Отдел безопасности Callisto Network.

В этой статье я опишу ситуацию в службе безопасности со своим мнением по этому поводу.

Callisto Network как платформа безопасности.

Здесь вы можете найти статью, описывающую основы Callisto. Одна из основных целей Callisto заключалась в том, чтобы служить сторонним экспертом по безопасности для тех, кто хочет обеспечить безопасность своих инвестиций.

По сути, существует ряд различий между Callisto и обычными аудиторскими компаниями. Основными клиентами аудиторских компаний являются сами разработчики контрактов, которые хотят убедиться, что заключенные ими контракты безопасны. Предполагалось, что основными клиентами Callisto будут инвесторы, которые хотят обеспечить безопасность смарт-контрактов, в которые они хотят вложить свои деньги, чтобы не стать жертвами хакеров.

Основные вопросы в развитии Callisto Security Department.

1. Структура отдела безопасности.

С самого начала мы полагались на штатную команду аудиторов безопасности. Мы нанимали сотрудников по результатам тестовых заданий, которые мы им давали. Однако в этом подходе есть проблема масштабируемости - элементы тестирования необходимо компилировать и обновлять. Если мы собираемся поддерживать больше сетей (например, ETH, ETC, TRX, EOS и другие), то нам необходимо поддерживать эти тестовые задачи, которые могут занять много времени в быстро развивающейся криптоиндустрии.

У нас также есть цель сформировать открытый рынок аудита и аудиторских услуг. Это означает, что мы должны создать структуру, которая позволит аудиторам вносить свой вклад в «внештатном стиле».

Однако такое решение может повлиять на качество проверок. В настоящее время каждый аудит проводят как минимум три штатных аудитора. Разрешая третьим сторонам участвовать в аудитах, мы рискуем получить отчеты более низкого качества. Поэтому было решено, что каждый аудит должен проводиться как минимум двумя штатными аудиторами + еще одним штатным аудитором или сторонним аудитором. Таким образом, в каждом аудите будут участвовать как минимум два доверенных аудитора.

Текущая стадия: у нас есть предложение по внедрению экспериментальной системы найма / участия, которая должна решить эту задачу.

2. Расчет вознаграждения.

Вознаграждение аудитора рассчитывается пропорционально объему и эффективности выполняемой ими работы. Перед системой вознаграждения стоит задача обеспечить максимальную эффективность работы аудиторов, жертвуя объемом проделанной работы. С другой стороны, нежелательно делать так, чтобы «начинающие аудиторы» или аудиторы, не имеющие достаточного опыта в выполнении этих задач, получали слишком маленькую заработную плату, которая не стоила бы их времени.

С одной стороны, нам нужно добиться высокого качества аудитов, с другой - позволить аудиторам с небольшим опытом участвовать и получать оплату.

Эффективность работы можно повысить за счет увеличения выплат аудиторам за обнаружение ошибок и увеличения штрафов за не обнаружение ошибок. Однако не все контракты содержат ошибки, и аудиторы не имеют ни малейшего представления о том, могут ли они теоретически найти ошибки в контракте, который они проверяют, или нет. Таким образом, необходимо поддерживать оплату выполненных работ на высоком уровне даже без надбавок за сообщения об ошибках.

С другой стороны, такой подход открывает перед аудиторами стратегию увеличения объема выполняемой работы, жертвуя качеством. В этом случае аудиторы теоретически могут принимать запросы на аудит и не сообщать об ошибках, даже не тратя много времени на проверку кода контракта. «Надеясь, что все в порядке и предоставляя отчет, как если бы это было так», аудиторы могут заработать значительный балл.

Необходимо найти правильный баланс между вознаграждением за обнаружение ошибок, штрафами за пропущенные ошибки и объемом работы, выполненной при отсутствии ошибок, о которых было сообщено.

Текущая стадия: предложение № 59 призвано решить эту проблему, однако найти правильный баланс сложно в условиях отсутствия конкуренции между аудиторами.

3. Конкурентоспособность и масштабируемость.

Одна из главных проблем Callisto Security Department - небольшое количество участников и, как следствие, отсутствие конкуренции. Однако мы не можем нанять больше аудиторов или предложить более высокую заработную плату, чем сейчас, потому что работа аудиторов напрямую не влияет на темпы роста цен.

То же можно сказать и о масштабируемости. Мы могли бы сформировать аудиторский отдел EOS, но это потребует дополнительных затрат.

Кто-то может сказать, что мы можем начать взимать плату за аудит. Абсолютно уверен, что пользы проекту это не принесет.

Во-первых, нашими основными клиентами должны быть инвесторы, а не застройщики. Инвесторы, скорее всего, не будут платить за аудит проекта, в который они еще не вложили свои средства.
Во-вторых, мы будем конкурировать с обычными аудиторскими компаниями. Разница в том, что обычные аудиторские компании не имеют целой сети со своими выбросами и стоимостью. Весь доход от аудитов компании тратится на содержание сотрудников, а в Callisto, помимо аудиторов, еще много аспектов проекта.
Callisto не сможет выполнить свою основную миссию, если мы начнем взимать плату за аудит, так как в этом случае будут проекты, которые никто не будет проверять или запрашивать аудит, и эти проекты, возможно, нанесут ущерб всей криптоиндустрии в то же время. как это было с TheDAO или Parity Multisigs.

Текущая стадия: в Callisto работают 4 штатных аудитора. Вы можете наблюдать за рабочим процессом и статистикой в открытой таблице google или на github.

4. Проблема стимулирования.

У Каллисто есть еще одна фундаментальная проблема. Аудиторы не заинтересованы в соблюдении правил Департамента безопасности Callisto, если они обнаруживают серьезную ошибку. Система Callisto Auditing Department разработана таким образом, чтобы аудиторы не знали друг друга. Единственный стимул для аудиторов следовать правилам Каллисто - это незнание, какие ошибки находят другие аудиторы. Штрафы за неспособность найти ошибки могут превышать шансы на успех, если аудитор решит не сообщать об ошибке и не использовать ее после завершения аудита.

На самом деле аудиторов не так много, и они знают друг друга, что является следствием проблемы (3) «Конкурентоспособность и масштабируемость».

материалы по теме:

Новые материалы

Кластеризация: более глубокий взгляд

Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..

Как написать эффективное резюме

Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..

Частный метод Python: улучшение инкапсуляции и безопасности

Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..

Как я автоматизирую тестирование с помощью Jest

Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..

Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)

Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..

Понимание расстояния Вассерштейна: мощная метрика в машинном обучении

В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..

Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot

В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..

Machine Learning JavaScript Blockchain Artificial Intelligence Data Science Cryptocurrency Software Development Python Web Development Coding Deep Learning AI Bitcoin React Software Engineering Ethereum Web3 Business Crypto Nodejs Solidity Development Front End Development Data Finance Money Java Trading Typescript Smart Contracts Productivity Tech Startup Investing Neural Networks Developer Computer Science NLP