Od wiosny tego roku Isaac Patka z firmy zajmującej się bezpieczeństwem AI Shield3 i partner badawczy Paradigm Sam, lepiej znany jako Samczsun, współpracują z projektami blockchain, aby poprawić bezpieczeństwo w obliczu zagrożeń cybernetycznych, które nadal nękają branżę.
Duet uruchomił na początku sierpnia SEAL 911, bota Telegramu zaprojektowanego w celu łączenia użytkowników ze sprawdzonymi ekspertami ds. bezpieczeństwa, których celem jest zwiększenie ujawniania informacji o cyberbezpieczeństwie i szybkie zapobieganie włamaniom DeFi potencjalnie wartym setki milionów dolarów.
Inicjatywa ta powstała w nadziei na przeciwdziałanie licznym włamaniom związanym z branżą, które miały miejsce w tym roku, w tym lipcowemu exploitowi Curve Finance o wartości 70 milionów dolarów.
Teraz oboje mają nadzieję podnieść stawkę, ustanawiając nową inicjatywę ćwiczeń awaryjnych, mającą na celu wsparcie początkujących protokołów blockchain w walce ze złośliwymi hakerami i potencjalnymi wektorami ataków.
Firma Blockworks skontaktowała się z Patką, aby lepiej poznać swoje przedsięwzięcie i wnioski, jakie wyciągnęli w ciągu ostatnich kilku miesięcy.
Prace blokowe: Czy może nam pan opowiedzieć o początkach tej inicjatywy ćwiczeń awaryjnych? Co było za tym motorem?
Patka: Po raz pierwszy poznałem Sama poprzez naszą wspólną przyjaciółkę Jeanne. Poznałem Jeanne na obozie DWeb 2022, kiedy prezentowałem niektóre z moich poprzednich projektów dotyczących open source i standardów. Słyszałem, że Sam szukał pomocy w zbudowaniu infrastruktury szkoleniowej dla zespołów protokolarnych, aby mogły przećwiczyć przebywanie w sali narad przed prawdziwym zagrożeniem.
Pomysł przypadł mi do gustu, ponieważ w tym czasie pracowałem nad pewnymi badaniami i narzędziami związanymi z identyfikowaniem i unikaniem ataków społecznych i niepowodzeń w zakresie zależności w zdecentralizowanych społecznościach.
Zgłosiłem się na ochotnika, aby pomóc w przygotowaniu weryfikacji koncepcji i po krótkiej wiosennej burzy mózgów zabrałem się za nakreślenie ram ćwiczeń dla Compound Labs, które było pierwszym zespołem, który zaproponował udział w ćwiczeniach.
Prace blokowe: Wspomniał pan o roli „kompleksowego rozpoznania” w swoich ćwiczeniach. W jaki sposób ten początkowy krok przygotowuje grunt pod resztę ćwiczenia?
Patka: W fazie rozpoznania zapoznaję się ze wszystkimi funkcjami, inteligentnymi kontraktami, dokumentami i publicznie dostępnymi informacjami na temat protokołu docelowego. Próbuję dowiedzieć się, czym jest „powierzchnia kontrolna” dla uprzywilejowanych użytkowników [lub] administratorów, w jaki sposób protokół współdziała z [lub] opiera się na innych protokołach, w jaki sposób monitorują one stan systemu, jakie istnieją procesy ryzyka, w jaki sposób wprowadzają aktualizacje protokołów lub wydania nowych funkcji oraz czy w systemie występują niespójności, jeśli jest on wdrożony w różnych sieciach.
To rozpoznanie staje się podstawą scenariuszy praktycznych, w których omawiamy potencjalne problemy.
Prace blokowe: Ciekawym podejściem wydaje się wykorzystanie symulacji stołowych. Czy mógłbyś szczegółowo opisać, co obejmuje te symulacje i w jaki sposób wpływają one na kolejne kroki?
Patka: Po fazie rozpoznania układam scenariusz z kilkoma scenariuszami i omawiam je z całym zespołem podczas rozmowy. Scenariusze te pomagają nam zrozumieć procedury reagowania na incydenty, monitorowanie i styl komunikacji. Pytania, które sobie w tym momencie zadajemy to:
- „X” się wydarzyło. W jaki sposób zaalarmowano zespół? Czy monitoring to wychwycił, czy też ktoś ze społeczności skontaktował się z zespołem?
