Dalla primavera di quest'anno, Isaac Patka della società di sicurezza AI Shield3 e il partner di ricerca di Paradigm Sam, meglio noto come Samczsun, hanno lavorato a fianco di progetti blockchain per migliorare la sicurezza sulla scia delle minacce informatiche che hanno continuato ad affliggere il settore.
Il duo ha lanciato SEAL 911 all'inizio di agosto, un bot di Telegram progettato per mettere in contatto gli utenti con esperti di sicurezza controllati con l'obiettivo di migliorare la divulgazione della sicurezza informatica e prevenire rapidamente attacchi DeFi potenzialmente del valore di centinaia di milioni di dollari.
Questa iniziativa è stata istituita nella speranza di contrastare diversi attacchi informatici legati al settore che hanno avuto luogo quest'anno, incluso l'exploit da 70 milioni di dollari di Curve Finance a luglio.
Ora la coppia spera di alzare la posta, stabilendo una nuova iniziativa di esercitazione di emergenza progettata per assistere i protocolli blockchain in erba nella loro lotta contro hacker malintenzionati e potenziali vettori di attacco.
Blockworks ha contattato Patka per avere un'idea migliore della loro impresa e delle lezioni apprese negli ultimi mesi.
Blocchi: Puoi illustrarci l'inizio di questa iniziativa di esercitazione di emergenza? Qual è stata la forza trainante dietro tutto ciò?
Patka: Ho incontrato Sam per la prima volta tramite la nostra comune amica Jeanne. Ho incontrato Jeanne al DWeb Camp 2022 mentre presentavo alcuni dei miei precedenti progetti open source e standard. Ho sentito che Sam stava cercando aiuto per costruire un'infrastruttura di addestramento affinché le squadre di protocollo potessero esercitarsi a stare in una sala di guerra prima di una vera emergenza.
L’idea mi ha colpito perché in quel periodo stavo lavorando su alcune ricerche e strumenti relativi all’identificazione ed alla prevenzione di attacchi sociali e fallimenti di dipendenza nelle comunità decentralizzate.
Mi sono offerto volontario per aiutare a far decollare una prova di concetto e, dopo una rapida chiamata di brainstorming in primavera, ho iniziato a lavorare sulla definizione della struttura dell'esercitazione per Compound Labs, che è stata la prima squadra che si è offerta di partecipare a un'esercitazione.
Blocchi: Hai menzionato il ruolo della “ricognizione completa” nelle tue esercitazioni. In che modo questo passaggio iniziale prepara il terreno per il resto dell'esercizio?
Patka: Nella fase di ricognizione mi attengo a tutte le funzionalità, i contratti intelligenti, i documenti e le informazioni disponibili al pubblico sul protocollo di destinazione. Sto cercando di capire qual è la "superficie di controllo" per eventuali utenti privilegiati [o] amministratori, come il protocollo interagisce con [o] si basa su altri protocolli, come monitorano l'integrità del sistema, quali processi di rischio esistono, come introducono cose come aggiornamenti di protocollo o rilasci di nuove funzionalità e se ci sono incoerenze nel sistema se viene distribuito su reti diverse.
Questa ricognizione diventa la base per gli scenari da tavolo in cui parliamo di potenziali problemi.
Blocchi: L'uso di simulazioni da tavolo sembra un approccio interessante. Potresti approfondire ciò che accade in queste simulazioni e come informano i passaggi successivi?
Patka: Dopo la fase di ricognizione, ho messo insieme una sceneggiatura con alcuni scenari e ne ho parlato con l'intero team durante una chiamata. Questi scenari ci aiutano a comprendere le procedure di risposta agli incidenti, il loro monitoraggio e il loro stile di social/comunicazione. Le domande che ci poniamo a questo punto sono:
- È successo "X". Come è stata allertata la squadra? È stato effettuato un monitoraggio che ha rilevato questo problema o qualcuno della comunità ha contattato il team?
- Chi sono le parti interessate e gli esperti in materia che sanno come affrontare questa situazione
- Se questo incidente influisce su altri protocolli, chi ha le informazioni di contatto di quella squadra?
- Se ciò richiede una risposta da parte di un multi-firma, chi sono i firmatari e come li contatti? Quanto velocemente pensi che risponderanno?
Tutto ciò ci aiuta a trovare potenziali “punti caldi” o cose che vogliamo sottoporre a stress test in uno scenario dal vivo.
Blocchi: Quali criteri usi per selezionare i team di protocollo con cui effettuerai le esercitazioni? Hai dei prerequisiti?
Patka: In questa fase, stiamo cercando di lavorare con team in cui pensiamo di poterli aiutare fornendo un po' di formazione, ma anche imparare da loro come operano i migliori team di protocollo nello spazio e condividere tali pratiche con la comunità più ampia.
Quindi, anche se non abbiamo prerequisiti specifici, una buona soluzione ora è una squadra che contribuisce a un protocollo con un'adozione abbastanza diffusa e che ha già attraversato alcuni incidenti in modo da poter conoscere una varietà di stili di squadra.
Tuttavia, poiché la nostra infrastruttura sta diventando più solida e più facile da configurare, mi piacerebbe lavorare con alcuni team nelle prime fasi del loro protocollo per fornire formazione a persone che non sono mai state in una sala di guerra prima.
Blocchi: Il tuo primo test è stato con il protocollo Compound. Puoi approfondire alcune delle sfide uniche o delle lezioni apprese da quel test iniziale?
Patka: La più grande sfida di pianificazione è stata identificare uno scenario che non fosse troppo catastrofico per essere frustrante, ma abbastanza interessante da essere coinvolgente e implicasse diagnosi e coordinamento.
