Që nga pranvera e këtij viti, Isaac Patka i firmës së sigurisë së AI Shield3 dhe partneri i kërkimit Paradigm Sam, i njohur më mirë si Samczsun, kanë punuar së bashku me projektet e blockchain për të përmirësuar sigurinë në vazhdën e kërcënimeve kibernetike që kanë vazhduar të mundojnë industrinë.
Dyshja lançoi SEAL 911 në fillim të gushtit, një bot Telegram i krijuar për të lidhur përdoruesit me ekspertë të verifikuar të sigurisë që synojnë të përmirësojnë zbulimin e sigurisë kibernetike dhe të parandalojnë me shpejtësi hakimet e DeFi që mund të vlejnë qindra miliona dollarë.
Kjo iniciativë u krijua me shpresën për të kundërshtuar hakimet e shumta të lidhura me industrinë që kanë ndodhur këtë vit, duke përfshirë shfrytëzimin prej 70 milionë dollarësh të Curve Finance në korrik.
Tani dyshja shpreson të ngrihet përpara, duke krijuar një iniciativë të re të stërvitjes së urgjencës, e krijuar për të ndihmuar protokollet e reja të blockchain në luftën e tyre kundër hakerëve keqdashës dhe vektorëve të mundshëm të sulmit.
Blockworks iu drejtua Patkës për të kuptuar më mirë sipërmarrjen e tyre dhe mësimet që kanë nxjerrë gjatë muajve të fundit.
Bllokimi: A mund të na tregoni në fillimin e kësaj nisme të stërvitjes emergjente? Cila ishte forca shtytëse pas saj?
Patka: Semin e takova fillimisht përmes shoqes sonë të përbashkët Jeanne. E takova Jeanne në kampin DWeb 2022 kur po prezantoja disa nga projektet e mia të mëparshme me burim të hapur dhe standarde. Dëgjova se Semi po kërkonte ndihmë në ndërtimin e një infrastrukture stërvitore për ekipet e protokollit për të praktikuar qëndrimin në një dhomë lufte përpara një emergjence të vërtetë.
Ideja më bëri jehonë sepse në atë kohë po punoja për disa kërkime dhe mjete që lidhen me identifikimin dhe shmangien e sulmeve sociale dhe dështimeve të varësisë në komunitetet e decentralizuara.
Dola vullnetare për të ndihmuar në marrjen e një prove të konceptit në terren dhe pas një thirrjeje të shpejtë idesh në pranverë, fillova të punoja për të përshkruar kornizën e stërvitjes për Compound Labs, i cili ishte ekipi i parë që ofroi të merrte pjesë në një stërvitje.
Bllokimi: Ju përmendët rolin e "rikonfirmimit gjithëpërfshirës" në stërvitjet tuaja. Si e krijon ky hap fillestar skenën për pjesën tjetër të ushtrimit?
Patka: Në fazën e rikonstruksionit, përshpejtohem me të gjitha veçoritë, kontratat inteligjente, dokumentet dhe informacionin e disponueshëm publikisht në lidhje me protokollin e synuar. Po përpiqem të kuptoj se cila është "sipërfaqja e kontrollit" për çdo përdorues [ose] administrator të privilegjuar, si ndërvepron protokolli me [ose] mbështetet në protokolle të tjera, si monitorojnë shëndetin e sistemit, çfarë procesesh rreziku ekzistojnë, se si ato prezantojnë gjëra të tilla si përmirësimet e protokollit ose lëshimet e reja të veçorive, dhe nëse ka mospërputhje në sistem nëse ai është i vendosur nëpër rrjete të ndryshme.
Ky rikonceptim bëhet baza për skenarët e tavolinës ku flasim për çështjet e mundshme.
Bllokimi: Përdorimi i simulimeve të tavolinës duket si një qasje interesante. A mund të elaboroni se çfarë përfshihet në këto simulime dhe si ato informojnë hapat pasues?
Patka: Pas fazës së rikonstruksionit, përpilova një skenar me disa skenarë dhe i flas me të gjithë ekipin në një telefonatë. Këta skenarë na ndihmojnë të kuptojmë procedurat e reagimit ndaj incidentit, monitorimin e tyre dhe stilin e tyre social/komunikues. Pyetjet që po bëjmë në këtë pikë janë:
- "X" ka ndodhur. Si u alarmua skuadra? A kishte monitorim që e kapi këtë, apo dikush nga komuniteti iu drejtua ekipit?