- Kim są zainteresowane strony i eksperci merytoryczni, którzy wiedzą, jak sobie z tym poradzić
- Jeśli ten incydent ma wpływ na inne protokoły, kto ma dane kontaktowe tego zespołu?
- Jeśli wymaga to odpowiedzi od podpisującego, kim są sygnatariusze i jak się z nimi kontaktujesz? Jak myślisz, jak szybko odpowiedzą?
Wszystko to pomaga nam znaleźć potencjalne „gorące punkty” lub rzeczy, które chcemy przetestować w rzeczywistym scenariuszu.
Prace blokowe: Jakich kryteriów używasz przy wyborze zespołów protokolarnych, z którymi będziesz ćwiczyć? Czy masz jakieś przesłanki?
Patka: Na tym etapie staramy się współpracować z zespołami i naszym zdaniem możemy im pomóc, zapewniając szkolenia, ale także uczyć się od nich, jak działają najlepsze zespoły ds. protokołów w kosmosie, i dzielić się tymi praktykami z szerszą społecznością.
Zatem chociaż nie mamy konkretnych wymagań wstępnych, obecnie odpowiedni jest zespół, który przyczynia się do opracowania protokołu, który jest dość powszechny i który przeszedł już kilka incydentów, dzięki czemu możemy poznać różne style zespołu.
Ponieważ jednak nasza infrastruktura staje się coraz solidniejsza i łatwiejsza w konfiguracji, chętnie współpracowałbym z niektórymi zespołami na wcześniejszych etapach ich protokołu, aby zapewnić szkolenie osobom, które nigdy wcześniej nie były w sali narad.
Prace blokowe: Twój pierwszy test dotyczył protokołu złożonego. Czy możesz zagłębić się w niektóre wyjątkowe wyzwania lub wnioski wyciągnięte z tego wstępnego testu?
Patka: Największym wyzwaniem w zakresie planowania było zidentyfikowanie scenariusza, który nie będzie zbyt katastrofalny, aby był frustrujący, ale na tyle interesujący, aby był wciągający i wymagał pewnej diagnozy i koordynacji.
Rozważaliśmy różne rzeczy, takie jak awarie protokołów zewnętrznych, ataki związane z zarządzaniem i problemy z aktualizacją kontraktu. Skończyło się na symulacji błędu, który powodował, że protokół powoli zaczął tracić środki, abyśmy mogli zobaczyć, jak monitorowanie wpłynie na proces i jak zareaguje.
Jedna z największych lekcji dotyczyła warstwy społecznej i koordynacyjnej. Byłem pod wrażeniem ścisłej współpracy między twórcami protokołu a audytorami i opiekunami protokołu w diagnozowaniu problemu.
Na poziomie technicznym pierwsze ćwiczenie obejmowało również wiele nocnych debugowań infrastruktury, uzyskanie rozwidlenia sieci i eksploratora bloków oraz monitorowanie stabilności infrastruktury.
Prace blokowe: Mówiłeś o unikaniu luk typu zero-day w swoich ćwiczeniach. Czy możesz wyjaśnić uzasadnienie tej decyzji i jej wpływ na integralność ćwiczenia?
Patka: Powodem, dla którego unikamy luk typu „zero-day” lub innych bardzo powszechnych katastrof, jest to, że możemy zaangażować zespół ds. protokołu w coś, na co mogliby rozsądnie zareagować, i coś zawartego w ekosystemie protokołu. Na przykład nie przeprowadziliśmy ćwiczeń związanych z błędami kompilatora lub awariami warstwy konsensusu.
Myślę jednak, że te powszechne problemy byłyby interesujące do symulacji w ćwiczeniach międzyprotokołowych, w których moglibyśmy zaangażować wiele zespołów i być może użytkowników protokołów w interakcję z forknetem, w przypadku gdy coś poszło nie tak, aby uczynić to realistycznym i zbudować odporność społeczną.
Prace blokowe: Podczas testu z nimi wspomniałeś o „kartach procedur awaryjnych” Yearna. Jak powszechna jest ta praktyka w innych protokołach i czy poleciłbyś ją jako standard?
