올해 봄부터 AI 보안 회사 Shield3의 Isaac Patka와 Samczsun으로 더 잘 알려진 Paradigm 연구 파트너 Sam은 업계를 계속해서 괴롭히고 있는 사이버 위협에 맞서 보안을 개선하기 위해 블록체인 프로젝트와 협력해 왔습니다.
이 듀오는 911월 초 사이버 보안 공개를 강화하고 잠재적으로 수억 달러 가치가 있는 DeFi 해킹을 신속하게 방지하기 위해 검증된 보안 전문가와 사용자를 연결하도록 설계된 Telegram 봇인 SEAL XNUMX을 출시했습니다.
해당 계획은 지난 70월 Curve Finance의 XNUMX천만 달러 규모의 익스플로잇을 포함하여 올해 발생한 여러 산업 관련 해킹에 대응하기 위해 설립되었습니다.
이제 두 사람은 악의적인 해커 및 잠재적인 공격 벡터에 맞서 싸우는 신진 블록체인 프로토콜을 지원하도록 설계된 새로운 비상 훈련 계획을 수립하여 투자를 강화하기를 희망하고 있습니다.
Blockworks는 자신들의 사업에 대해 더 잘 이해하고 지난 몇 달 동안 배운 교훈을 얻기 위해 Patka에 연락했습니다.
블록웍스: 이번 비상 훈련 계획의 시작 과정을 안내해 주실 수 있나요? 그 원동력은 무엇이었나요?
파트카: 저는 서로 친구인 Jeanne을 통해 Sam을 처음 만났습니다. 저는 이전 오픈 소스 및 표준 프로젝트 중 일부를 발표하던 중 DWeb 캠프 2022에서 Jeanne을 만났습니다. Sam이 프로토콜 팀이 실제 긴급 상황이 발생하기 전에 상황실에서 연습할 수 있도록 훈련 인프라를 구축하는 데 도움을 찾고 있다고 들었습니다.
그 당시 저는 분산형 커뮤니티에서 사회적 공격과 의존성 실패를 식별하고 방지하는 것과 관련된 몇 가지 연구와 도구를 연구하고 있었기 때문에 이 아이디어가 저에게 반향을 일으켰습니다.
저는 개념 증명을 시작하는 데 도움을 주기 위해 자원했고, 봄에 간단한 브레인스토밍 통화를 마친 후 훈련에 참여하겠다고 제안한 첫 번째 팀인 컴파운드 랩(Compound Labs)의 훈련 프레임워크를 개략적으로 설명하는 작업을 시작했습니다.
블록웍스: 훈련에서 "종합 정찰"의 역할을 언급하셨습니다. 이 초기 단계는 나머지 연습의 단계를 어떻게 설정합니까?
파트카: 정찰 단계에서는 대상 프로토콜에 대한 모든 기능, 스마트 계약, 문서 및 공개적으로 사용 가능한 정보를 파악합니다. 나는 권한이 있는 사용자 [또는] 관리자를 위한 "제어 표면"이 무엇인지, 프로토콜이 다른 프로토콜과 상호 작용하거나 의존하는 방법, 시스템 상태를 모니터링하는 방법, 존재하는 위험 프로세스, 프로토콜 업그레이드나 새로운 기능 릴리스 등을 도입하는 방법, 시스템이 다른 네트워크에 배포된 경우 시스템에 불일치가 있는지 여부.
이 정찰은 잠재적인 문제에 대해 논의하는 테이블톱 시나리오의 기초가 됩니다.
블록웍스: 테이블탑 시뮬레이션을 사용하는 것은 흥미로운 접근 방식인 것 같습니다. 이러한 시뮬레이션에 들어가는 내용과 후속 단계에 어떤 정보를 제공하는지 자세히 설명해 주시겠습니까?
파트카: 정찰 단계가 끝나면 몇 가지 시나리오가 포함된 스크립트를 작성하고 전화 통화를 통해 팀 전체와 이에 대해 이야기합니다. 이러한 시나리오는 사고 대응 절차, 모니터링 및 소셜/커뮤니케이션 스타일을 이해하는 데 도움이 됩니다. 이 시점에서 우리가 묻는 질문은 다음과 같습니다.
