自今年春天以來,人工智慧安全公司Shield3 的Isaac Patka 和Paradigm 研究合作夥伴Sam(更廣為人知的名字是Samczsun)一直在與區塊鏈專案合作,以提高安全性,以應對持續困擾該行業的網路威脅。
兩人於 911 月初推出了 SEAL XNUMX,這是一款 Telegram 機器人,旨在將用戶與經過審查的安全專家聯繫起來,旨在加強網路安全披露並迅速防止可能價值數億美元的 DeFi 駭客攻擊。
該舉措的製定是為了對抗今年發生的多起與行業相關的駭客攻擊,其中包括 Curve Finance 70 月份的 XNUMX 萬美元攻擊事件。
現在,兩人希望加大賭注,建立一項新的緊急演習計劃,旨在幫助新興的區塊鏈協議對抗惡意駭客和潛在的攻擊媒介。
Blockworks 聯繫了 Patka,以便更好地了解他們的工作以及他們在過去幾個月中學到的教訓。
砌塊: 您能否向我們介紹這次緊急演習計畫的啟動過程? 背後的驅動力是什麼?
帕特卡: 我第一次認識薩姆是透過我們共同的朋友珍妮。 我在 2022 年 DWeb 訓練營中遇到了 Jeanne,當時我正在展示我之前的一些開源和標準專案。 我聽說薩姆正在尋求幫助,為禮賓團隊建立一些培訓基礎設施,以便在真正的緊急情況發生之前在作戰室進行練習。
這個想法引起了我的共鳴,因為當時我正在研究一些與識別和避免去中心化社區中的社會攻擊和依賴失敗相關的研究和工具。
我自願幫忙進行概念驗證,在春季進行了一次快速的集思廣益之後,我開始為化合物實驗室概述演練框架,這是第一個主動提出參加演練的團隊。
砌塊: 您在演習中提到了「綜合偵察」的作用。 這個初始步驟如何為練習的其餘部分奠定基礎?
帕特卡: 在偵察階段,我會快速了解有關目標協定的所有功能、智慧合約、文件和公開資訊。 我試圖弄清楚任何特權用戶[或]管理員的「控制面」是什麼,協議如何與[或]依賴其他協議交互,他們如何監控系統的健康狀況,存在哪些風險流程,他們如何引入協議升級或新功能發布等內容,以及系統部署在不同網路上時是否存在不一致。
這次偵察成為我們討論潛在問題的桌面場景的基礎。
砌塊: 使用桌面模擬似乎是一種有趣的方法。 您能否詳細說明這些模擬的內容以及它們如何影響後續步驟?
帕特卡: 偵察階段結束後,我將幾個場景放在一起編寫了一個腳本,並透過電話與整個團隊進行了討論。 這些場景幫助我們了解他們的事件回應程式、他們的監控以及他們的社交/通訊風格。 我們現在要問的問題是:
- “X”發生了。 團隊是如何收到警報的? 是否有監控發現了這一點,或者社區中是否有人聯繫了團隊?
- 誰是知道如何處理這個問題的利害關係人和主題專家
- 如果此事件影響其他協議,誰有該團隊的聯絡資訊?
- 如果這需要多重簽名的回應,那麼簽名者是誰?您如何聯絡他們? 您認為他們的回應速度有多快?
所有這些都有助於我們找到潛在的「熱點」或我們想要在現場場景中進行壓力測試的事物。
砌塊: 您使用什麼標準來選擇要與之合作的協議團隊? 你有任何先決條件嗎?
帕特卡: 在這個階段,我們正在嘗試與我們認為既可以透過提供一些培訓來幫助他們的團隊合作,又可以向他們學習該領域頂級協議團隊的運作方式,並與更廣泛的社區分享這些實踐。
因此,雖然我們沒有特定的先決條件,但現在一個合適的團隊是一個為協議做出貢獻並得到相當廣泛採用的團隊,並且已經經歷了一些事件,因此我們可以了解各種團隊風格。
然而,隨著我們的基礎設施變得更加強大且更容易設置,我很樂意在協議的早期與一些團隊合作,為以前從未進入過作戰室的人們提供一些培訓。
砌塊: 您的第一個測試是使用複合協議進行的。 您能否深入研究一些獨特的挑戰或從初步測試中學到的經驗教訓?
