Conversation avec Fuzzland : Comment utiliser l’IA pour réduire la dépendance des audits de sécurité Web3 vis-à-vis des humains ?

Interviewé : Chaofan Shou, co-fondateur de Fuzzland

Intervieweurs : flowie, ChainCatcher

Bien qu’il existe un grand nombre d’anciens acteurs tels que ConsenSys, OpenZeppelin et Certik dans la voie des services de sécurité Web3, de nouveaux acteurs entrent toujours sur le marché les uns après les autres. Selon RootData, une plateforme de données cryptées, environ 15 fournisseurs de services de sécurité Web3 ont reçu un financement jusqu’à présent en 2024.

Parmi eux, Fuzzland, qui s’est engagé dans les audits automatisés et les audits en temps réel sur la chaîne, a récemment annoncé l’achèvement d’un tour de table de 3 millions de dollars mené par 1kx, avec la participation de HashKey Capital, SNZ et Panga Capital.

Le cofondateur de l’équipe Fuzzland, Chaofan Shou, n’a que 23 ans, est titulaire d’une licence en informatique de l’Université de Californie à Santa Barbara et a travaillé en tant qu’ingénieur en sécurité chez Veridise, une start-up de sécurité blockchain et une société SaaS de gestion de la relation client (CRM) Salesforce. Systèmes distribués et sécurité de la blockchain.

De l’avis de Chaofan Shou, il existe encore de nombreux points faibles du marché dans le domaine de la sécurité Web3, l’un d’entre eux étant que la plupart des audits reposent sur le travail manuel, qui est inefficace et coûteux.

Le second est l’absence quasi totale d’audit en temps réel sur la chaîne. « La plupart des mesures de surveillance de la sécurité sur la chaîne s’apparentent à un jeu du chat et de la souris, et lorsqu’une attaque se produit, il est difficile d’arrêter rapidement le risque lié au protocole et la perte de fonds des utilisateurs. "

Fuzzland espère réduire la dépendance aux audits de sécurité manuels grâce à l’IA et aux tests de fuzz + vérification formelle, et fournir des pare-feu en temps réel sur la chaîne pour les utilisateurs de protocole ou de C-end.

Deux océans bleus de la sécurité Web3 : audits automatisés et pare-feu on-chain

1. ChainCatcher : Quelle est la taille actuelle de l’équipe de Fuzzland ?Quel est l’arrière-plan principal de l’équipe principale ?

Chaofan Shou : Fuzzland compte actuellement 15 ingénieurs et quelques chefs de produit. Certains de ces ingénieurs sont des développeurs chevronnés de bots MEV et ont gagné des millions de dollars grâce aux bots MEV.

En outre, nous avons également des chercheurs en sécurité, allant de ceux qui ont de l’expérience dans la recherche en sécurité sur Windows, Chrome et MacOS, à ceux qui travaillent sur la sécurité et l’analyse de programmes dans des universités prestigieuses telles que l’Université de Stanford.

2. ChainCatcher : À l’heure actuelle, les produits de sécurité blockchain sont également assez volatils, quelle est, selon vous, la situation actuelle de l’industrie de la sécurité blockchain ?Quelle lacune du marché et quel point de douleur Fuzzland veut-il résoudre ?

Chaofan Shou : À l’heure actuelle, les entreprises de sécurité dans le domaine de la blockchain s’appuient principalement sur des audits humains, bien qu’elles aient des styles d’audit légèrement différents.

Par exemple, bien que ConsenSys utilise des audits automatisés, ils effectuent des audits de sécurité par le biais d’une analyse dynamique ou d’une vérification formelle, mais ils doivent toujours être gérés manuellement, et ce processus est extrêmement sujet aux erreurs en raison de l’implication humaine. Et en raison de la dépendance à l’égard du travail manuel et du nombre limité d’auditeurs, il existe un sérieux arriéré d’audits de sécurité sur la blockchain.

