Percakapan dengan Fuzzland: Bagaimana cara menggunakan AI untuk mengurangi ketergantungan audit keamanan Web3 pada manusia?

Narasumber: Chaofan Shou, salah satu pendiri Fuzzland

Pewawancara: flowie, ChainCatcher

Meskipun ada sejumlah besar pemain lama seperti ConsenSys, OpenZeppelin, dan Certik di jalur layanan keamanan Web3, pemain baru masih memasuki pasar satu demi satu. Menurut RootData, platform data terenkripsi, sekitar 15 penyedia layanan keamanan Web3 telah menerima pembiayaan sejauh ini pada tahun 2024.

Di antara mereka, Fuzzland, yang berkomitmen untuk audit otomatis dan audit real-time on-chain, baru-baru ini mengumumkan penyelesaian putaran benih $ 3 juta yang dipimpin oleh 1kx, dengan partisipasi dari HashKey Capital, SNZ, dan Panga Capital.

Salah satu pendiri tim Fuzzland, Chaofan Shou, baru berusia 23 tahun, memiliki gelar sarjana dalam ilmu komputer dari University of California, Santa Barbara, dan telah bekerja sebagai insinyur keamanan di startup keamanan blockchain Veridise dan perusahaan SaaS manajemen hubungan pelanggan (CRM) Salesforce. Sistem terdistribusi dan keamanan blockchain.

Dalam pandangan Chaofan Shou, masih banyak titik sakit pasar di bidang keamanan Web3, salah satunya adalah sebagian besar audit mengandalkan tenaga kerja manual, yang tidak efisien dan mahal.

Yang kedua adalah hampir tidak adanya audit real-time pada rantai. "Sebagian besar pemantauan keamanan on-chain seperti permainan kucing-dan-tikus, dan ketika serangan terjadi, sulit untuk dengan cepat menghentikan risiko protokol dan hilangnya dana pengguna. "

Fuzzland berharap dapat mengurangi ketergantungan pada audit keamanan manual melalui AI dan pengujian fuzz + verifikasi formal, dan menyediakan firewall real-time on-chain untuk protokol atau pengguna C-end.

Dua Samudra Biru Keamanan Web3: Audit Otomatis dan Firewall On-Chain

1. ChainCatcher: Berapa ukuran tim Fuzzland saat ini?Apa latar belakang utama tim inti?

Chaofan Shou: Fuzzland saat ini memiliki 15 insinyur dan beberapa manajer produk. Beberapa insinyur ini adalah pengembang veteran bot MEV dan telah menghasilkan jutaan dolar dari bot MEV.

Selain itu, kami juga memiliki peneliti keamanan, mulai dari mereka yang memiliki pengalaman dalam penelitian keamanan di Windows, Chrome, dan MacOS, hingga mereka yang bekerja di bidang keamanan dan analisis program dari universitas bergengsi seperti Stanford University.

2. ChainCatcher: Saat ini, produk keamanan blockchain juga cukup fluktuatif, menurut Anda bagaimana situasi industri keamanan blockchain saat ini?Kesenjangan pasar dan titik nyeri apa yang ingin dipecahkan Fuzzland?

Chaofan Shou: Perusahaan keamanan di ruang blockchain saat ini sebagian besar bergantung pada audit manusia, meskipun mereka memiliki gaya audit yang sedikit berbeda.

Misalnya, meskipun ConsenSys menggunakan audit otomatis, mereka melakukan audit keamanan melalui analisis dinamis atau verifikasi formal, tetapi mereka masih perlu ditangani secara manual, dan proses ini sangat rawan kesalahan karena keterlibatan manusia. Dan karena ketergantungan pada tenaga kerja manual dan terbatasnya jumlah auditor, ada tumpukan audit keamanan yang serius di blockchain.

Selain itu, karena semua audit dilakukan di lingkungan lokal, bukan on-chain. Akibatnya, banyak proyek belum dielakkan setelah mereka dikerahkan pada rantai. Misalnya, ada proyek yang hanya melihat kode asli dan tidak meninjau jembatan lintas rantai, dan setelah menerapkannya secara on-chain, langkah peninjauan yang hilang ini menghabiskan biaya jutaan dolar.

Meskipun ada beberapa perusahaan yang memantau rantai secara real-time, itu akan segera memberikan intelijen real-time ketika protokol diretas. Tetapi sebagian besar waktu, ini lebih merupakan permainan kucing dan tikus. Perilaku penyerang terus berkembang, mereka tahu apa yang dilakukan perusahaan-perusahaan ini, dan mereka memiliki cara atau tindakan pencegahan untuk mencegahnya.

