Аудит смарт-контрактов становится еще более важным с появлением децентрализованного финансирования. Именно здесь на сцену выходят такие компании, как HashEx. На сегодняшний день HashEx провела аудит смарт-контрактов для более чем 500 проектов, и компания помогает защитить протоколы DeFi. Уязвимости, обнаруженные компанией в смарт-контрактах, сэкономили проектам более 2 миллиардов долларов.
Биткойнист побеседовал с генеральным директором HashEx Дмитрием Мишуниным, чтобы рассказать о работе компании в этой сфере. Основанная в 2017 году, HashEx имеет впечатляющий послужной список в сфере DeFi. Мишунин рассказал Bitcoinist о своей работе в сфере кибербезопасности, работе со смарт-контрактами и последнем аудите HashEx — смарт-контракте KODA.
Биткойнист: Как вы попали в кибербезопасность?
Дмитрий Мишунин: Я десять лет занимался разработкой программного обеспечения для разных компаний. В основном я работал с небольшой командой инженеров, собирая сложные решения. Мы никогда не делали веб-сайтов или мобильных приложений. Мы всегда создавали что-то сложное. Нашими клиентами были крупные российские ИТ-компании, и когда у них не хватало внутренних команд разработчиков и у них были интересные проекты, такие как большие данные и инструменты аналитики, они приходили к нам и просили это сделать. До HashEx у нас было как минимум пять лет аутсорсинга наших услуг.
Здесь следует упомянуть кое-что интересное, что я работал ИТ-директором в трех компаниях электронной коммерции в России, и между ИТ-директорами и ИТ-директорами всегда идет война, потому что ИТ-директор хочет оптимизировать все процессы, внедрить новые решения, внедрить новое программное обеспечение должно работать быстрее, и все это является потенциальной угрозой безопасности для сотрудника службы безопасности. Так что у вас всегда есть конфликт. В то время я был на другом поле боя. Когда я начал работать над кибербезопасностью в блокчейне, я думал, что главным вопросом была не сама безопасность, а инвесторы и их средства.
Биткойн: с вашим опытом вы могли бы заняться любой частью сектора кибербезопасности. Почему вы выбрали аудит смарт-контрактов?
Дмитрий Мишунин: В середине 2013 или 2014 года я занялся майнингом биткойнов. Я пытался добыть биткойн. Затем я переключился на Litecoin. Я построил несколько ферм. Затем я переключился на программное обеспечение для майнинга и системы мониторинга майнинга. Когда был представлен Ethereum, у меня уже был некоторый опыт работы с блокчейнами и самой технологией.
В 2017 году, когда начался первый бум ICO, мы решили отказаться от аутсорсинга наших разработок по разным направлениям и сосредоточились только на смарт-контрактах Ethereum. Мы работали над этим год, с 2017 по 2018 год. Мы сделали около 100 различных проектов, смарт-контрактов и децентрализованных приложений, получив хорошие навыки и знания о том, как работают Ethereum, Solidity и смарт-контракты. Запросы наших клиентов изменились с запросов кода на консультации, чтобы убедиться, что их коды безопасны. Мы начинали как настоящий аудитор. Мы изменили нашу основную работу с написания кода на его проверку, а затем на аудит кода.
У меня был большой опыт работы на фондовых рынках, таких как Nasdaq и российский фондовый рынок. Так я понял, насколько важно было сохранить ваши средства в безопасности. Не только от воров, но и от плохих инвестиционных решений. Мы думали о том, как завоевать доверие в ненадежном пространстве. Для нас это было гораздо важнее кибербезопасности.
Перед тем, как заняться блокчейном, у меня было бесчисленное количество возможностей стать офицером безопасности, возможно, основать компанию, которая проводит тестирование на проникновение и обнаруживает утечки в системе безопасности. Меня эта сфера не интересовала. Однако, когда дело дошло до инвестиций в блокчейн и проектов блокчейна, а также высокого риска, связанного с этим пространством, я был взволнован тем, как мы могли бы сделать его более безопасным, как мы могли бы помочь людям безопасно использовать возможности, представленные в этой области.