De plus, puisque tous les audits sont menés dans un environnement local, et non sur la chaîne. De ce fait, de nombreux projets n’ont pas été contournés une fois qu’ils ont été déployés sur la chaîne. Par exemple, il y avait un projet qui n’examinait que le code natif et n’examinait pas le pont inter-chaînes, et après l’avoir déployé sur la chaîne, cette étape de révision manquante lui a coûté des millions de dollars.

Bien que certaines entreprises surveillent la chaîne en temps réel, elle fournira immédiatement des renseignements en temps réel lorsque le protocole est piraté. Mais la plupart du temps, il s’agit plutôt d’un jeu du chat et de la souris. Le comportement des attaquants évolue constamment, ils savent ce que font ces entreprises et disposent de moyens ou de contre-mesures pour les prévenir.

En plus de l’analyse statique locale, Fuzzland essaie également de mener des audits de sécurité en temps réel sur la chaîne pour pallier ce genre de problème.

Plus précisément, Fuzzland identifie d’abord manuellement les attributs de sécurité que le projet doit toujours conserver. Par exemple, si un article doit avoir des pertes mobiles importantes, ou s’il y aura une énorme liquidation après une légère différence de prix. Nous effectuerons une vérification formelle et une analyse dynamique localement pour nous assurer que le projet ne viole pas ces attributs de sécurité.

Une fois le déploiement du protocole terminé, Fuzzland recommence le même processus et s’assure qu’il n’y a aucun problème avec le déploiement. Lorsque le projet a des utilisateurs et des transactions, nous effectuons une analyse dynamique en temps réel et une vérification formelle pour effectuer un examen de sécurité en temps réel du protocole.

De plus, avec chaque transaction qui a eu lieu, nous pouvons également prédire s’il y aura une violation dans d’autres transactions à l’avenir.

3. ChainCatcher : Quels sont les produits et solutions actuels de Fuzzland ?Quels sont les principaux portraits de clients ?

Chaofan Shou : Fuzzland propose actuellement deux produits. L’une d’entre elles est Blaz, une plateforme d’analyse avant le déploiement du contrat. Les utilisateurs peuvent fournir un contrat intelligent ou seulement quelques adresses, et nous effectuerons une analyse statique des faux positifs et des faux négatifs sur le contrat. Le principal public cible de la plateforme est constitué de développeurs, d’utilisateurs finaux de projets DeFi ou de traders, ce qui peut les aider à identifier les problèmes de sécurité potentiels liés aux contrats qui sont déployés ou avec lesquels on interagit.

L’autre solution de Fuzzland s’appelle Blaz+, qui effectue principalement des audits de sécurité en temps réel sur la chaîne. Plus précisément, nous analysons chaque transaction lorsqu’elle entre dans les conditions d’utilisation. S’il déclenche des violations ou entraîne des violations potentielles, nous utiliserons des méthodes basées sur MEV pour empêcher de telles attaques, à condition que l’utilisateur accepte de nous donner le droit de suspendre le protocole.

Ou l’autre approche non intrusive que nous adoptons, c’est-à-dire que chaque fois que nous trouvons une attaque potentielle, nous essayons d’utiliser le protocole pour économiser les fonds.

Nous avons mis en place des mesures supplémentaires pour atténuer le risque. En cas d’attaque, nous récupérerons rapidement les fonds restants dans le protocole ou les fonds déployés sur d’autres chaînes afin de réduire l’ampleur des pertes. Le public cible de la plateforme est principalement constitué d’infrastructures et de chaînes qui veulent s’assurer que leur TVL n’est pas volée par des attaquants.

Plus intuitivement, les utilisateurs de notre plateforme, lorsqu’ils interagissent avec des contrats intelligents, s’il y a une attaque, nous informons immédiatement les utilisateurs du risque, afin qu’ils puissent retirer des fonds du protocole en temps opportun.

Grâce à notre plateforme d’analyse statique et dynamique, chaque fois qu’un utilisateur interagit avec un contrat, nous pouvons immédiatement lui dire si le contrat est vulnérable, ou quel est le risque centralisé et le risque d’interaction du contrat intelligent, afin qu’il puisse facilement juger s’il doit participer à la transaction ou miser des fonds.