帕特卡: 最大的規劃挑戰是確定一個場景,該場景不會太災難性而令人沮喪,但又足夠有趣以吸引人,並且需要一些診斷和協調。
我們考慮了各種問題,例如外部協定故障、治理攻擊和合約升級。 我們最終模擬了一個導致協議慢慢開始損失資金的錯誤,以便我們可以看到他們的監控將如何監控流程以及他們將如何回應。
這裡最大的教訓之一是社交、協調層面。 協議開發人員、審計員和協議監護人在診斷問題時的密切合作給我留下了深刻的印象。
在技術層面上,第一次演練還涉及大量深夜調試基礎設施、獲取網路分叉、區塊瀏覽器以及監控基礎設施穩定性。
砌塊: 您談到了在演習中避免零日漏洞。 您能否解釋一下這項決定背後的原因以及它如何影響演習的完整性?
帕特卡: 我們避免「零日」漏洞或其他非常廣泛的災難的原因是,我們可以讓協議團隊參與他們可以合理回應的事情,以及他們協議生態系統中包含的事情。 例如,我們還沒有圍繞著編譯器錯誤或共識層故障等問題進行演練。
然而,我認為在跨協議演習中模擬這些普遍存在的問題會很有趣,我們可以讓多個團隊甚至協議的用戶都與出現問題的叉網進行交互,以使其變得現實並建立社會彈性。
砌塊: 您在測試過程中提到了 Yearn 的「緊急程序卡」。 這種做法在其他協議中有多常見,您會推薦它作為標準嗎?
帕特卡: 我還沒有看到像 Yearn 這樣實施緊急程序卡的其他協議,但我強烈推薦它。 在許多協定中,尤其是 Yearn,有許多外部整合需要特定的上下文和主題專業知識。
當發生某些事件時,您不想花時間重新閱讀自己的文件和合約而不是採取行動。 針對特定情況制定緊急應變程序可以幫助團隊更快、更有自信地做出決策。 編寫這些應急程序是部署 Yearn 策略的風險[和]盡職調查過程中的強制性步驟。
我建議在其他協議的風險/盡職流程中添加緊急程序,例如在決定是否與各種資產作為抵押品來源整合或將其添加到市場時。
砌塊: 您在演習期間和之後會查看哪些關鍵績效指標來衡量其有效性?
帕特卡: 我尋找一些指標來衡量我們作為演習組織者的表現以及團隊的表現。 就我們而言,我正在關注基礎設施的穩定性以及團隊對模擬環境的適應程度。
在專案方面,我會保留一個時間表,記錄何時發現發行人、需要多長時間才能做出診斷,以及需要多長時間才能就應採取的行動達成共識。
我們也向團隊發送事後調查,以了解他們學到了什麼,他們計劃在流程中改進什麼,以及我們如何改進我們的模擬。
砌塊: 您能否分享一下您在這些演習中註意到的協議安全方面的一些總體趨勢或常見差距?
帕特卡: 我不確定這是否是一個差距,但跨各種協議的正式「待命」系統似乎比我預期的要少。 加密文化有一個「永遠在線」的方面,人們似乎只是假設在需要時就會有合適的開發人員或多重簽署者。
這通常似乎有效,但我很想探索一些更正式的角色和時間表是否會有所幫助。 我還注意到,部署程式碼的不同 [layer-1s/layer-2s] 之間的協議的監控和治理有所不同。 我認為整個產業在跨多個網路的協議如何管理其合約方面還有改進的空間。
砌塊: 展望未來,是否計劃擴大這些演習以包括更多協議甚至不同類型的測試?
帕特卡: 當然,我們希望擴大演練範圍,以包括不同類型的協議,或同時包括多個協議。 我們也希望這些足夠容易運行,團隊可以為社區貢獻者定期舉辦培訓,以累積他們在事件回應方面的經驗。 我也很樂意與新的安全工程師合作,他們可能想透過設計場景和配置模擬來了解安全性。
為簡潔明了起見,對本採訪進行了編輯。
不要錯過下一個重大新聞 - 加入我們的免費每日時事通訊。
了解法庭的最新消息,並關注薩姆·班克曼-弗里德的審判。
來源:https://blockworks.co/news/blockchain-security-experts-team