Když někdo vysloví slovo audit, každý si představí velkou čtyřku a účetnictví. Na poli blockchainu ale znamená něco úplně jiného. Bezpečnostní experti v rámci auditu testují, jak bezpečný je daný protokol (nejen) pro uživatele. Do blockchainového auditu se pustila i pražská společnost Ackee, která založila Ackee Blockchain Security. A během pár let se dostali na světovou špičku.
Do podcastu KryptoSpace si o tom, jak audity fungují, jak je na tom trh i jaké nové typy aplikací vznikají, přišel povídat Josef Gattermayer.
Co je to vůbec audit na blockchainu?
Ackee Blockchain je bezpečnostní firma a naší rolí je zajistit, aby když chce klient spustit nový protokol nebo novou verzi svého softwaru, tak aby v tom nebyly žádné zranitelnosti, které potom může využít útočník a něco ukrást. To je jedna část naší mise. A druhá část je, aby to nemohli ukrást nejen externí útočníci, ale ani ty samotné týmy. Náš report, který je výstupem auditu, je i služba pro uživatele. Měl by pro ně být lehce čitelný, aby v případě, když je tam nějaký hodně velký otazník, mohli dát od protokolu ruce pryč. Například když se ukáže, že ten protokol vlastně ovládá jeden člověk, i když se to tváří jako decentralizovaný projekt.
Takže blockchainový audit vlastně hledá chyby v kódu a zadní dvířka pro zloděje.
Ve zkratce ano.
Velká část projektů má vlastní tokeny. Kontrolujete i takzvanou tokenomiku, tedy jestli to celé dává smysl?
Samozřejmě, to musí být součástí auditu. Hodně oblíbený útok je pomocí takzvaných flashloanů. To je případ, kdy si útočník na velice krátkou chvíli může půjčit téměř neomezené množství prostředků a s těmi pak rozhodí ekonomiku projektu. Takže součástí našich auditů je prozkoumat, jestli není protokol zranitelný i skrze takové útoky. Co my už nezkoumáme je, jestli například vydávání tokenů nezvýhodňuje zakladatele a podobně. To už není naše práce.
To byl hodně problém protokolů před pár lety, kdy jsme takové útoky viděli snad každý týden.
Teď je to takový mix. My i studenty na ČVUT učíme úplně základní útoky staré několik let. Protože se ty chyby pořád vrací. Přijde nový vývojář, který ten prostor nezná a zase udělá tu samou chybu. Pak jsou tu ale pořád nové věci, které se vyvíjí. My například hodně auditujeme projekty, které řeší převody prostředků mezi jednotlivými blockchainy, takzvaný. bridge. Tam je třeba obrovský prostor pro chyby ve věcech logiky.
Co se dnes hodně řeší? Auditoři mají vlastně dobrý vhled do toho, co se na blockchainu připravuje nového.
Hodně se řeší pořád bridge, protože posledního půl roku na ně byl hackerský útok snad každý týden. Ale my jsme teď fanoušci technologie, které se říká account abstraction. Protože co je největší problém pro nově příchozí, když chtějí dělat na blockchainu cokoliv jiného kromě plateb? Když si chtějí například vyměnit NFT?
Co?
Je to gas, kterým se platí za transakce. Když chcete hrát hru, kde se používají NFT, tak potřebujete gas. A nováček prostě neví, kde ho sehnat. Nové technologie jako account abstraction umožní tyto platby a například i správu účtu delegovat na někoho jiného. A ten hráč ani nemusí vědět, že je v krypto prostoru.
Zajímá vás, co nového se na blockchainu připravuje? Jak je to s aktivitu venture kapitálu nebo jaká konkurence je na poli auditů? Pusťte si celý podcast KryptoSpace