Selain analisis statis lokal, Fuzzland juga mencoba melakukan audit keamanan real-time on-chain untuk mengatasi masalah semacam ini.

Secara khusus, Fuzzland pertama-tama secara manual mengidentifikasi atribut keamanan yang harus selalu dipertahankan oleh proyek. Misalnya, jika suatu barang harus memiliki kerugian seluler yang signifikan, atau jika akan ada likuidasi besar setelah sedikit perbedaan harga. Kami akan melakukan verifikasi formal dan analisis dinamis secara lokal untuk memastikan bahwa proyek tidak melanggar atribut keamanan ini.

Setelah penyebaran protokol selesai, Fuzzland melewati proses yang sama lagi dan memastikan bahwa tidak ada masalah dengan penyebaran. Ketika proyek memiliki pengguna dan transaksi, kami melakukan analisis dinamis real-time dan verifikasi formal untuk melakukan tinjauan keamanan protokol secara real-time.

Selain itu, dengan setiap transaksi yang telah terjadi, kita juga dapat memprediksi apakah akan ada pelanggaran lebih banyak transaksi di masa mendatang.

3. ChainCatcher: Apa produk dan solusi Fuzzland saat ini?Apa potret pelanggan utama?

Chaofan Shou: Fuzzland saat ini memiliki dua produk. Salah satunya adalah Blaz, platform analitik sebelum penerapan kontrak. Pengguna dapat memberikan kontrak pintar atau hanya beberapa alamat, dan kami akan melakukan analisis statis positif palsu dan negatif palsu pada kontrak. Target audiens utama platform adalah pengembang, pengguna C-end proyek DeFi, atau pedagang, yang dapat membantu mereka mengidentifikasi potensi masalah keamanan dengan kontrak yang sedang diterapkan atau sedang berinteraksi dengannya.

Solusi Fuzzland lainnya disebut Blaz +, yang terutama melakukan audit keamanan real-time on-chain. Secara khusus, kami menganalisis setiap transaksi ketika memasuki perjanjian pengguna. Jika memicu beberapa pelanggaran atau mengakibatkan beberapa potensi pelanggaran, kami akan menggunakan metode berbasis MEV untuk mencegah serangan tersebut, selama pengguna setuju untuk memberi kami hak untuk menangguhkan protokol.

Atau pendekatan non-intrusif lainnya yang kami ambil, yaitu bahwa setiap kali kami menemukan serangan potensial, kami mencoba untuk white-hat protokol untuk menghemat dana.

Kami memiliki langkah-langkah tambahan untuk mengurangi risiko. Jika terjadi serangan, kami akan segera menyelamatkan sisa dana dalam protokol atau dana yang digunakan pada rantai lain untuk mengurangi tingkat kerugian. Target audiens platform terutama infrastruktur dan rantai yang ingin memastikan bahwa TVL mereka tidak dicuri oleh penyerang.

Lebih intuitif, pengguna platform kami, ketika mereka berinteraksi dengan kontrak pintar, jika ada serangan, kami segera memberi tahu pengguna tentang risikonya, sehingga mereka dapat menarik dana dari protokol tepat waktu.

Melalui platform analisis statis dan dinamis kami, setiap kali pengguna berinteraksi dengan kontrak, kami dapat segera memberi tahu mereka apakah kontrak tersebut rentan, atau apa risiko terpusat dan risiko interaksi dari kontrak pintar, sehingga mereka dapat dengan mudah menilai apakah akan berpartisipasi dalam transaksi atau mempertaruhkan dana.

Mengurangi Ketergantungan pada Manusia untuk Audit Keamanan Web3 dengan AI

4. Peran apa yang dimainkan ChainCatcher :* AI dalam produk Anda?

Chaofan Shou: Kami memanfaatkan LLM (model bahasa besar) untuk membantu menghemat waktu dalam audit keamanan. LLM bertanggung jawab untuk memilih bagian mana dari kode yang harus diverifikasi secara formal dan bagian mana dari kode yang harus dianalisis secara dinamis untuk mempercepat proses audit.

Karena LLM dapat menghasilkan sejumlah besar kesalahan, kami tidak secara langsung menggunakan LLM untuk menampilkan hasil audit keamanan, melainkan menggunakan LLM untuk memberikan petunjuk kepada manusia sehingga mereka dapat menghabiskan lebih sedikit waktu untuk tugas yang berulang.

5. ChainCatcher: Sudah berapa lama produk Fuzzland beroperasi dan seberapa besar efisiensi yang dapat membantu auditor dan pedagang mencapai?Data lain apa yang layak dibagikan?**

Chaofan Shou: Pertama-tama, kami telah membuat analisis dinamis dan konten inti dari perangkat lunak open source kepada publik, sehingga semua orang dapat menggunakannya.