- "X"가 발생했습니다. 팀은 어떻게 경고를 받았나요? 이를 포착한 모니터링이 있었나요? 아니면 커뮤니티의 누군가가 팀에 연락했나요?
- 이 문제를 처리하는 방법을 알고 있는 이해관계자와 해당 분야 전문가는 누구입니까?
- 이 사건이 다른 프로토콜에 영향을 미치는 경우 해당 팀의 연락처 정보를 갖고 있는 사람은 누구입니까?
- 다중 서명의 응답이 필요한 경우 서명자는 누구이며 그들에게 어떻게 연락하고 있습니까? 그들이 얼마나 빨리 반응할 것이라고 생각하시나요?
이 모든 것은 잠재적인 "핫스팟"이나 실제 시나리오에서 스트레스 테스트를 원하는 항목을 찾는 데 도움이 됩니다.
블록웍스: 함께 훈련할 프로토콜 팀을 선택하기 위해 어떤 기준을 사용합니까? 전제조건이 있나요?
파트카: 이 단계에서 우리는 교육을 제공하여 도움을 줄 수 있을 뿐만 아니라 해당 분야의 최고 프로토콜 팀이 어떻게 운영되는지 배우고 이러한 관행을 더 넓은 커뮤니티와 공유할 수 있다고 생각하는 팀과 협력하려고 노력하고 있습니다.
따라서 특정 전제 조건은 없지만 현재 적합한 팀은 상당히 널리 채택된 프로토콜에 기여하고 이미 몇 가지 사건을 겪어 다양한 팀 스타일에 대해 배울 수 있는 팀입니다.
그러나 우리의 인프라가 더욱 강력해지고 설정이 쉬워짐에 따라 프로토콜 초기에 일부 팀과 협력하여 이전에 상황실에 가본 적이 없는 사람들에게 교육을 제공하는 것을 좋아합니다.
블록웍스: 첫 번째 테스트는 복합 프로토콜을 사용하여 수행되었습니다. 초기 테스트에서 배운 독특한 과제나 교훈을 자세히 알아볼 수 있나요?
파트카: 가장 큰 계획 과제는 실망스러울 정도로 너무 재앙적이지는 않지만, 참여할 만큼 흥미롭고 진단과 조정이 필요한 시나리오를 식별하는 것이었습니다.
우리는 외부 프로토콜 실패, 거버넌스 공격, 계약 업그레이드 문제 등 다양한 사항을 고려했습니다. 우리는 프로토콜이 천천히 자금을 잃기 시작하도록 하는 버그를 시뮬레이션하여 프로세스에 대한 모니터링이 어떻게 진행되고 응답할지 확인할 수 있었습니다.
여기서 가장 큰 교훈 중 하나는 사회적 조정 계층에 관한 것입니다. 문제를 진단하는 데 있어 프로토콜 개발자와 감사자, 프로토콜 수호자 사이의 긴밀한 협력에 깊은 인상을 받았습니다.
기술 수준에서 첫 번째 훈련에는 많은 심야 디버깅 인프라, 네트워크 포크 및 블록 탐색기 가져오기, 인프라 안정성 모니터링도 포함되었습니다.
블록웍스: 훈련에서 제로데이 취약점을 방지하는 방법에 대해 이야기하셨습니다. 이 결정의 이유와 이것이 훈련의 무결성에 어떤 영향을 미치는지 설명할 수 있습니까?
파트카: 우리가 "제로 데이" 취약점이나 기타 널리 퍼진 재앙을 피하는 이유는 프로토콜 팀이 합리적으로 대응할 수 있는 일과 프로토콜의 생태계 내에 포함된 일에 참여할 수 있도록 하기 위함입니다. 예를 들어, 우리는 컴파일러 버그나 합의 계층 오류와 같은 문제에 대한 훈련을 수행하지 않았습니다.
그러나 이러한 광범위한 문제는 현실화하고 사회적 탄력성을 구축하기 위해 문제가 발생한 포크넷과 상호 작용하는 여러 팀과 프로토콜 사용자를 모두 얻을 수 있는 교차 프로토콜 훈련에서 시뮬레이션하는 것이 흥미로울 것이라고 생각합니다.