Réduire la dépendance à l’égard des humains pour les audits de sécurité Web3 grâce à l’IA

4. Quel rôle jouent ChainCatcher :* l’IA dans vos produits ?

Chaofan Shou : Nous tirons parti des LLM (grands modèles de langage) pour gagner du temps lors des audits de sécurité. Le LLM est responsable de la sélection des parties du code qui doivent être formellement vérifiées et des parties du code qui doivent être analysées dynamiquement pour accélérer le processus d’audit.

Étant donné que les LLM peuvent produire un grand nombre d’erreurs, nous n’utilisons pas directement les LLM pour produire les résultats de l’audit de sécurité, mais plutôt pour fournir des invites aux humains afin qu’ils puissent passer moins de temps sur des tâches répétitives.

5. ChainCatcher : Depuis combien de temps le produit de Fuzzland est-il opérationnel et quelle efficacité peut-il aider les auditeurs et les traders à atteindre ?Quelles autres données valent la peine d’être partagées ?**

Chaofan Shou : Tout d’abord, nous avons rendu l’analyse dynamique et le contenu de base du logiciel open source pour le public, afin que tout le monde puisse l’utiliser.

Notre plateforme de test de contrats intelligents tout-en-un, Blaz, fonctionne depuis 2 mois, et la plateforme compte plus de 500 utilisateurs enregistrés, a effectué des milliers d’analyses et a aidé les utilisateurs à trouver des dizaines de milliers de vulnérabilités.

Blace+, une plateforme d’analyse de sécurité en temps réel on-chain, a permis aux utilisateurs d’éviter une perte de 500 000 $ en 2 mois, bien que seuls 5 projets ou chaînes l’aient rejointe.

Notre plateforme de sécurité peut effectuer des centaines d’analyses par seconde, alors que la plupart des autres solutions d’audit de sécurité peuvent prendre des heures, voire des jours, pour effectuer des dizaines de milliers d’analyses. Nous sommes la seule plateforme capable d’effectuer des audits de sécurité on-chain en temps réel.

6. ChainCatcher : Selon vous, quelles sont les parties de votre produit actuel qui doivent être optimisées, et quels sont les plans ou les objectifs pour le prochain produit ?**

Chaofan Shou : Tout d’abord, l’ensemble de l’audit de sécurité nécessite toujours une intervention humaine manuelle, et nous espérons que celle-ci pourra être réduite au minimum, afin que les humains n’aient plus qu’à participer à la confirmation à la fin. Nous expérimentons actuellement différentes méthodes basées sur l’IA ou des méthodes traditionnelles de génération de code pour pallier ce problème.

Deuxièmement, l’ensemble du processus d’audit de sécurité utilise une vérification formelle et une analyse dynamique, ce qui consomme beaucoup de puissance de calcul, et près de 2 000 modules de notre plate-forme ont été utilisés.

Par conséquent, nous essayons d’optimiser l’algorithme pour réduire la surcharge de calcul. Par exemple, s’il est possible d’appliquer de manière croisée la divulgation de la puissance de calcul, d’utiliser directement ces sources croisées et la puissance de calcul pour réduire le coût de l’analyse.

7. ChainCatcher : En termes d’économie de puissance de calcul, le GPU IA actuel très populaire vous est-il utile ?

Chaofan Shou : En fait, nous avons juste besoin d’utiliser le processeur. Mais nous explorons des approches similaires pour rendre la puissance de calcul plus accessible.

Par exemple, laissez l’ensemble du processus s’exécuter dans le navigateur, qui est le site Web qui insère nos scripts. Chaque fois qu’un utilisateur visite le site, il contribue automatiquement à la puissance de calcul, et nous pouvons récompenser l’utilisateur ou le propriétaire du site.

8. ChainCatcher : Comment Fuzzland enseigne-t-il aux développeurs à tirer parti des outils et des services d’audit existants pour minimiser les risques pour les utilisateurs ?

Chaofan Shou : Notre outil open-source dispose d’une documentation détaillée. Par rapport à d’autres outils similaires, nous essayons également de rendre le produit aussi facile à utiliser que possible, par exemple, les utilisateurs n’ont souvent qu’à soumettre une adresse de contrat, et notre outil fournira automatiquement aux utilisateurs toutes les vulnérabilités potentielles du contrat avec cette adresse.