Platform pengujian kontrak pintar all-in-one kami, Blaz, telah berjalan selama 2 bulan, dan platform ini memiliki lebih dari 500 pengguna terdaftar, melakukan ribuan analisis, dan membantu pengguna menemukan puluhan ribu kerentanan.

Blace +, platform analisis keamanan real-time on-chain, telah membantu pengguna menghindari kerugian $ 500.000 dalam 2 bulan, meskipun hanya 5 proyek atau rantai yang bergabung.

Platform keamanan kami dapat melakukan ratusan analisis per detik, sementara sebagian besar solusi audit keamanan lainnya dapat memakan waktu berjam-jam atau bahkan berhari-hari untuk menyelesaikan puluhan ribu analisis. Kami adalah satu-satunya platform yang dapat melakukan audit keamanan on-chain secara real-time.

6. ChainCatcher: Menurut Anda, apa bagian dari produk Anda saat ini yang perlu dioptimalkan, dan apa rencana atau tujuan untuk produk berikutnya?**

Chaofan Shou: Pertama-tama, seluruh audit keamanan masih membutuhkan keterlibatan manusia secara manual, dan kami berharap ini dapat dikurangi seminimal mungkin, sehingga manusia hanya perlu berpartisipasi dalam konfirmasi pada akhirnya. Kami sedang bereksperimen dengan berbagai metode berbasis AI atau metode pembuatan kode tradisional untuk mengatasi masalah ini.

Kedua, seluruh proses audit keamanan menggunakan verifikasi formal dan analisis dinamis, yang menghabiskan banyak daya komputasi, dan hampir 2.000 modul platform kami telah digunakan.

Oleh karena itu, kami mencoba mengoptimalkan algoritma untuk mengurangi overhead komputasi. Misalnya, apakah mungkin untuk menegakkan silang pengungkapan daya komputasi, langsung menggunakan lintas sumber dan daya komputasi ini untuk mengurangi biaya analisis.

7. ChainCatcher: Dalam hal menghemat daya komputasi, apakah GPU AI yang sangat populer saat ini bermanfaat bagi Anda?

Chaofan Shou: Sebenarnya, kita hanya perlu menggunakan CPU. Tetapi kami mengeksplorasi pendekatan serupa untuk membuat daya komputasi lebih mudah diakses.

Misalnya, biarkan seluruh proses berjalan di browser, yang merupakan situs web yang menyisipkan skrip kita. Setiap kali pengguna mengunjungi situs, mereka secara otomatis menyumbangkan daya komputasi, dan kami dapat memberi penghargaan kepada pengguna atau pemilik situs.

8. ChainCatcher: Bagaimana Fuzzland mendidik pengembang untuk memanfaatkan alat dan layanan audit yang ada untuk meminimalkan risiko pengguna?

Chaofan Shou: Alat sumber terbuka kami memiliki dokumentasi terperinci. Dibandingkan dengan alat serupa lainnya, kami juga berusaha membuat produk semudah mungkin digunakan, misalnya, pengguna seringkali hanya perlu mengirimkan alamat kontrak, dan alat kami akan secara otomatis memberi pengguna semua potensi kerentanan kontrak dengan alamat itu.

Untuk pengguna tingkat lanjut, kami juga menawarkan alat berbasis LLM untuk membantu mereka merampingkan seluruh proses. Mereka tidak perlu menulis properti keamanan mereka sendiri, mereka dapat langsung menggunakan LLM untuk menghasilkan properti keamanan. Atau untuk beberapa proyek definisi yang sangat kompleks, seperti analisis dinamis, pengguna dapat masuk ke platform kami dan hanya perlu mengkonfirmasi apakah LLM menghasilkan sesuatu yang benar atau tidak valid, yang sangat sederhana.

Masa depan Web3 membutuhkan “firewall” real-time yang dapat digunakan semua orang

9. ChainCatcher: Apa kesulitan dalam pengembangan atau pengoperasian perangkat lunak keamanan blockchain otomatis seperti Fuzzland, dan apa perbedaan antara itu dan perangkat lunak otomasi keamanan di bidang tradisional?**

Chaofan Shou: Kontrak pintar, meskipun memiliki beberapa baris kode, sangat kompleks dan sulit dianalisis dibandingkan dengan perangkat lunak Web 2. Secara khusus, kontrak pintar memiliki fungsi yang mirip dengan interaksi eksternal, sehingga mereka dapat berinteraksi secara langsung atau tidak langsung dengan ratusan kontrak, dan menganalisis satu kontrak pintar seperti menganalisis ratusan kontrak pintar.

