今年の春以来、AI セキュリティ企業 Shield3 の Isaac Patka 氏と、Samczsun として知られる Paradigm の研究パートナーである Sam 氏は、業界を悩ませ続けているサイバー脅威を受けて、セキュリティを向上させるためにブロックチェーン プロジェクトと協力してきました。
911人はXNUMX月初旬にSEAL XNUMXを立ち上げた。SEAL XNUMXは、サイバーセキュリティの開示を強化し、数億ドル相当の価値があるDeFiハッキングを迅速に防止することを目的として、ユーザーと精査されたセキュリティ専門家を結びつけるように設計されたTelegramボットだ。
この取り組みは、70月に起きたカーブ・ファイナンスのXNUMX万ドル悪用など、今年起きた複数の業界関連のハッキングに対抗することを期待して設立された。
現在、両氏は、悪意のあるハッカーや潜在的な攻撃ベクトルとの戦いにおいて、新進気鋭のブロックチェーンプロトコルを支援することを目的とした新しい緊急訓練イニシアチブを確立することで、さらにハードルを上げたいと考えている。
Blockworks は、彼らの取り組みと過去数か月間で学んだ教訓をより良く理解するために Patka 氏に連絡を取りました。
ブロックワーク: この緊急訓練イニシアチブの開始について説明してもらえますか? その原動力は何だったのでしょうか?
パトカ: 私がサムに初めて出会ったのは、共通の友人ジャンヌを通してでした。 私が Jeanne に出会ったのは、DWeb キャンプ 2022 で、以前のオープンソースおよび標準プロジェクトのいくつかをプレゼンテーションしていたときでした。 サムは、実際の緊急事態に先立って作戦室に入る訓練を行うためのプロトコルチームのための訓練インフラを構築するための支援を求めていると聞きました。
当時、私は分散型コミュニティにおけるソーシャル攻撃や依存関係の失敗を特定して回避することに関連する研究とツールに取り組んでいたので、このアイデアは私に共鳴しました。
私は概念実証の開始を手伝うことを志願し、春に簡単なブレーンストーミングを行った後、最初に訓練への参加を申し出たチームである Compound Labs の訓練フレームワークの概要を説明する作業に取り掛かりました。
ブロックワーク: あなたは訓練における「総合偵察」の役割について言及しました。 この最初のステップは、残りの演習の準備をどのように行うのでしょうか?
パトカ: 偵察フェーズでは、ターゲット プロトコルに関するすべての機能、スマート コントラクト、ドキュメント、および公開されている情報を把握します。 特権ユーザー[または]管理者にとっての「コントロール サーフェス」とは何なのか、プロトコルが他のプロトコルとどのように相互作用するか、[または]他のプロトコルに依存するのか、システムの健全性をどのように監視するのか、どのようなリスク プロセスが存在するのか、を理解しようとしています。プロトコルのアップグレードや新機能のリリースなどをどのように導入するか、システムが異なるネットワークに展開されている場合にシステム内に不整合がないかどうか。
この偵察は、潜在的な問題について話し合うテーブルトップ シナリオの基礎となります。
ブロックワーク: 卓上シミュレーションの使用は興味深いアプローチのように思えます。 これらのシミュレーションに何が含まれるのか、またそれがその後のステップにどのように影響するのかについて詳しく説明してもらえますか?
パトカ: 偵察フェーズの後、私はいくつかのシナリオを含むスクリプトを作成し、電話でチーム全体とそれについて話し合いました。 これらのシナリオは、インシデント対応手順、監視、ソーシャル/コミュニケーション スタイルを理解するのに役立ちます。 現時点で私たちが尋ねている質問は次のとおりです。
- 「X」が起こった。 チームはどのように警告を受けましたか? これを把握したモニタリングはありましたか、それともコミュニティの誰かがチームに連絡を取ったのでしょうか?
- この問題への対処方法を知っている関係者および対象分野の専門家は誰ですか?
- このインシデントが他のプロトコルに影響を与える場合、そのチームの連絡先情報は誰が知っていますか?
- これにマルチ署名からの応答が必要な場合、署名者は誰で、どのように連絡を取りますか? 彼らはどれくらい早く反応すると思いますか?
これらすべては、潜在的な「ホット スポット」や、ライブ シナリオでストレス テストしたいものを見つけるのに役立ちます。
ブロックワーク: 一緒に訓練するプロトコル チームを選択するためにどのような基準を使用しますか? 前提条件はありますか?
パトカ: 現段階では、私たちはトレーニングを提供することで彼らを支援できると考えているチームと協力しようとしていますが、同時に、その分野のトッププロトコルチームがどのように運営されているかについて彼らから学び、それらの実践をより幅広いコミュニティと共有することもできると考えています。
したがって、特定の前提条件はありませんが、現時点で適しているのは、かなり広く採用されているプロトコルに貢献し、すでにいくつかのインシデントを経験しているチームなので、さまざまなチーム スタイルについて学ぶことができます。
しかし、私たちのインフラはより堅牢になり、セットアップが容易になっているので、プロトコルの早い段階でいくつかのチームと協力して、これまで作戦室に入ったことのない人々にトレーニングを提供できることを楽しみにしています。
ブロックワーク: 最初のテストは複合プロトコルを使用したものでした。 最初のテストから得られた独特の課題や教訓について詳しく掘り下げていただけますか?
