Mula noong tagsibol ng taong ito, si Isaac Patka ng AI security firm na Shield3 at ang Paradigm research partner na si Sam, na mas kilala bilang Samczsun, ay nagtatrabaho kasama ng mga proyekto ng blockchain upang mapabuti ang seguridad sa kabila ng mga banta sa cyber na patuloy na sumasalot sa industriya.
Inilunsad ng duo ang SEAL 911 noong unang bahagi ng Agosto, isang Telegram bot na idinisenyo upang ikonekta ang mga user sa mga na-verify na eksperto sa seguridad na naglalayong pahusayin ang pagsisiwalat ng cybersecurity at mabilis na maiwasan ang mga DeFi hack na posibleng nagkakahalaga ng daan-daang milyong dolyar.
Ang inisyatiba na iyon ay itinatag sa pag-asang malabanan ang maraming mga hack na nauugnay sa industriya na naganap ngayong taon, kabilang ang $70 milyon na pagsasamantala ng Curve Finance noong Hulyo.
Ngayon ang magkapareha ay umaasa na magtagumpay, magtatag ng isang bagong emergency drill na inisyatiba na idinisenyo upang tulungan ang namumuong mga protocol ng blockchain sa kanilang paglaban sa mga malisyosong hacker at potensyal na mga vector ng pag-atake.
Naabot ng Blockworks ang Patka para mas maunawaan ang kanilang ginagawa at ang mga aral na natutunan nila sa nakalipas na ilang buwan.
Blockworks: Maaari mo ba kaming gabayan sa pagsisimula ng inisyatiba ng emergency drill na ito? Ano ang nagtutulak sa likod nito?
Patka: Una kong nakilala si Sam through our mutual friend Jeanne. Nakilala ko si Jeanne sa DWeb camp 2022 noong iniharap ko ang ilan sa aking mga nakaraang open source at mga standard na proyekto. Narinig ko na si Sam ay naghahanap ng tulong sa pagbuo ng ilang imprastraktura ng pagsasanay para sa mga protocol team upang magsanay na nasa isang war room bago ang isang tunay na emergency.
Ang ideya ay sumasalamin sa akin dahil sa oras na iyon ay nagtatrabaho ako sa ilang pananaliksik at mga tool na may kaugnayan sa pagtukoy at pag-iwas sa mga pag-atake sa lipunan at mga pagkabigo sa dependency sa mga desentralisadong komunidad.
Nagboluntaryo akong tumulong na makakuha ng patunay ng konsepto mula sa lupa at pagkatapos ng isang mabilis na brainstorming na tawag sa tagsibol, kailangan kong magtrabaho sa pagbalangkas ng drill framework para sa Compound Labs, na siyang unang team na nag-alok na lumahok sa isang drill.
Blockworks: Binanggit mo ang papel ng "komprehensibong recon" sa iyong mga drills. Paano itinatakda ng paunang hakbang na ito ang yugto para sa natitirang bahagi ng ehersisyo?
Patka: Sa yugto ng recon, nakukuha ko ang lahat ng mga tampok, matalinong kontrata, dokumento at impormasyong available sa publiko tungkol sa target na protocol. Sinusubukan kong alamin kung ano ang "control surface" para sa sinumang may pribilehiyong user [o] admin, kung paano nakikipag-ugnayan ang protocol sa [o] umaasa sa iba pang protocol, kung paano nila sinusubaybayan ang kalusugan ng system, anong mga proseso ng peligro ang umiiral, kung paano nila ipinakilala ang mga bagay tulad ng pag-upgrade ng protocol o paglabas ng mga bagong feature, at kung may mga hindi pagkakapare-pareho sa system kung ito ay na-deploy sa iba't ibang network.
Ang recon na ito ay nagiging pundasyon para sa mga sitwasyon sa tabletop kung saan pinag-uusapan natin ang mga potensyal na isyu.
Blockworks: Ang paggamit ng mga simulation ng tabletop ay tila isang kawili-wiling diskarte. Maaari mo bang ipaliwanag kung ano ang napupunta sa mga simulation na ito at kung paano nila ipinapaalam ang mga kasunod na hakbang?
Patka: Pagkatapos ng recon phase, gumawa ako ng script na may ilang mga sitwasyon at pinag-usapan ang mga ito kasama ang buong team sa isang tawag. Ang mga sitwasyong ito ay nakakatulong sa amin na maunawaan ang kanilang mga pamamaraan sa pagtugon sa insidente, ang kanilang pagsubaybay at ang kanilang istilo ng social/comms. Ang mga tanong na itinatanong namin sa puntong ito ay:
- "X" ang nangyari. Paano naalerto ang koponan? Mayroon bang pagsubaybay na nakakuha nito, o may isang tao mula sa komunidad na nakipag-ugnayan sa koponan?