블록웍스: 당신은 Yearn과 함께 테스트하는 동안 '긴급 절차 카드'에 대해 언급했습니다. 이 관행은 다른 프로토콜에서 얼마나 일반적이며 표준으로 권장하시겠습니까?
파트카: 아직 Yearn과 같은 응급 절차 카드를 구현하는 다른 프로토콜을 본 적이 없지만 적극 권장합니다. 많은 프로토콜, 특히 Yearn의 경우 특정 컨텍스트와 주제 전문 지식이 필요한 외부 통합이 많이 있습니다.
어떤 사건이 발생하면 조치를 취하는 대신 자신의 문서와 계약서를 다시 읽는 데 시간을 보내고 싶지 않습니다. 특정 시나리오에 대한 긴급 절차를 갖추면 팀이 더 빠르고 자신 있게 결정을 내리는 데 도움이 됩니다. 이러한 비상 절차를 작성하는 것은 Yearn 전략을 배포하는 위험 및 실사 프로세스의 필수 단계입니다.
예를 들어 다양한 자산을 담보 소스로 통합할지 여부를 결정하거나 시장에 추가할 때와 같이 다른 프로토콜의 위험/실사 프로세스에 긴급 절차를 추가하는 것이 좋습니다.
블록웍스: 훈련 중과 훈련 후에 효율성을 측정하기 위해 확인하는 핵심 성과 지표는 무엇입니까?
파트카: 나는 훈련 주최자로서의 성과와 팀이 얼마나 잘 수행했는지에 대한 몇 가지 지표를 찾습니다. 우리 쪽에서는 인프라의 안정성과 팀이 시뮬레이션된 환경에 얼마나 잘 적응하는지 살펴보고 있습니다.
프로젝트 측면에서는 발급자가 발견되는 시점, 진단이 나올 때까지의 시간, 취해야 할 조치에 대한 합의가 이루어질 때까지의 시간표를 유지하고 있습니다.
또한 우리는 팀에 사후 설문 조사를 보내 그들이 배운 내용, 프로세스에서 개선할 계획, 시뮬레이션을 개선할 수 있는 방법을 알아봅니다.
블록웍스: 이러한 훈련의 결과로 프로토콜 보안에서 발견한 몇 가지 중요한 추세나 일반적인 격차를 공유할 수 있습니까?
파트카: 격차인지는 잘 모르겠지만 다양한 프로토콜에 걸쳐 공식적인 "대기 중" 시스템이 예상했던 것보다 적은 것 같습니다. 암호화폐 문화에는 사람들이 필요할 때 올바른 개발자나 다중 서명 서명자를 사용할 수 있다고 가정하는 '항상 온라인' 측면이 있습니다.
이것은 일반적으로 효과가 있는 것처럼 보이지만 역할과 일정을 좀 더 공식화하는 것이 도움이 될지 궁금합니다. 또한 코드가 배포된 여러 [layer-1/layer-2]의 프로토콜에 따라 모니터링 및 거버넌스가 다르다는 사실도 확인했습니다. 여러 네트워크에 걸쳐 있는 프로토콜이 계약을 관리하는 방법에 대해서는 업계 전반에 걸쳐 개선의 여지가 있다고 생각합니다.
블록웍스: 앞으로 더 많은 프로토콜이나 다양한 유형의 테스트를 포함하도록 이러한 훈련을 확대할 계획이 있습니까?
파트카: 확실히 우리는 다양한 유형의 프로토콜을 포함하거나 동시에 여러 프로토콜을 포함하도록 훈련을 확대하려고 합니다. 또한 우리는 팀이 커뮤니티 기여자들을 위한 정기적인 교육을 실시하여 사고 대응 경험을 구축할 수 있을 만큼 쉽게 실행할 수 있는 지점에 도달하고 싶습니다. 또한 시나리오를 설계하고 시뮬레이션을 구성하여 보안에 대해 배우고 싶어하는 새로운 보안 엔지니어와 교류하고 싶습니다.
이 인터뷰는 간결하고 명료하게 편집되었습니다.
다음 중요한 이야기를 놓치지 마세요. 무료 일일 뉴스레터에 가입하세요.
법정의 최신 뉴스를 통해 Sam Bankman-Fried의 재판을 따라가보세요.
출처: https://blockworks.co/news/blockchain-security-experts-team