bảo mật cho hoạt động liên tục của các lần lặp cập nhật, sẽ rất rắc rối nếu bạn không cẩn thận. Chỉ có thể nói rằng các dự án đã trải qua kiểm toán an ninh có thể khiến mọi người yên tâm hơn, nhưng nhất định phải có thiên nga đen—các cuộc tấn công từ tương lai. Do đó, nếu kiểm toán bảo mật đã được hơn nửa năm, bạn phải chú ý.

Liu Feng: Khán giả hỏi, hầu hết các giao thức DeFi nổi tiếng đều được kiểm soát tập trung dưới một số hình thức, mặc dù phương pháp này có một số ưu điểm về mặt bảo mật, nhưng làm cách nào để ngăn quản trị viên lạm dụng đặc quyền của họ hoặc giảm thiểu rủi ro liên quan?

Cosine: Đây là vấn đề thuộc về bản chất con người, một số vấn đề có thể được giải quyết bằng công nghệ và một số thì không. Về mặt kỹ thuật, nó được kiểm soát theo cách tương tự như DAO, nhưng điều này sẽ tạo ra những vấn đề mới, nếu hiệu quả của DAO quá thấp thì sẽ rất rắc rối. Nhưng ít nhất một điều phía dự án cần làm là minh bạch, minh bạch tài sản, minh bạch quyền hạn, minh bạch quyết định, v.v.. để cộng đồng thấy được.

Liu Feng: Khán giả hỏi, có giải pháp nào để xây dựng phần mềm trung gian giữa người dùng và hợp đồng không, và phần mềm trung gian này được sử dụng để xử lý bảo mật?

Cosine: Cái này tôi không biết, tôi cần thử nghiệm, nhưng gần đây tôi có một ý tưởng, bạn có thể xem qua:https://firewallx.io/

Tường lửa này được xây dựng trên mạng chính của EOS và cốt lõi là việc thực hiện các hợp đồng thông minh. Trên Ethereum, ERC777, phức tạp hơn, cũng có thể làm điều tương tự, nhưng nó vẫn cần được thử nghiệm.

Liu Feng: Khán giả hỏi, vấn đề bảo mật mã gần như không thể tránh khỏi, liệu DeFi có cần được bổ sung cơ chế kiểm soát rủi ro hoàn thiện hơn để tránh tổn thất lớn không? Bởi vì điểm hấp dẫn của DeFi là tính phi tập trung và hợp đồng thông minh, nhưng việc sửa chữa và phục hồi sau khi bị tấn công dường như là một trò chơi giữa mọi người.

Yu Xian: Rất khó để phục hồi, nhưng điều thú vị hơn là tỷ lệ thành công có thể tăng lên trong năm nay, vì các thủ tục tư pháp và thực thi pháp luật của nhiều quốc gia đã bắt đầu hỗ trợ tiền điện tử.

Tôi rất biết ơn những người bạn "chương trình" đã tham gia sự kiện Math Show #001 tối nay và tôi cũng cảm ơn người sáng lập SlowMist, Yu Xian, vì đã mang đến cho chúng tôi một bữa tiệc kiến ​​thức bảo mật về DeFi và đóng góp cho an ninh sinh thái của chuỗi khối. Tôi chúc Slow Mist ngày càng tốt hơn.