- Cilët janë palët e interesuara dhe ekspertët e çështjeve që dinë të merren me këtë
- Nëse ky incident prek protokollet e tjera, kush i ka informacionet e kontaktit për atë ekip?
- Nëse kjo kërkon një përgjigje nga një multi-sig, cilët janë nënshkruesit dhe si po i afroheni atyre? Sa shpejt mendoni se do të përgjigjen?
E gjithë kjo na ndihmon të gjejmë "pikat e nxehta" të mundshme ose gjërat që duam t'i testojmë në një skenar të drejtpërdrejtë.
Bllokimi: Çfarë kriteresh përdorni për të zgjedhur ekipet e protokollit me të cilat do të kryeni stërvitje? Keni ndonjë parakusht?
Patka: Në këtë fazë, ne po përpiqemi të punojmë me ekipe ku mendojmë se mund t'i ndihmojmë ata duke ofruar disa trajnime, por gjithashtu të mësojmë prej tyre se si funksionojnë ekipet kryesore të protokollit në hapësirë dhe t'i ndajmë ato praktika me komunitetin më të gjerë.
Pra, ndërsa ne nuk kemi parakushte specifike, një ekip i përshtatshëm tani është një ekip që kontribuon në një protokoll me miratim mjaft të përhapur dhe ka kaluar disa incidente tashmë, kështu që ne mund të mësojmë për një shumëllojshmëri stilesh ekipi.
Megjithatë, ndërsa infrastruktura jonë po bëhet më e fuqishme dhe më e lehtë për t'u ngritur, do të më pëlqente të punoja me disa ekipe më herët në protokollin e tyre për të ofruar trajnime për njerëzit që nuk kanë qenë kurrë më parë në një dhomë lufte.
Bllokimi: Testi juaj i parë ishte me protokollin Compound. A mund të thellohesh në disa nga sfidat unike ose mësimet e nxjerra nga ai test fillestar?
Patka: Sfida më e madhe e planifikimit ishte identifikimi i një skenari që nuk ishte shumë katastrofik për të qenë zhgënjyes, por mjaftueshëm interesant për t'u angazhuar dhe do të përfshinte një diagnozë dhe koordinim.
Ne konsideruam një sërë gjërash si dështimet e protokollit të jashtëm, sulmet e qeverisjes dhe çështjet e përmirësimit të kontratave. Ne përfunduam duke simuluar një gabim që bëri që protokolli të fillonte ngadalë të humbiste fondet në mënyrë që të mund të shihnim se si monitorimi i tyre do të ndiqte procesin dhe si do të përgjigjeshin.
Një nga mësimet më të mëdha këtu ishte në shtresën sociale, të koordinimit. Më bëri përshtypje bashkëpunimi i ngushtë midis zhvilluesve të protokollit dhe auditorëve dhe kujdestarëve të protokollit në diagnostikimin e çështjes.
Në një nivel teknik, stërvitja e parë përfshinte gjithashtu shumë infrastrukturë korrigjimi gjatë natës vonë, marrjen e pirunit të rrjetit dhe eksploruesit të bllokut dhe monitorimin e stabilitetit të infra.
Bllokimi: Ju folët për shmangien e dobësive të ditës zero në stërvitjet tuaja. A mund të shpjegoni arsyetimin pas këtij vendimi dhe si ndikon ai në integritetin e ushtrimit?
Patka: Arsyeja pse shmangim dobësitë e "ditës zero" ose katastrofa të tjera shumë të përhapura është që ne të mund të angazhojmë ekipin e protokollit në diçka që ata mund t'i përgjigjen në mënyrë të arsyeshme dhe diçka që përmbahet brenda ekosistemit të protokollit të tyre. Për shembull, ne nuk kemi bërë stërvitje rreth gjërave si gabimet e përpiluesit ose dështimet e shtresave të konsensusit.
Megjithatë, mendoj se këto çështje të përhapura do të ishin interesante për t'u simuluar në stërvitjet ndër-protokolare ku ne mund të merrnim ekipe të shumta dhe ndoshta përdorues të protokolleve që të gjithë bashkëveprojnë me një rrjetë ku diçka ka shkuar keq për ta bërë atë realiste dhe për të ndërtuar elasticitet social.
Bllokimi: Ju përmendët "kartat e procedurës së urgjencës" të Yearn gjatë testit tuaj me ta. Sa e zakonshme është kjo praktikë në protokollet e tjera dhe a do ta rekomandonit atë si standard?
