Kopš šī gada pavasara Īzaks Patka no AI drošības firmas Shield3 un Paradigm pētniecības partneris Sems, labāk pazīstams kā Samczsun, ir strādājuši kopā ar blokķēdes projektiem, lai uzlabotu drošību saistībā ar kiberdraudiem, kas turpina nomocīt nozari.
Duets augusta sākumā laida klajā SEAL 911 — Telegram bot, kas izstrādāts, lai savienotu lietotājus ar pārbaudītiem drošības ekspertiem, lai uzlabotu kiberdrošības izpaušanu un ātri novērstu DeFi uzlaušanu, kas varētu būt vērta simtiem miljonu dolāru.
Šī iniciatīva tika izveidota, cerot cīnīties pret vairākiem ar nozari saistītiem uzlaušanas gadījumiem, kas notikuši šogad, tostarp Curve Finance jūlijā veikto 70 miljonu ASV dolāru izlietojumu.
Tagad pāris cer uz priekšu, izveidojot jaunu ārkārtas treniņu iniciatīvu, kas paredzēta, lai palīdzētu topošajiem blokķēdes protokoliem cīņā pret ļaunprātīgiem hakeriem un potenciālajiem uzbrukuma vektoriem.
Blockworks sazinājās ar Patku, lai gūtu labāku priekšstatu par savu darbu un mācībām, ko viņi ir guvuši pēdējo dažu mēnešu laikā.
Bloku darbi: Vai varat iepazīstināt mūs ar šīs ārkārtas mācību iniciatīvas sākumu? Kāds bija tā dzinējspēks?
Patka: Es pirmo reizi satiku Semu caur mūsu kopīgo draudzeni Žannu. Es satiku Žannu 2022. gada DWeb nometnē, kad prezentēju dažus no saviem iepriekšējiem atvērtā pirmkoda un standartu projektiem. Es dzirdēju, ka Sems meklē palīdzību, lai izveidotu apmācību infrastruktūru protokolu komandām, lai tās varētu praktizēt atrašanos kara telpā pirms īstas ārkārtas situācijas.
Ideja man rezonēja, jo tajā laikā es strādāju pie dažiem pētījumiem un instrumentiem, kas saistīti ar sociālo uzbrukumu un atkarības neveiksmju identificēšanu un izvairīšanos no decentralizētām kopienām.
Es brīvprātīgi pieteicos, lai palīdzētu iegūt koncepcijas pierādījumu, un pēc ātra prāta vētras zvana pavasarī es sāku strādāt pie Compound Labs, kas bija pirmā komanda, kas piedāvāja piedalīties mācībā, ietvara izklāsta.
Bloku darbi: Jūs pieminējāt “visaptverošās izlūkošanas” lomu savās mācībās. Kā šis sākotnējais solis nosaka atlikušo vingrinājumu posmu?
Patka: Pārskatīšanas fāzē es tieku galā ar visām funkcijām, viedajiem līgumiem, dokumentiem un publiski pieejamo informāciju par mērķa protokolu. Es mēģinu noskaidrot, kāda ir “vadības virsma” jebkuriem priviliģētiem lietotājiem [vai] administratoriem, kā protokols mijiedarbojas ar [vai] paļaujas uz citiem protokoliem, kā viņi uzrauga sistēmas stāvokli, kādi riska procesi pastāv, kā viņi ievieš tādas lietas kā protokolu jauninājumi vai jaunu funkciju izlaidumi, un vai sistēmā ir nekonsekvences, ja tā ir izvietota dažādos tīklos.
Šī izpēte kļūst par pamatu galda scenārijiem, kuros mēs runājam par iespējamām problēmām.
Bloku darbi: Galda simulāciju izmantošana šķiet interesanta pieeja. Vai jūs varētu sīkāk pastāstīt par to, kas notiek šajās simulācijās un kā tās informē par turpmākajām darbībām?
Patka: Pēc atjaunošanas posma es izveidoju skriptu ar dažiem scenārijiem un sarunājos ar visu komandu. Šie scenāriji palīdz mums izprast to reaģēšanas procedūras uz incidentiem, uzraudzību un sociālo/komunikāciju stilu. Jautājumi, ko mēs uzdodam šajā brīdī, ir:
- "X" ir noticis. Kā komanda tika brīdināta? Vai tika veikta uzraudzība, kas to uztvēra, vai arī kāds no kopienas sazinājās ar komandu?