パトカ: 計画の最大の課題は、イライラするほど壊滅的ではないが、魅力的で十分に興味深い、診断と調整が必要なシナリオを特定することでした。
私たちは、外部プロトコルの障害、ガバナンス攻撃、契約のアップグレードの問題など、さまざまなことを検討しました。 私たちは最終的に、プロトコルがゆっくりと資金を失い始めるバグをシミュレートして、監視がどのようにプロセスを認識し、どのように反応するかを確認することができました。
ここでの最大の教訓の XNUMX つは、ソーシャル、調整層に関するものでした。 問題の診断において、プロトコル開発者と監査人およびプロトコル保護者との間の緊密な連携に感銘を受けました。
技術レベルでは、最初の訓練には、深夜のインフラストラクチャのデバッグ、ネットワーク フォークとブロック エクスプローラーの取得、インフラの安定性の監視など多くの作業が含まれていました。
ブロックワーク: 訓練でゼロデイ脆弱性を回避することについて話しました。 この決定の背後にある理由と、それが演習の完全性にどのような影響を与えるかを説明していただけますか?
パトカ: 私たちが「ゼロデイ」脆弱性やその他の非常に広範囲にわたる大災害を回避する理由は、プロトコル チームが合理的に対応できるもの、およびプロトコルのエコシステム内に含まれるものに参加できるようにするためです。 たとえば、コンパイラのバグやコンセンサス層の障害などに関する訓練は行っていません。
ただし、これらの広範な問題は、複数のチームとおそらくプロトコルのユーザー全員が、何か問題が発生したフォークネットと対話して現実的なものにし、社会的回復力を構築できるクロスプロトコル訓練でシミュレートするのが興味深いと思います。
ブロックワーク: Yearn とのテスト中に、Yarn の「緊急手順カード」について言及しましたね。 この手法は他のプロトコルでどの程度一般的ですか?標準として推奨しますか?
パトカ: Yearn のような緊急手順カードを実装したプロトコルはまだ見たことがありませんが、強くお勧めします。 多くのプロトコル、特に Yearn では、特定のコンテキストと主題に関する専門知識を必要とする外部統合が数多くあります。
何らかのインシデントが発生したときに、行動を起こす代わりに自分の文書や契約書を読み直すことに時間を費やしたくないでしょう。 特定のシナリオに対する緊急手順を用意しておくことで、チームはより迅速かつ自信を持って意思決定を行うことができます。 これらの緊急手順を作成することは、イヤーン戦略を展開するリスクとデリジェンスのプロセスの必須のステップです。
たとえば、さまざまな資産を担保源として統合するかどうか、またはそれらを市場に追加するかどうかを決定する場合など、他のプロトコルのリスク/デリジェンスプロセスに緊急手順を追加することをお勧めします。
ブロックワーク: 訓練の有効性を測定するために訓練中および訓練後に注目する重要なパフォーマンス指標にはどのようなものがありますか?
パトカ: 私は訓練の主催者としての私たちのパフォーマンスと、チームがどれだけうまくいったかを示す指標を探しています。 私たちの側では、インフラストラクチャの安定性と、チームがシミュレートされた環境にどれだけうまく適応できるかに注目しています。
プロジェクト側では、発行者がどの時点で発見されるか、診断が完了するまでにどれくらいの時間がかかるか、取るべき行動に関して合意が得られるまでにどれくらいの時間がかかるかをタイムラインに記録しています。
また、チームに事後調査を送信して、チームが何を学んだか、プロセスの何を改善する計画があるか、シミュレーションをどのように改善できるかを調査します。
ブロックワーク: これらの訓練の結果、プロトコル セキュリティで気づいた全体的な傾向や共通のギャップを共有していただけますか?
パトカ: ギャップなのかどうかはわかりませんが、さまざまなプロトコルにわたる正式な「オンコール」システムは予想よりも少ないようです。 暗号通貨文化には「常時オンライン」という側面があり、人々は必要なときに適切な開発者やマルチ署名署名者が対応してくれるとただ信じているようです。
これは一般的に機能しているようですが、役割とスケジュールをもう少し形式化することが役立つかどうかを検討してみたいと思います。 また、コードが展開されているさまざまな [レイヤー 1/レイヤー 2] のプロトコルごとにモニタリングとガバナンスが異なることにも気づきました。 複数のネットワークにまたがるプロトコルが契約を管理する方法については、業界全体で改善の余地があると思います。
ブロックワーク: 今後を見据えて、より多くのプロトコルや異なる種類のテストを含めるようにこれらの訓練を拡大する計画はありますか?
パトカ: 確かに、私たちはさまざまな種類のプロトコル、あるいは同時に複数のプロトコルを含めるよう訓練を拡大することを検討しています。 また、チームがコミュニティの貢献者向けに定期的なトレーニングを開催して、インシデント対応の経験を積めるように、これらを簡単に実行できるようにしたいと考えています。 また、シナリオを設計し、シミュレーションを構成することでセキュリティについて学びたいと考えている新しいセキュリティ エンジニアと関わりたいと思っています。
このインタビューは、簡潔さと明確さのために編集されています。
次の大きなニュースをお見逃しなく – 毎日の無料ニュースレターにご参加ください。
法廷からの最新ニュースでサム・バンクマン・フリードの裁判を追ってください。
出典: https://blockworks.co/news/blockchain-security-experts-team