Այս տարվա գարնանից Isaac Patka-ն AI անվտանգության Shield3 ընկերությունից և Paradigm հետազոտական գործընկեր Սեմը, որն ավելի հայտնի է որպես Samczsun, աշխատում են բլոկչեյն նախագծերի կողքին՝ բարելավելու անվտանգությունը կիբեր սպառնալիքների հետևանքով, որոնք շարունակում են պատուհասել արդյունաբերությունը:
Օգոստոսի սկզբին զույգը գործարկեց SEAL 911-ը՝ Telegram-ի բոտը, որը նախատեսված էր օգտատերերին կապելու անվտանգության ստուգված փորձագետների հետ՝ նպատակ ունենալով ուժեղացնել կիբերանվտանգության բացահայտումը և արագ կանխել հարյուրավոր միլիոն դոլարների հավանական DeFi հաքերները:
Այդ նախաձեռնությունը ստեղծվել է արդյունաբերության հետ կապված բազմաթիվ հաքերներին դիմակայելու հույսով, որոնք տեղի են ունեցել այս տարի, ներառյալ Curve Finance-ի 70 միլիոն դոլար արժողությամբ շահագործումը հուլիսին:
Այժմ զույգը հուսով է բարձրացնել առաջնահերթությունը՝ ստեղծելով արտակարգ իրավիճակների զորավարժությունների նոր նախաձեռնություն, որը նախատեսված է օգնելու բլոկչեյնի նոր արձանագրություններին չարամիտ հաքերների և պոտենցիալ հարձակման վեկտորների դեմ պայքարում:
Blockworks-ը դիմեց Պատկային՝ ավելի լավ պատկերացում կազմելու իրենց ձեռնարկած գործունեության և վերջին մի քանի ամիսների ընթացքում սովորած դասերի մասին:
Blockworks: Կարո՞ղ եք մեզ ծանոթացնել այս արտակարգ զորավարժությունների նախաձեռնության սկզբում: Ո՞րն էր դրա շարժիչ ուժը:
Պատկա: Առաջին անգամ Սեմին հանդիպեցի մեր ընդհանուր ընկեր Ժաննայի միջոցով: Ես Ժաննին հանդիպեցի DWeb ճամբարում 2022, երբ ներկայացնում էի իմ նախկին բաց կոդով և ստանդարտների նախագծերից մի քանիսը: Ես լսել էի, որ Սեմը օգնություն էր փնտրում արարողակարգային թիմերի համար ուսումնական ենթակառուցվածք ստեղծելու համար, որպեսզի նրանք զբաղվեին պատերազմի սենյակում իրական արտակարգ իրավիճակից առաջ:
Գաղափարը արձագանքեց ինձ հետ, քանի որ այդ ժամանակ ես աշխատում էի որոշ հետազոտությունների և գործիքների վրա, որոնք վերաբերում էին ապակենտրոնացված համայնքներում սոցիալական հարձակումներից և կախվածության ձախողումներին հայտնաբերելու և խուսափելու համար:
Ես կամավոր օգնեցի ձեռք բերել հայեցակարգի ապացույց, և գարնանը արագ մտահղացման զանգից հետո ես սկսեցի աշխատել Compound Labs-ի վարժության շրջանակի ուրվագծման վրա, որն առաջին թիմն էր, որն առաջարկեց մասնակցել զորավարժություններին:
Blockworks: Դուք նշեցիք «համապարփակ վերանայման» դերը ձեր վարժանքներում։ Ինչպե՞ս է այս սկզբնական քայլը հիմք է ստեղծում վարժության մնացած մասի համար:
Պատկա: Վերամշակման փուլում ես ծանոթանում եմ բոլոր հնարավորություններին, խելացի պայմանագրերին, փաստաթղթերին և թիրախային արձանագրության մասին հանրությանը հասանելի տեղեկատվությանը: Ես փորձում եմ պարզել, թե որն է «վերահսկման մակերեսը» ցանկացած արտոնյալ օգտվողների [կամ] ադմինների համար, ինչպես է արձանագրությունը փոխազդում [կամ] այլ արձանագրությունների վրա, ինչպես են նրանք վերահսկում համակարգի առողջությունը, ինչ ռիսկային գործընթացներ կան, ինչպես են նրանք ներկայացնում այնպիսի բաներ, ինչպիսիք են արձանագրության արդիականացումը կամ նոր գործառույթների թողարկումը, և եթե կան անհամապատասխանություններ համակարգում, եթե այն տարածված է տարբեր ցանցերում:
Այս վերանայումը դառնում է սեղանի սցենարների հիմքը, որտեղ մենք խոսում ենք հնարավոր խնդիրների մասին:
Blockworks: Սեղանի սիմուլյացիաների օգտագործումը հետաքրքիր մոտեցում է թվում: Կարո՞ղ եք մանրամասնել, թե ինչ է մտնում այս սիմուլյացիաների մեջ և ինչպես են դրանք տեղեկացնում հետագա քայլերի մասին:
Պատկա: Վերամշակման փուլից հետո ես մի քանի սցենարով սցենար եմ հավաքում և զանգով խոսում եմ ամբողջ թիմի հետ: Այս սցենարներն օգնում են մեզ հասկանալ միջադեպերի արձագանքման ընթացակարգերը, դրանց մոնիտորինգը և սոցիալական/հաղորդումների ոճը: Հարցերը, որոնք մենք տալիս ենք այս պահին, հետևյալն են.