- Kas ir tās ieinteresētās personas un jomas eksperti, kas zina, kā ar to rīkoties?
- Ja šis incidents ietekmē citus protokolus, kam ir šīs komandas kontaktinformācija?
- Ja šim nolūkam ir nepieciešama atbilde no vairāku parakstītāju, kas ir parakstītāji un kā jūs ar viņiem sazināties? Cik ātri, jūsuprāt, viņi reaģēs?
Tas viss palīdz mums atrast potenciālos “karstos punktus” vai lietas, kuras mēs vēlamies veikt stresa testu tiešraidē.
Bloku darbi: Kādus kritērijus jūs izmantojat, lai atlasītu protokola komandas, ar kurām jūs gatavojaties veikt apmācību? Vai jums ir kādi priekšnosacījumi?
Patka: Šajā posmā mēs cenšamies sadarboties ar komandām, kurās mēs domājam, ka varam tām gan palīdzēt, nodrošinot apmācību, gan arī mācīties no tām par to, kā darbojas labākās protokolu komandas telpā, un dalīties šajā praksē ar plašāku sabiedrību.
Tātad, lai gan mums nav īpašu priekšnosacījumu, tagad piemērota komanda ir komanda, kas piedalās protokola izstrādē ar diezgan plaši izplatītu pieņemšanu un jau ir piedzīvojusi dažus incidentus, lai mēs varētu uzzināt par dažādiem komandas stiliem.
Tomēr, tā kā mūsu infrastruktūra kļūst izturīgāka un vieglāk uzstādāma, es labprāt sadarbotos ar dažām komandām, kas tika iekļautas viņu protokolā, lai sniegtu apmācību cilvēkiem, kuri nekad iepriekš nav bijuši kara telpā.
Bloku darbi: Jūsu pirmais tests bija ar Compound protokolu. Vai varat iedziļināties dažos unikālajos izaicinājumos vai mācībās, kas gūtas no sākotnējā testa?
Patka: Lielākais plānošanas izaicinājums bija noteikt scenāriju, kas nebija pārāk katastrofāls, lai radītu vilšanos, bet pietiekami interesants, lai būtu saistošs un ietvertu noteiktu diagnostiku un koordināciju.
Mēs apsvērām dažādas lietas, piemēram, ārējo protokolu kļūmes, pārvaldības uzbrukumus un līgumu jaunināšanas problēmas. Mēs beidzām simulēt kļūdu, kuras dēļ protokols lēnām sāka zaudēt līdzekļus, lai mēs varētu redzēt, kā viņu uzraudzība uzlabos procesu un kā viņi reaģēs.
Viena no lielākajām mācībām šeit bija par sociālo, koordinācijas slāni. Mani pārsteidza ciešā sadarbība starp protokola izstrādātājiem un auditoriem un protokola aizbildņiem problēmas diagnosticēšanā.
Tehniskā līmenī pirmā apmācība ietvēra arī daudzu vēlu nakts atkļūdošanas infrastruktūru, tīkla dakšas un bloku pārlūka iegūšanu un infrastruktūru stabilitātes uzraudzību.
Bloku darbi: Jūs runājāt par izvairīšanos no nulles dienas ievainojamības savos treniņos. Vai varat izskaidrot šī lēmuma pamatojumu un to, kā tas ietekmē vingrinājuma integritāti?
Patka: Iemesls, kādēļ mēs izvairāmies no “nulles dienas” ievainojamībām vai citām ļoti plaši izplatītām katastrofām, ir tāpēc, lai mēs varētu iesaistīt protokola komandu kaut ko tādu, uz ko viņi varētu saprātīgi reaģēt, un kaut ko, kas ietverts viņu protokola ekosistēmā. Piemēram, mēs neesam pētījuši tādas lietas kā kompilatoru kļūdas vai vienprātības slāņa kļūmes.
Tomēr es domāju, ka šīs plaši izplatītās problēmas būtu interesanti simulēt starpprotokolu mācībās, kurās mēs varētu panākt, lai vairākas komandas un, iespējams, protokolu lietotāji mijiedarbotos ar dakšu tīklu, kur kaut kas ir nogājis greizi, lai padarītu to reālistisku un palielinātu sociālo noturību.
