隨著去中心化金融的出現,智能合約審計變得更加重要。這就是像HashEx 這樣的公司進入畫面的地方。 HashEx 迄今已為500 多個項目提供智能合約審計,該公司幫助保護DeFi 協議。該公司在智能合約中發現的漏洞為項目節省了超過20 億美元。
Bitcoinist 與HashEx 首席執行官Dmitry Mishunin 坐下來討論了該公司在該領域的工作。 HashEx 成立於2017 年,在DeFi 領域擁有令人印象深刻的記錄。 Mishunin 向Bitcoinist 講述了他在網絡安全領域的工作,使用智能合約,以及HashEx 最近的審計,KODA 智能合約。
Bitcoinist:你是如何進入網絡安全領域的?
德米特里·米舒寧: 我為不同的公司做了十年的軟件開發。大多數情況下,我與一個由工程師組成的小團隊一起工作,將復雜的解決方案放在一起。我們從未做過網站或移動應用程序。我們總是創造一些複雜的東西。我們的客戶是俄羅斯的大型IT 公司,當他們缺乏內部開發團隊並且有有趣的項目需要運行時,比如大數據和分析工具,他們來找我們並要求做。在HashEx 之前,我們有至少五年的外包服務。
這裡值得一提的是,我曾在俄羅斯的三個電子商務公司擔任CIO,CIO 和CSO 之間總是存在戰爭,因為CIO 想要優化所有流程、實施新解決方案、引入新軟件跑得更快,而這一切對安全員來說都是一個潛在的安全風險。所以你總是在那裡有一些衝突。那時,我在另一條戰線上。當我開始研究區塊鏈的網絡安全時,我認為重點不是安全本身,而是投資者和投資者的資金。
Bitcoinist:以你的背景,你本可以進入網絡安全領域的任何部分。為什麼選擇智能合約審計?
德米特里·米舒寧: 在2013 年年中或2014 年,我進入了比特幣挖礦。我試圖挖掘比特幣。然後我將注意力轉向了萊特幣。我建了一些農場。然後我將重點轉移到挖礦軟件和挖礦監控系統上。當以太坊被引入時,我已經對區塊鍊和技術本身有了一些經驗。
2017 年,隨著第一次ICO 熱潮,我們決定停止將我們的開發活動外包給不同方向,只專注於以太坊智能合約。從2017 年到2018 年,我們為此工作了一年。我們做了大約100 個不同的項目、智能合約和去中心化應用程序,獲得了關於以太坊、Solidity 和智能合約如何工作的良好技能和知識。我們客戶的要求從代碼請求變為諮詢以確保他們的代碼是安全的。我們開始時是一名真正的審計師。我們將主要工作從代碼編寫改為代碼檢查,再到代碼審計。
我在納斯達克和俄羅斯股票市場等股票市場擁有廣泛的經驗。所以我明白保證你的資金安全是多麼重要。不僅僅是小偷,還有錯誤的投資決策。我們正在考慮如何在一個去信任的空間中獲得信任。這對我們來說比網絡安全重要得多。
在進入區塊鏈之前,我有無數機會成為一名安全官,也許創辦一家進行滲透測試和查找安全漏洞的公司。我對這個領域不感興趣。然而,當談到區塊鏈投資和區塊鏈項目以及與該領域相關的高風險時,我對如何使其更安全、如何幫助人們安全地利用該領域提供的機會感到興奮。
Bitcoinist:你們公司HashEx 已經審計了500 多個智能合約。你能談談你的一些最具挑戰性的項目嗎?
德米特里·米舒寧: 有時,我們面臨著擁有龐大代碼庫的大型項目。 9 月,我們對Trader Joe 建立在Avalanche 上的借貸協議進行了審計。他們分叉了CREAM Finance,CREAM Finance 曾多次被黑客入侵,竊取了數億美元。通過分叉CREAM,他們也繼承了網絡的漏洞。所以他們來找我們對代碼庫進行審計。這是巨大的。
智能合約審計通常需要5-7 個工作日才能完成。但是我們花了一個多月的時間來完成對Trader Joe 協議的審計。我們不得不為這個項目引入更多的審計員。我們無法用我們的項目兩名審計員的標準方法來做到這一點。我們在兩個小型審計團隊之間設有一名主管審計師。這是我們參與過的最複雜的項目之一。
Bitcoinist:HashEx 最近審核了KODA 智能合約。你能談談這個項目嗎?
德米特里·米舒寧: 我們今年夏天開始與他們合作。我們至少從他們那裡得到了兩到三個智能合約,其中第一個是我們在夏天拿到的。然後他們發布了KODA的第二個版本。他們多次更改它,因為他們試圖根據市場需求對其進行調整。 KODA 是一個有趣的項目,因為在它的背後,有 一個 企業家,詹姆斯蓋爾,他非常擅長他的工作。我認為這樣的人適合像KODA 這樣的項目。他在英國有實際業務,他的商業經驗對他們很重要。
Bitcoinist:您在審計過程中發現了KODA 智能合約中的哪些風險?
德米特里·米舒寧: 據我所知,KODA是一個 射頻干擾 分叉令牌,其中大多數只是試圖相互分叉。這導致他們有很多機會進行後門攻擊。最大的RFI 項目之一是Safemoon,其資本總額超過20 億美元。我們在夏天對他們進行了審計,發現了一些後門洞察。他們有大約10 個漏洞,當這些項目開始相互交互時,這些漏洞是有風險的。
我們發表了一篇在著名的加密出版物上發表的文章。我們透露了Safemoon 團隊如何利用大約2000 萬美元的投資者資金。該項目之前已經進行了大約十次審計,但沒有人發現此漏洞。當KODA上市時,他們分叉了與Safemoon相同的代碼,所以他們有相同的後門。
我們向KODA 團隊透露了這些漏洞,他們修復了通過這個後門竊取資金的能力。現在,我覺得這個項目還不錯。
Bitcoinist:在發現智能合約中的這些漏洞之後,你們是如何提高智能合約的安全性的?
德米特里·米舒寧: 當我們進行審計時,我們會向團隊發送初步報告。我們發送我們的建議和建議,團隊將在他們的代碼中遵循它們。然後他們將代碼庫的下一個版本發送給我們。我們重新檢查問題並確保代碼中沒有更多漏洞。據我所知,我們以良好的審核結果通過了KODA。有一些小問題,但我認為不處理它沒什麼大不了的。
Bitcoinist:審計成功完成後,您對KODA項目的未來有多大信心?
德米特里·米舒寧: 如果我們談論技術方面,作為智能合約,我對這個項目有100% 的信心。
Bitcoinist:你認為未來五到十年的DeFi 行業在哪裡?
德米特里·米舒寧: 我認為它將比當前的銀行業更大。我們看到許多機構投資者,微軟、Facebook 等大公司都在進入這個領域。它非常容易使用。我認為銀行、貸款、借貸等傳統金融行業將被去中心化金融(DeFi) 轉變。
Featured image from Medium