- «X»-ը տեղի է ունեցել. Ինչպե՞ս էին թիմին զգուշացրել: Կա՞ մոնիտորինգ, որը հայտնաբերեց դա, թե՞ համայնքից ինչ-որ մեկը դիմել է թիմին:
- Ովքե՞ր են շահագրգիռ կողմերը և առարկայական փորձագետները, ովքեր գիտեն, թե ինչպես վարվել դրա հետ
- Եթե այս միջադեպը ազդում է այլ արձանագրությունների վրա, ո՞վ ունի տվյալ թիմի կոնտակտային տվյալները:
- Եթե սա պահանջում է բազմակողմանի պատասխանի պատասխան, ովքե՞ր են ստորագրողները և ինչպե՞ս եք դիմում նրանց: Ի՞նչ եք կարծում, որքան արագ նրանք կարձագանքեն:
Այս ամենը մեզ օգնում է գտնել պոտենցիալ «թեժ կետերը» կամ բաներ, որոնք մենք ցանկանում ենք սթրես-թեստ անցկացնել ուղիղ եթերի ժամանակ:
Blockworks: Ի՞նչ չափանիշներով եք ընտրում արձանագրային թիմերը, որոնց հետ պատրաստվում եք հորատվել: Նախադրյալներ ունե՞ք։
Պատկա: Այս փուլում մենք փորձում ենք աշխատել թիմերի հետ, որտեղ կարծում ենք, որ կարող ենք օգնել նրանց՝ տրամադրելով որոշակի ուսուցում, բայց նաև նրանցից սովորել, թե ինչպես են գործում տարածության լավագույն պրոտոկոլային թիմերը և կիսվել այդ պրակտիկաներով ավելի լայն համայնքի հետ:
Այսպիսով, թեև մենք չունենք հատուկ նախադրյալներ, այժմ լավ տեղավորվում է այն թիմը, որը նպաստում է արձանագրության ձևավորմանը բավականին լայն տարածում գտած և արդեն անցել է մի քանի միջադեպերի միջով, որպեսզի մենք կարողանանք սովորել թիմի տարբեր ոճերի մասին:
Այնուամենայնիվ, քանի որ մեր ենթակառուցվածքը դառնում է ավելի ամուր և ավելի հեշտ է ստեղծվել, ես կցանկանայի աշխատել որոշ թիմերի հետ ավելի վաղ իրենց արձանագրության մեջ՝ որոշակի ուսուցում տրամադրելու այն մարդկանց, ովքեր նախկինում երբեք չեն եղել պատերազմի սենյակում:
Blockworks: Ձեր առաջին փորձարկումը Compound արձանագրության հետ էր: Կարո՞ղ եք խորամուխ լինել այդ նախնական թեստից քաղված որոշ եզակի մարտահրավերների կամ դասերի մեջ:
Պատկա: Պլանավորման ամենամեծ մարտահրավերը մի սցենարի բացահայտումն էր, որը այնքան էլ աղետալի չէր, որ հիասթափեցնի, բայց բավականաչափ հետաքրքիր էր ներգրավելու համար և կներառեր որոշակի ախտորոշում և համակարգում:
Մենք դիտարկել ենք մի շարք բաներ, ինչպիսիք են արտաքին արձանագրության ձախողումները, կառավարման հարձակումները և պայմանագրերի արդիականացման խնդիրները: Մենք վերջացրինք սխալի նմանակումը, որը ստիպեց արձանագրությանը կամաց-կամաց սկսել կորցնել միջոցները, որպեսզի մենք կարողանայինք տեսնել, թե ինչպես նրանց մոնիտորինգը կվերաբերի գործընթացին և ինչպես նրանք կարձագանքեն:
Այստեղ ամենամեծ դասերից մեկը սոցիալական, համակարգող շերտն էր: Ես տպավորված էի արձանագրության մշակողների և աուդիտորների և արձանագրության պահապանների սերտ համագործակցությամբ՝ խնդրի ախտորոշման հարցում:
Տեխնիկական մակարդակով, առաջին վարժանքը ներառում էր նաև ուշ գիշերվա վրիպազերծման բազմաթիվ ենթակառուցվածքներ, ցանցի պատառաքաղ և բլոկ հետազոտող ստանալ և ինֆրակայունության մոնիտորինգ:
Blockworks: Դուք խոսեցիք զորավարժությունների ընթացքում զրոյական օրվա խոցելիություններից խուսափելու մասին: Կարո՞ղ եք բացատրել այս որոշման հիմքում ընկած պատճառաբանությունը և ինչպես է այն ազդում վարժության ամբողջականության վրա:
Պատկա: «Զրո օրվա» խոցելիությունից կամ այլ շատ տարածված աղետներից խուսափելու պատճառն այն է, որ մենք կարողանանք ներգրավել արձանագրային թիմին մի բանում, որին նրանք կարող են ողջամտորեն արձագանքել, և ինչ-որ բան պարունակվում է իրենց արձանագրության էկոհամակարգում: Օրինակ, մենք վարժություններ չենք արել այնպիսի բաների շուրջ, ինչպիսիք են կոմպիլյատորների սխալները կամ կոնսենսուսային շերտի ձախողումները:
Այնուամենայնիվ, կարծում եմ, որ այս համատարած խնդիրները հետաքրքիր կլիներ նմանակել խաչաձև արձանագրային վարժանքներում, որտեղ մենք կարող էինք ստանալ բազմաթիվ թիմեր և, հավանաբար, արձանագրությունների օգտագործողներ, որոնք բոլորը փոխազդում են մի պատառաքաղի հետ, որտեղ ինչ-որ բան սխալ է տեղի ունեցել՝ այն իրատեսական դարձնելու և սոցիալական ճկունություն ստեղծելու համար:
Blockworks: Դուք նշեցիք Յարնի «արտակարգ ընթացակարգերի քարտերը» նրանց հետ ձեր թեստի ժամանակ: Որքանո՞վ է տարածված այս պրակտիկան այլ արձանագրությունների մեջ, և խորհուրդ կտա՞ք դա որպես ստանդարտ:
Պատկա: Ես դեռ չեմ տեսել այլ արձանագրություններ, որոնք կիրառում են արտակարգ իրավիճակների ընթացակարգերի քարտեր, ինչպիսին է Yearn-ը, բայց ես բարձր խորհուրդ կտամ դա: Շատ արձանագրություններում, բայց հատկապես Յարնի հետ, կան բազմաթիվ արտաքին ինտեգրումներ, որոնք պահանջում են կոնկրետ համատեքստ և առարկայի փորձաքննություն:
Երբ ինչ-որ միջադեպ է տեղի ունենում, դուք չեք ցանկանում ժամանակ ծախսել ձեր սեփական փաստաթղթերն ու պայմանագրերը վերընթերցելու վրա՝ գործողություններ ձեռնարկելու փոխարեն: Հատուկ սցենարների համար արտակարգ իրավիճակների ընթացակարգերի առկայությունը թիմերին օգնում է որոշումներ կայացնել ավելի արագ և վստահ: Այս արտակարգ իրավիճակների ընթացակարգերը գրելը Yearn ռազմավարությունների կիրառման ռիսկի [և] ջանասիրության գործընթացի պարտադիր քայլն է:
Ես խորհուրդ կտայի ավելացնել վթարային ընթացակարգեր ռիսկի/աշխատանքի գործընթացներին այլ արձանագրությունների համար, օրինակ, երբ որոշում է կայացնել՝ ինտեգրվել տարբեր ակտիվների հետ որպես գրավի աղբյուրներ, կամ ավելացնել դրանք շուկաներում:
Blockworks: Որո՞նք են կատարողականության հիմնական ցուցանիշները, որոնք դուք դիտում եք վարժության ընթացքում և հետո՝ դրա արդյունավետությունը չափելու համար:
Պատկա: Ես որոնում եմ որոշ ցուցանիշներ, թե մեր՝ որպես վարժության կազմակերպիչներ, և թե որքան լավ է թիմը արել: Մեր կողմից ես նայում եմ մեր ենթակառուցվածքի կայունությանը և թե թիմը որքանով է հարմարվում մոդելավորված միջավայրին:
Ծրագրի մասով ես պահում եմ ժամանակացույց, թե երբ են հայտնաբերվում թողարկողները, որքան ժամանակ մինչև ախտորոշումը, և որքան ժամանակ մինչև որոշակի կոնսենսուս լինի ձեռնարկվելիք գործողությունների շուրջ:
Մենք նաև հետմահու հետազոտություն ենք ուղարկում թիմերին՝ պարզելու, թե ինչ են նրանք սովորել, ինչ են նախատեսում բարելավել իրենց գործընթացներում և ինչպես մենք կարող ենք բարելավել մեր սիմուլյացիան:
Blockworks: Կարո՞ղ եք կիսվել որոշ համընդհանուր միտումներով կամ ընդհանուր բացթողումներով, որոնք նկատել եք այս զորավարժությունների արդյունքում արձանագրությունների անվտանգության մեջ:
Պատկա: Ես վստահ չեմ, թե դա բացթողում է, բայց կարծես թե տարբեր արձանագրություններում ավելի քիչ պաշտոնական «հազվագյուտ» համակարգ կա, քան ես սպասում էի: Գոյություն ունի կրիպտո մշակույթի «միշտ առցանց» ասպեկտ, որտեղ մարդիկ կարծես թե պարզապես ենթադրում են, որ անհրաժեշտության դեպքում ճիշտ մշակողը կամ բազմանշանակ ստորագրողը հասանելի կլինի:
Սա, ընդհանուր առմամբ, կարծես թե աշխատում է, բայց ես հետաքրքրված եմ ուսումնասիրել, թե արդյոք դերերի և ժամանակացույցերի ավելի շատ պաշտոնականացումը կօգնի: Ես նաև նկատել եմ, որ մոնիտորինգը և կառավարումը տարբեր [շերտ-1/շերտ-2] արձանագրությունների համար տարբեր են, որտեղ դրանք տեղակայվել են կոդով: Կարծում եմ, որ արդյունաբերության մեջ բարելավման տեղ կա այն հարցում, թե ինչպես են բազմաթիվ ցանցերում ընդգրկված արձանագրությունները կառավարում իրենց պայմանագրերը:
Blockworks: Նայելով առաջ՝ պլաններ կա՞ն ընդլայնել այս զորավարժությունները՝ ներառելով ավելի շատ արձանագրություններ կամ նույնիսկ տարբեր տեսակի թեստեր:
Պատկա: Անշուշտ, մենք ձգտում ենք ընդլայնել զորավարժությունները՝ ներառելու տարբեր տեսակի արձանագրություններ, կամ գուցե մի քանի արձանագրություններ միաժամանակ: Մենք նաև ցանկանում ենք հասնել այն կետին, երբ դրանք բավականաչափ հեշտ են գործարկել, որպեսզի թիմերը կանոնավոր վերապատրաստում անցկացնեն համայնքի մասնակիցների համար՝ միջադեպերին արձագանքելու իրենց փորձը զարգացնելու համար: Ես կցանկանայի նաև համագործակցել անվտանգության նոր ինժեներների հետ, ովքեր գուցե ցանկանան իմանալ անվտանգության մասին՝ նախագծելով սցենարներ և կարգավորելով սիմուլյացիաները:
Այս հարցազրույցը խմբագրվել է կարճության և պարզության համար:
Բաց մի թողեք հաջորդ մեծ պատմությունը՝ միացեք մեր անվճար ամենօրյա տեղեկագրին:
Հետևեք Սեմ Բենքմեն-Ֆրիդի դատավարությանը դատարանի դահլիճից վերջին նորությունների հետ:
Աղբյուր՝ https://blockworks.co/news/blockchain-security-experts-team