Bloku darbi: Pārbaudes laikā ar tām pieminējāt Gauna “ārkārtas procedūru kartes”. Cik izplatīta šī prakse ir citos protokolos, un vai jūs ieteiktu to izmantot kā standartu?
Patka: Es vēl neesmu redzējis citus protokolus, kas ievieš ārkārtas procedūru kartes, piemēram, Yearn, bet es to ļoti ieteiktu. Daudzos protokolos, bet jo īpaši ar Yearn, ir daudz ārēju integrāciju, kas prasa īpašu kontekstu un priekšmetu zināšanas.
Ja notiek kāds incidents, jūs nevēlaties tērēt laiku, pārlasot savus dokumentus un līgumus, nevis rīkojoties. Ārkārtas procedūru izmantošana konkrētiem scenārijiem palīdz komandām pieņemt lēmumus ātrāk un pārliecinošāk. Šo ārkārtas procedūru rakstīšana ir obligāts solis riska [un] rūpības procesā, izvietojot Yearn stratēģijas.
Es ieteiktu pievienot ārkārtas procedūras citu protokolu riska/pārbaudes procesiem, piemēram, lemjot, vai integrēt ar dažādiem aktīviem kā nodrošinājuma avotus vai pievienot tos tirgiem.
Bloku darbi: Kādi ir galvenie darbības rādītāji, kurus aplūkojat treniņa laikā un pēc tā, lai novērtētu tā efektivitāti?
Patka: Es meklēju dažus rādītājus gan par mūsu kā treniņa organizatoru sniegumu, gan par to, cik labi komandai veicās. No mūsu puses es skatos uz mūsu infrastruktūras stabilitāti un to, cik labi komanda pielāgojas simulētajai videi.
Runājot par projektu, es saglabāju laika grafiku, kurā brīdī emitenti tiek atklāti, cik ilgā laikā tiek noteikta diagnoze un cik ilgi tiek panākta vienprātība par veicamajām darbībām.
Mēs arī izsūtām pēcnāves aptauju komandām, lai uzzinātu, ko viņi ir iemācījušies, ko viņi plāno uzlabot savos procesos un kā mēs varam uzlabot savas simulācijas.
Bloku darbi: Vai varat pastāstīt par dažām vispārējām tendencēm vai izplatītām nepilnībām, ko esat pamanījis protokola drošībā šo treniņu rezultātā?
Patka: Es neesmu pārliecināts, vai tā ir nepilnība, bet šķiet, ka formālas “dežūras” sistēmas dažādos protokolos ir mazākas, nekā es gaidīju. Kriptogrāfijas kultūrai ir “vienmēr tiešsaistē” aspekts, kurā cilvēki, šķiet, vienkārši pieņem, ka vajadzības gadījumā būs pieejams īstais izstrādātājs vai vairāku parakstu parakstītājs.
Šķiet, ka tas kopumā darbojas, bet es vēlos izpētīt, vai lomu un grafiku formalizācija varētu palīdzēt. Esmu arī pamanījis, ka uzraudzība un pārvaldība atšķiras protokoliem dažādos [layer-1s/layer-2s], kur tiem ir izvietots kods. Es domāju, ka visā nozarē ir iespējams uzlabot to, kā protokoli, kas aptver vairākus tīklus, pārvalda savus līgumus.
Bloku darbi: Raugoties uz priekšu, vai ir plānots paplašināt šīs mācības, lai iekļautu vairāk protokolu vai pat dažāda veida testus?
Patka: Protams, mēs vēlamies paplašināt mācības, lai iekļautu dažāda veida protokolus vai, iespējams, vairākus protokolus vienlaikus. Mēs arī vēlamies panākt, lai tos būtu pietiekami viegli vadīt, lai komandas varētu regulāri apmācīt kopienas līdzstrādniekus, lai gūtu pieredzi, reaģējot uz incidentiem. Es arī labprāt sadarbotos ar jauniem drošības inženieriem, kuri varētu vēlēties uzzināt par drošību, izstrādājot scenārijus un konfigurējot simulācijas.
Šī intervija ir rediģēta īsuma un skaidrības labad.
Nepalaidiet garām nākamo lielo stāstu — pievienojieties mūsu bezmaksas ikdienas biļetenam.
Sekojiet Sema Bankmena-Frīda tiesas procesam ar jaunākajām ziņām no tiesas zāles.
Avots: https://blockworks.co/news/blockchain-security-experts-team