Selain itu, kontrak pintar sebagian besar stateful, yang membutuhkan banyak input atau beberapa transaksi untuk memicu fungsi. Salah satu peretasan paling canggih yang tersedia saat ini, dengan biaya sekitar $ 5000 untuk membuat status kontrak pintar dapat dieksploitasi.

Akibatnya, metode otomatisasi keamanan tradisional sebenarnya sangat sulit untuk ditangani. Kami menggunakan metode seperti verifikasi formal, kecerdasan buatan, dan lainnya untuk mengoptimalkan praktik otomatisasi keamanan tradisional agar sesuai untuk menangani kontrak pintar dan memiliki tingkat positif palsu dan negatif palsu terendah di pasar.

10. ChainCatcher: Apakah nyaman untuk mengungkapkan model pengisian daya Anda?Pelanggan utama mana yang menggunakan produk Anda?

Chaofan Shou: Sebagian besar produk kami gratis untuk digunakan atau bahkan open source. Jika produk tidak memerlukan operasi manual, itu akan gratis.

Tetapi ketika datang ke pekerjaan manual, kami mengenakan biaya yang sama dengan kebanyakan audit keamanan lainnya, atau bahkan lebih rendah daripada perusahaan keamanan seperti Certik. Saat ini, pelanggan utama adalah dompet, rantai, dan proyek DeFi.

11. ChainCatcher: Fuzzland baru-baru ini mengumumkan bahwa mereka telah menerima $ 3 juta dalam pembiayaan, apa rencana strategis berikutnya, dan apa tujuan yang direncanakan akan dicapai pada tahun 2024?

Chaofan Shou: Pertama-tama, kami berencana untuk memasukkan lebih dari 1.000 proyek DeFi ke platform Blaze+ tahun ini, dan kami akan melakukan yang terbaik untuk memastikan bahwa semua proyek di platform tidak akan hilang oleh serangan.

Kedua, perluas lebih banyak pengguna C-end. Kami bekerja sama dengan dompet dan penyedia keamanan untuk mengeksplorasi cara menyediakan analitik dinamis dan statis langsung ke pengguna C-end, sehingga mereka dapat berdagang atau mempertaruhkan dengan lebih aman.

Selain itu, saat ini kami memiliki beberapa anggota yang bekerja tentang cara menggunakan model bahasa besar untuk mengurangi biaya keseluruhan memulai proyek, atau untuk mengurangi waktu yang diperlukan untuk analisis dan mengoptimalkan algoritme untuk memastikan bahwa tindakan keamanan kami berada di depan peretas.

12. ChainCatcher: Dibandingkan dengan jalur keamanan di bidang Internet tradisional, apa tahap industri keamanan blockchain saat ini?Apa tantangan terbesar yang dihadapi industri keamanan blockchain?

Chaofan Shou: Dalam hal audit manual, Web3 sebenarnya lebih berpengalaman dan melakukan pekerjaan yang lebih baik daripada internet tradisional.

Tetapi dalam hal firewall, seperti analitik real-time on-chain, pemantauan real-time, saya pikir ini masih dalam tahap awal. Pengguna Web 2: Hampir setiap orang memiliki firewall yang diinstal pada komputer mereka. Namun, di Web3, beberapa proyek menerapkan solusi keamanan terhadap ancaman on-chain, dan bahkan lebih sedikit pengguna C-end.

Beberapa bulan yang lalu, KyberSap diretas dan puluhan juta dolar dicuri, yang semuanya dijanjikan oleh pengguna. Faktanya, selama serangan itu, tim proyek memiliki beberapa menit untuk bereaksi, dan penyerang hanya mencuri sekitar $ 200.000 pada awalnya, dan aset yang tersisa masih ada.

Jika pengguna memiliki semacam solusi firewall otomatis pada saat ini, ketika mereka melihat serangan awal, mereka sebenarnya dapat menarik dana mereka lebih awal dan akhirnya kehilangan lebih sedikit.

Alasan utamanya adalah kurangnya otomatisasi solusi keamanan Web3 membuatnya sangat sulit untuk menganalisis dinamika kontrak pintar, dan sulit untuk secara otomatis membantu pengguna menghemat dana yang terkunci dalam protokol tepat waktu.

Tetapi kami percaya bahwa masa depan Web3 harus memiliki firewall yang benar-benar berguna yang mudah digunakan untuk perangkat dan pengguna. Biarkan setiap pengguna atau pemangku kepentingan di jaringan Web3 mengurangi risiko dan kerugian yang disebabkan oleh masalah keamanan. Ini juga merupakan topik yang terus dieksplorasi Fuzzland.