Patka: Unë nuk kam parë ende protokolle të tjera që zbatojnë kartat e procedurave të urgjencës si Yearn, por do ta rekomandoja shumë. Në shumë protokolle, por veçanërisht me Yearn, ka shumë integrime të jashtme që kërkojnë një kontekst specifik dhe ekspertizë të lëndës.
Kur ndodh ndonjë incident, ju nuk dëshironi të shpenzoni kohë duke rilexuar dokumentet dhe kontratat tuaja në vend që të veproni. Pasja e procedurave të urgjencës për skenarë specifikë i ndihmon ekipet të marrin vendime më shpejt dhe me më shumë besim. Shkrimi i këtyre procedurave emergjente është një hap i detyrueshëm i procesit të rrezikut [dhe] të kujdesit të vendosjes së strategjive të Ëarit.
Unë do të rekomandoja shtimin e procedurave të urgjencës në proceset e rrezikut/kujdesit për protokolle të tjera, për shembull kur vendoset nëse do të integrohet ose jo me aktive të ndryshme si burime kolaterali ose për t'i shtuar ato në tregje.
Bllokimi: Cilët janë disa tregues kryesorë të performancës që shikoni gjatë dhe pas një stërvitje për të matur efektivitetin e saj?
Patka: Unë kërkoj disa tregues të performancës sonë si organizatorë të stërvitjes dhe sa mirë ia doli ekipit. Nga ana jonë, unë po shikoj stabilitetin e infrastrukturës sonë dhe sa mirë përshtatet ekipi me mjedisin e simuluar.
Nga ana e projektit, unë po mbaj një afat kohor se në çfarë pike zbulohen lëshuesit, sa kohë derisa të ketë një diagnozë dhe sa kohë derisa të ketë një konsensus rreth veprimit që duhet ndërmarrë.
Ne gjithashtu dërgojmë një anketë pas vdekjes ekipeve për të zbuluar se çfarë mësuan, çfarë planifikojnë të përmirësojnë në proceset e tyre dhe si mund t'i përmirësojmë simulimet tona.
Bllokimi: A mund të ndani disa tendenca kryesore ose boshllëqe të zakonshme që keni vënë re në sigurinë e protokollit si rezultat i këtyre stërvitjeve?
Patka: Nuk jam i sigurt nëse është një boshllëk, por duket se ka më pak një sistem formal "në thirrje" në protokolle të ndryshme nga sa prisja. Ekziston një aspekt 'gjithmonë në linjë' i kulturës së kriptove ku njerëzit duket se thjesht supozojnë se zhvilluesi i duhur ose nënshkruesi me shumë shenja do të jetë i disponueshëm kur të jetë e nevojshme.
Kjo përgjithësisht duket se funksionon, por jam kurioz të eksploroj nëse do të ndihmonte një formalizimi më i madh i roleve dhe orareve. Kam vënë re gjithashtu se monitorimi dhe qeverisja ndryshojnë për protokollet nëpër [shtresa-1/shtresa-2] të ndryshme ku ata kanë vendosur kodin. Unë mendoj se ka vend për përmirësim në të gjithë industrinë se si protokollet që përfshijnë rrjete të shumta menaxhojnë kontratat e tyre.
Bllokimi: Duke parë përpara, a ka plane për të zgjeruar këto stërvitje për të përfshirë më shumë protokolle apo edhe lloje të ndryshme testesh?
Patka: Sigurisht, ne po kërkojmë të zgjerojmë stërvitjet për të përfshirë lloje të ndryshme protokollesh, ose ndoshta protokolle të shumta në të njëjtën kohë. Ne duam gjithashtu të arrijmë në pikën ku këto janë mjaft të lehta për t'u ekzekutuar që ekipet të mund të zhvillojnë trajnime të rregullta për kontribuesit e komunitetit për të ndërtuar përvojën e tyre në reagimin ndaj incidentit. Do të doja gjithashtu të angazhohesha me inxhinierë të rinj sigurie, të cilët mund të dëshirojnë të mësojnë rreth sigurisë duke projektuar skenarë dhe konfiguruar simulime.
Kjo intervistë është redaktuar për shkurtësi dhe qartësi.
Mos e humbisni historinë tjetër të madhe – bashkohuni me buletinin tonë të përditshëm falas.
Ndiqni gjyqin e Sam Bankman-Fried me lajmet më të fundit nga salla e gjyqit.
Burimi: https://blockworks.co/news/blockchain-security-experts-team