Abbiamo considerato una serie di fattori, tra cui errori di protocolli esterni, attacchi alla governance e problemi di aggiornamento dei contratti. Abbiamo finito per simulare un bug che faceva sì che il protocollo iniziasse lentamente a perdere fondi in modo da poter vedere come il loro monitoraggio avrebbe rilevato il processo e come avrebbero risposto.
Una delle lezioni più grandi qui è stata il livello sociale e di coordinamento. Sono rimasto colpito dalla stretta collaborazione tra gli sviluppatori del protocollo, i revisori e i tutori del protocollo nella diagnosi del problema.
A livello tecnico, la prima esercitazione ha coinvolto anche molte infrastrutture di debugging notturno, l'ottenimento del fork di rete, del block explorer e il monitoraggio della stabilità dell'infrastruttura.
Blocchi: Hai parlato di evitare le vulnerabilità zero-day nelle tue esercitazioni. Puoi spiegare il ragionamento alla base di questa decisione e come influisce sull'integrità dell'esercizio?
Patka: Il motivo per cui evitiamo le vulnerabilità "zero-day" o altre catastrofi molto diffuse è che possiamo coinvolgere il team del protocollo in qualcosa a cui potrebbe ragionevolmente rispondere e qualcosa contenuto nell'ecosistema del loro protocollo. Ad esempio, non abbiamo svolto esercitazioni su aspetti come bug del compilatore o errori del livello di consenso.
Tuttavia, penso che questi problemi diffusi sarebbero interessanti da simulare in esercitazioni multiprotocollo in cui potremmo far interagire più team e forse utenti dei protocolli con un forknet in cui qualcosa è andato storto per renderlo realistico e costruire resilienza sociale.
Blocchi: Hai menzionato le “schede delle procedure di emergenza” di Yearn durante il tuo test con loro. Quanto è comune questa pratica negli altri protocolli e la consiglieresti come standard?
Patka: Non ho ancora visto altri protocolli che implementano schede di procedure di emergenza come Yearn, ma lo consiglio vivamente. In molti protocolli, ma soprattutto con Yearn, sono presenti molte integrazioni esterne che richiedono competenze specifiche in materia e contesto.
Quando si verifica un incidente, non vuoi perdere tempo a rileggere i tuoi documenti e contratti invece di agire. Disporre di procedure di emergenza per scenari specifici aiuta i team a prendere decisioni in modo più rapido e sicuro. La stesura di queste procedure di emergenza è un passaggio obbligatorio del processo di rischio [e] diligenza nell’implementazione delle strategie Yearn.
Consiglierei di aggiungere procedure di emergenza ai processi di rischio/diligenza per altri protocolli, ad esempio quando si decide se integrare o meno vari asset come fonti collaterali o aggiungerli ai mercati.
Blocchi: Quali sono alcuni indicatori chiave di prestazione da considerare durante e dopo un'esercitazione per misurarne l'efficacia?
Patka: Cerco alcuni indicatori sia delle nostre prestazioni come organizzatori dell'esercitazione sia di quanto bene si è comportata la squadra. Da parte nostra, sto esaminando la stabilità della nostra infrastruttura e la capacità del team di adattarsi all'ambiente simulato.
Dal punto di vista del progetto, mantengo una cronologia del momento in cui vengono scoperti gli emittenti, quanto tempo ci vuole prima che si arrivi a una diagnosi e quanto tempo ci vuole perché si raggiunga un consenso sull'azione da intraprendere.
Inviamo anche un'indagine post-mortem ai team per scoprire cosa hanno imparato, cosa intendono migliorare nei loro processi e come possiamo migliorare le nostre simulazioni.
Blocchi: Puoi condividere alcune tendenze generali o lacune comuni che hai notato nella sicurezza del protocollo come risultato di queste esercitazioni?
Patka: Non sono sicuro che si tratti di una lacuna, ma sembra che ci sia meno di quanto mi aspettassi un sistema formale di "reperibilità" tra i vari protocolli. Esiste un aspetto "sempre online" della cultura crittografica in cui le persone sembrano semplicemente dare per scontato che lo sviluppatore o il firmatario multi-firma giusto sarà disponibile quando necessario.
In genere sembra funzionare, ma sono curioso di esplorare se una maggiore formalizzazione di ruoli e programmi potrebbe essere d'aiuto. Ho anche notato che il monitoraggio e la governance variano a seconda dei protocolli tra i diversi [strati 1/strato 2] in cui hanno distribuito il codice. Penso che ci sia spazio per miglioramenti in tutto il settore sul modo in cui i protocolli che si trovano a cavallo di più reti gestiscono i propri contratti.
Blocchi: Guardando al futuro, ci sono piani per ampliare queste esercitazioni per includere più protocolli o anche diversi tipi di test?
Patka: Sicuramente stiamo cercando di ampliare le esercitazioni per includere diversi tipi di protocolli, o forse più protocolli contemporaneamente. Vogliamo anche arrivare al punto in cui questi siano abbastanza facili da gestire da consentire ai team di tenere corsi di formazione regolari per i contributori della comunità per sviluppare la loro esperienza nella risposta agli incidenti. Mi piacerebbe anche interagire con nuovi ingegneri della sicurezza che potrebbero voler conoscere la sicurezza progettando scenari e configurando simulazioni.
Questa intervista è stata redatta per brevità e chiarezza.
Non perdere la prossima grande storia: iscriviti alla nostra newsletter quotidiana gratuita.
Segui il processo di Sam Bankman-Fried con le ultime notizie dal tribunale.
Fonte: https://blockworks.co/news/blockchain-security-experts-team