- Sino ang mga stakeholder at mga eksperto sa paksa na alam kung paano haharapin ito
- Kung makakaapekto ang insidenteng ito sa iba pang mga protocol, sino ang may impormasyon sa pakikipag-ugnayan para sa team na iyon?
- Kung nangangailangan ito ng tugon mula sa isang multi-sig, sino ang mga lumagda, at paano mo sila inaabot? Sa palagay mo, gaano kabilis sila tutugon?
Ang lahat ng ito ay tumutulong sa amin na makahanap ng mga potensyal na "hot spot" o mga bagay na gusto naming i-stress test sa isang live na senaryo.
Blockworks: Anong pamantayan ang iyong ginagamit upang piliin ang mga protocol team na iyong sasabak sa drill? Mayroon ka bang anumang mga kinakailangan?
Patka: Sa yugtong ito, sinusubukan naming makipagtulungan sa mga team kung saan sa tingin namin ay pareho naming matutulungan sila sa pamamagitan ng pagbibigay ng ilang pagsasanay, ngunit matuto rin mula sa kanila tungkol sa kung paano gumagana ang mga nangungunang protocol team sa espasyo, at ibahagi ang mga kasanayang iyon sa mas malawak na komunidad.
Kaya kahit na wala kaming mga partikular na kinakailangan, ang isang mahusay na angkop ngayon ay isang koponan na nag-aambag sa isang protocol na may medyo malawak na pag-aampon at dumaan na sa ilang mga insidente upang matutunan namin ang tungkol sa iba't ibang mga estilo ng koponan.
Gayunpaman, dahil ang aming imprastraktura ay nagiging mas matatag at mas madaling i-set up, masisiyahan akong magtrabaho kasama ang ilang mga koponan nang mas maaga sa kanilang protocol upang magbigay ng ilang pagsasanay sa mga taong hindi pa nakapunta sa war room dati.
Blockworks: Ang iyong unang pagsubok ay gamit ang Compound protocol. Maaari mo bang alamin ang ilan sa mga natatanging hamon o aral na natutunan mula sa paunang pagsusulit na iyon?
Patka: Ang pinakamalaking hamon sa pagpaplano ay ang pagtukoy ng isang senaryo na hindi masyadong sakuna upang maging nakakabigo, ngunit sapat na kawili-wili upang maging nakakaengganyo at magsasangkot ng ilang pagsusuri at koordinasyon.
Isinaalang-alang namin ang iba't ibang bagay tulad ng mga pagkabigo sa panlabas na protocol, mga pag-atake sa pamamahala at mga isyu sa pag-upgrade ng kontrata. Natapos namin ang pagtulad sa isang bug na naging dahilan upang ang protocol ay dahan-dahang mawalan ng mga pondo upang makita namin kung paano mapupunta ang kanilang pagsubaybay sa proseso at kung paano sila tutugon.
Ang isa sa mga pinakamalaking aral dito ay ang panlipunan, layer ng koordinasyon. Ako ay humanga sa malapit na pakikipagtulungan sa pagitan ng mga protocol dev at ng mga auditor at tagapag-alaga ng protocol sa pag-diagnose ng isyu.
Sa isang teknikal na antas, ang unang drill ay nagsasangkot din ng maraming imprastraktura ng pag-debug sa gabi, pagkuha ng network fork, at block explorer, at pagsubaybay sa infra stability.
Blockworks: Nagsalita ka tungkol sa pag-iwas sa mga zero-day na kahinaan sa iyong mga drills. Maaari mo bang ipaliwanag ang pangangatwiran sa likod ng desisyong ito at kung paano ito nakakaapekto sa integridad ng ehersisyo?
Patka: Ang dahilan kung bakit namin iniiwasan ang mga "zero-day" na mga kahinaan o iba pang napakalawak na sakuna ay upang maakit namin ang protocol team sa isang bagay na makatwirang tumugon sila, at isang bagay na nasa loob ng ecosystem ng kanilang protocol. Halimbawa, hindi pa kami nakagawa ng mga drills tungkol sa mga bagay tulad ng mga compiler bug, o consensus layer failure.
Gayunpaman, sa tingin ko ang mga laganap na isyung ito ay magiging kawili-wiling gayahin sa mga cross-protocol drill kung saan makakakuha tayo ng maraming team at marahil ay mga user ng mga protocol na lahat ay nakikipag-ugnayan sa isang forknet kung saan nagkaroon ng mali upang gawin itong makatotohanan at bumuo ng social resiliency.
Blockworks: Binanggit mo ang "mga emergency procedure card" ni Yearn sa panahon ng iyong pagsusulit sa kanila. Gaano kadalas ang kasanayang ito sa iba pang mga protocol, at irerekomenda mo ba ito bilang isang pamantayan?