Patka: Nie widziałem jeszcze innych protokołów implementujących karty procedur awaryjnych, takich jak Yearn, ale gorąco polecam. W wielu protokołach, ale szczególnie w Yearn, istnieje wiele integracji zewnętrznych, które wymagają szczególnej wiedzy kontekstowej i merytorycznej.
Kiedy zdarzy się jakiś incydent, nie chcesz tracić czasu na ponowne czytanie własnych dokumentów i umów, zamiast podejmować działania. Posiadanie procedur awaryjnych dla określonych scenariuszy pomaga zespołom podejmować decyzje szybciej i pewniej. Spisanie tych procedur awaryjnych jest obowiązkowym etapem procesu staranności w zakresie ryzyka i wdrażania strategii Yearn.
Zalecałbym dodanie procedur awaryjnych do procesów analizy ryzyka/należytej staranności w przypadku innych protokołów, na przykład przy podejmowaniu decyzji o integracji z różnymi aktywami jako źródłami zabezpieczenia lub dodaniu ich do rynków.
Prace blokowe: Na jakie kluczowe wskaźniki wydajności zwracasz uwagę podczas ćwiczenia i po nim, aby zmierzyć jego skuteczność?
Patka: Szukam wskaźników zarówno naszych wyników jako organizatorów ćwiczeń, jak i tego, jak dobrze spisał się zespół. Z naszej strony patrzę na stabilność naszej infrastruktury i na to, jak dobrze zespół dostosowuje się do symulowanego środowiska.
Jeśli chodzi o projekt, planuję moment, w którym wykrywani są emitenci, czas do postawienia diagnozy i czas do osiągnięcia konsensusu co do działań, jakie należy podjąć.
Wysyłamy także do zespołów ankietę pośmiertną, aby dowiedzieć się, czego się nauczyły, co planują ulepszyć w swoich procesach i jak możemy ulepszyć nasze symulacje.
Prace blokowe: Czy możesz podzielić się pewnymi nadrzędnymi trendami lub typowymi lukami, które zauważyłeś w bezpieczeństwie protokołów w wyniku tych ćwiczeń?
Patka: Nie jestem pewien, czy to luka, ale wydaje się, że formalnego systemu „na wezwanie” w ramach różnych protokołów jest mniej, niż się spodziewałem. W kulturze kryptowalut istnieje aspekt „zawsze online”, w którym ludzie wydają się po prostu zakładać, że odpowiedni programista lub osoba podpisująca multi-sig będzie dostępna w razie potrzeby.
Ogólnie wydaje się, że to działa, ale ciekawi mnie, czy pomocne byłoby większe sformalizowanie ról i harmonogramów. Zauważyłem również, że monitorowanie i zarządzanie różnią się w przypadku protokołów w różnych [warstwach 1/warstwach 2], w których wdrożono kod. Myślę, że w całej branży jest jeszcze wiele do zrobienia w zakresie sposobu, w jaki protokoły łączące wiele sieci zarządzają swoimi kontraktami.
Prace blokowe: Czy patrząc w przyszłość, planuje się poszerzyć te ćwiczenia, aby uwzględnić więcej protokołów lub nawet różne typy testów?
Patka: Z pewnością chcemy poszerzyć ćwiczenia, aby uwzględnić różne typy protokołów, a być może wiele protokołów jednocześnie. Chcemy także dojść do punktu, w którym będą one na tyle łatwe w obsłudze, że zespoły będą mogły organizować regularne szkolenia dla współpracowników społeczności, aby zdobywać doświadczenie w zakresie reagowania na incydenty. Chętnie nawiążę także współpracę z nowymi inżynierami ds. bezpieczeństwa, którzy mogliby chcieć dowiedzieć się więcej na temat bezpieczeństwa, projektując scenariusze i konfigurując symulacje.
Ten wywiad został zredagowany dla zwięzłości i jasności.
Nie przegap kolejnej ważnej historii – dołącz do naszego bezpłatnego, codziennego biuletynu.
Śledź proces Sama Bankmana-Frieda i najnowsze wieści z sali sądowej.
Źródło: https://blockworks.co/news/blockchain-security-experts-team