Биткойн: ваша компания HashEx провела аудит более 500 смарт-контрактов. Можете ли вы рассказать о некоторых из ваших самых сложных проектов?
Дмитрий Мишунин: Иногда мы сталкиваемся с большими проектами с большой кодовой базой. В сентябре мы провели аудит кредитного протокола Trader Joe, построенного на Avalanche. Они создали форк C.R.E.A.M Finance, который несколько раз подвергался взлому, в результате чего были украдены сотни миллионов долларов. Разветвив C.R.E.A.M, они унаследовали уязвимости сети. Итак, они пришли к нам, чтобы провести аудит кодовой базы. Это было огромно.
Аудит смарт-контракта обычно занимает 5-7 рабочих дней. Но нам потребовалось больше месяца, чтобы завершить аудит протокола трейдера Джо. Нам пришлось привлечь к проекту больше аудиторов. Мы не смогли бы этого сделать при нашем стандартном подходе двух аудиторов к проекту. У нас был супервайзер-аудитор между двумя небольшими группами аудиторов. Это был один из самых сложных проектов, над которыми мы работали.
Биткойн: HashEx недавно провела аудит смарт-контракта KODA. Можете рассказать о проекте?
Дмитрий Мишунин: Мы начали работать с ними этим летом. У нас было как минимум два-три смарт-контракта, первый из которых мы получили летом. Потом выпустили вторую версию KODA. Они меняли его много раз, потому что пытались приспособить его к потребностям рынка. KODA — интересный проект, потому что за ним стоит предприниматель Джеймс Гейл, который очень хорош в своем деле. Я думаю, что такой человек подходит для такого проекта, как KODA. У него реальный бизнес в Великобритании, и им важен его деловой опыт.
Биткойн: Какие риски вы обнаружили в смарт-контракте KODA в ходе аудита?
Дмитрий Мишунин: Насколько я помню, KODA — это разветвленный токен RFI, и большинство из них просто пытаются форкнуть друг друга. Это приводит к тому, что у них появляется много возможностей для взлома бэкдора. Один из крупнейших проектов RFI — Safemoon, капитализация которого составила более 2 миллиардов долларов. Летом мы провели для них аудит и нашли некоторые секреты. У них было около 10 уязвимостей, и эти уязвимости были опасными, когда эти проекты начали взаимодействовать друг с другом.
Мы опубликовали статью, которая была опубликована в известных криптографических изданиях. Мы раскрыли, как команда Safemoon могла собрать около 20 миллионов долларов средств инвесторов. У проекта было около десяти предыдущих аудитов, и никто не обнаружил эту уязвимость. Когда KODA вышла на рынок, они создали тот же код, что и Safemoon, поэтому у них был тот же бэкдор.
Мы выявили уязвимости для команды KODA, и они исправили возможность кражи средств через этот бэкдор. Думаю, проект неплохой.
Биткойн: после обнаружения этих уязвимостей в смарт-контракте, как вы повысили безопасность смарт-контракта?
Дмитрий Мишунин: Когда мы проводим аудит, мы отправляем предварительный отчет команде. Мы отправляем наши рекомендации и предложения, и команда будет следовать им в своем коде. Затем они отправляют нам следующую версию кодовой базы. Перепроверяем на предмет проблем и убеждаемся, что в коде больше нет уязвимостей. Насколько я помню, мы прошли KODA с хорошим результатом аудита. Были некоторые незначительные проблемы, но я не думаю, что с ними будет плохо работать.
Биткойнист: После успешного завершения аудита насколько вы уверены в будущем проекта KODA?
Дмитрий Мишунин: Если мы говорим о технической стороне, как о смарт-контракте, я уверен в проекте на 100%.
Биткойнист: какой вы видите индустрию DeFi в следующие, скажем, пять-десять лет?
Дмитрий Мишунин: Я думаю, он будет больше, чем нынешний банковский сектор. Мы видим, что многие институциональные инвесторы, крупные компании, такие как Microsoft, Facebook, входят в эту сферу. Очень легко использовать. Я думаю, что традиционные финансовые секторы, такие как банковское дело, ссуды, кредитование и другие, будут преобразованы децентрализованным финансированием (DeFi).
Лучшее изображение со страницы Medium