Patka: Hindi ko pa nakikita ang iba pang mga protocol na nagpapatupad ng mga emergency procedure card tulad ng Yearn, ngunit lubos kong inirerekomenda ito. Sa maraming protocol, ngunit lalo na sa Yearn, maraming panlabas na pagsasama na nangangailangan ng partikular na konteksto at kadalubhasaan sa paksa.
Kapag may nangyaring insidente, hindi mo gustong gumugol ng oras sa muling pagbabasa ng sarili mong mga dokumento at kontrata sa halip na kumilos. Ang pagkakaroon ng mga pamamaraang pang-emergency para sa mga partikular na sitwasyon ay nakakatulong sa mga team na gumawa ng mga desisyon nang mas mabilis at mas may kumpiyansa. Ang pagsulat ng mga pamamaraang pang-emergency na ito ay isang mandatoryong hakbang ng proseso ng peligro [at] kasipagan ng pag-deploy ng mga diskarte sa Yearn.
Inirerekomenda ko ang pagdaragdag ng mga pamamaraang pang-emergency sa mga proseso ng panganib/pagsikap para sa iba pang mga protocol, halimbawa kapag nagpapasya kung isasama o hindi ang iba't ibang mga asset bilang collateral source o idagdag ang mga ito sa mga market.
Blockworks: Ano ang ilang pangunahing tagapagpahiwatig ng pagganap na iyong tinitingnan sa panahon at pagkatapos ng isang drill upang masukat ang pagiging epektibo nito?
Patka: Naghahanap ako ng ilang indicator ng aming performance bilang mga organizer ng drill at kung gaano kahusay ang ginawa ng team. Para sa aming panig, tinitingnan ko ang katatagan ng aming imprastraktura at kung gaano kahusay ang pag-angkop ng koponan sa simulate na kapaligiran.
Sa panig ng proyekto, nag-iingat ako ng timeline kung saan natuklasan ang mga issuer, kung gaano katagal bago magkaroon ng diagnosis, at kung gaano katagal hanggang sa magkaroon ng ilang pinagkasunduan sa paligid ng aksyon na gagawin.
Nagpapadala din kami ng postmortem survey sa mga team para malaman kung ano ang natutunan nila, kung ano ang plano nilang pagbutihin sa kanilang mga proseso, at kung paano namin mapapabuti ang aming mga simulation.
Blockworks: Maaari ka bang magbahagi ng ilang pangkalahatang uso o karaniwang mga puwang na napansin mo sa seguridad ng protocol bilang resulta ng mga pagsasanay na ito?
Patka: Hindi ako sigurado kung ito ay isang puwang ngunit tila mas kaunti ang isang pormal na "on-call" na sistema sa iba't ibang mga protocol kaysa sa inaasahan ko. Mayroong 'palaging online' na aspeto ng kultura ng crypto kung saan ang mga tao ay tila ipinapalagay na ang tamang developer o multi-sig signer ay magagamit kapag kinakailangan.
Ito sa pangkalahatan ay tila gumagana ngunit gusto kong tuklasin kung ang ilang higit pang pormalisasyon ng mga tungkulin at iskedyul ay makakatulong. Napansin ko rin na nag-iiba-iba ang pagsubaybay at pamamahala para sa mga protocol sa iba't ibang [layer-1s/layer-2s] kung saan naka-deploy ang mga ito ng code. Sa tingin ko ay may puwang para sa pagpapabuti sa buong industriya kung paano pinangangasiwaan ng mga protocol na sumasaklaw sa maraming network ang kanilang mga kontrata.
Blockworks: Sa hinaharap, may mga plano bang palawakin ang mga pagsasanay na ito upang magsama ng higit pang mga protocol o kahit na iba't ibang uri ng mga pagsubok?
Patka: For sure, hinahanap namin na palawakin ang mga drills para magsama ng iba't ibang uri ng protocol, o marahil maramihang protocol sa parehong oras. Nais din naming makarating sa punto kung saan ang mga ito ay sapat na madaling patakbuhin na ang mga koponan ay maaaring magsagawa ng regular na pagsasanay para sa mga kontribyutor ng komunidad upang mabuo ang kanilang karanasan sa pagtugon sa insidente. Gusto ko ring makipag-ugnayan sa mga bagong security engineer na maaaring gustong matuto tungkol sa seguridad sa pamamagitan ng pagdidisenyo ng mga sitwasyon at pag-configure ng mga simulation.
Ang panayam na ito ay na-edit para sa brevity at kalinawan.
Huwag palampasin ang susunod na malaking kuwento – sumali sa aming libreng pang-araw-araw na newsletter.
Sundin ang pagsubok ni Sam Bankman-Fried sa mga pinakabagong balita mula sa courtroom.
Pinagmulan: https://blockworks.co/news/blockchain-security-experts-team