Pour les utilisateurs avancés, nous proposons également des outils basés sur le LLM pour les aider à rationaliser l’ensemble du processus. Ils n’ont pas besoin d’écrire leurs propres propriétés de sécurité, ils peuvent directement utiliser le LLM pour générer des propriétés de sécurité. Ou pour certains projets de définition très complexes, tels que l’analyse dynamique, les utilisateurs peuvent se connecter à notre plate-forme et ont juste besoin de confirmer si le LLM généré quelque chose est correct ou invalide, ce qui est très simple.

L’avenir du Web3 nécessite des « pare-feu » en temps réel que tout le monde peut déployer

9. ChainCatcher : Quelles sont les difficultés dans le développement ou l’exploitation d’un logiciel de sécurité blockchain automatisé tel que Fuzzland, et quelles sont les différences entre celui-ci et un logiciel d’automatisation de la sécurité dans le domaine traditionnel ?**

Chaofan Shou : Les contrats intelligents, bien qu’ils aient peu de lignes de code, sont extrêmement complexes et difficiles à analyser par rapport aux logiciels Web 2. Plus précisément, les contrats intelligents ont une fonction similaire aux interactions externes, de sorte qu’ils peuvent interagir directement ou indirectement avec des centaines de contrats, et l’analyse d’un contrat intelligent revient à analyser des centaines de contrats intelligents.

De plus, les contrats intelligents sont pour la plupart avec état, ce qui nécessite plusieurs entrées ou plusieurs transactions pour déclencher une fonction. L’un des hacks les plus sophistiqués disponibles aujourd’hui, coûtant environ 5000 $ pour rendre l’état des contrats intelligents exploitable.

Par conséquent, les méthodes traditionnelles d’automatisation de la sécurité sont en fait très difficiles à gérer. Nous utilisons des méthodes telles que la vérification formelle, l’intelligence artificielle, etc., pour optimiser les pratiques traditionnelles d’automatisation de la sécurité afin de les rendre adaptées à la gestion des contrats intelligents et d’avoir les taux de faux positifs et de faux négatifs les plus bas du marché.

10. ChainCatcher : Est-il pratique de divulguer votre modèle de charge ?Quels sont les principaux clients qui utilisent vos produits ?

Chaofan Shou : La plupart de nos produits sont libres d’utilisation ou même open source. Si le produit ne nécessite pas d’opération manuelle, il sera gratuit.

Mais lorsqu’il s’agit de travail manuel, nous facturons de la même manière que la plupart des autres audits de sécurité, voire moins que ceux des entreprises de sécurité comme Certik. À l’heure actuelle, les principaux clients sont les portefeuilles, les chaînes et les projets DeFi.

11. ChainCatcher : Fuzzland a récemment annoncé qu’elle avait reçu un financement de 3 millions de dollars, quels sont les prochains plans stratégiques et quels sont les objectifs prévus pour être atteints en 2024 ?

Chaofan Shou : Tout d’abord, nous prévoyons d’intégrer plus de 1 000 projets DeFi à la plateforme Blaze+ cette année, et nous ferons de notre mieux pour nous assurer que tous les projets de la plateforme ne seront pas perdus par des attaques.

Deuxièmement, développer davantage d’utilisateurs finaux C. Nous travaillons avec des portefeuilles et des fournisseurs de sécurité pour explorer comment fournir des analyses dynamiques et statiques directement aux utilisateurs finaux C, afin qu’ils puissent échanger ou miser avec plus de sécurité.

De plus, nous avons actuellement plusieurs membres qui travaillent sur la façon d’utiliser de grands modèles de langage pour réduire le coût global de démarrage d’un projet, ou pour réduire le temps nécessaire à l’analyse et optimiser les algorithmes afin de s’assurer que nos actions de sécurité ont une longueur d’avance sur les pirates.

12. ChainCatcher : Par rapport à la piste de sécurité dans le domaine de l’Internet traditionnel, quel est l’état actuel de l’industrie de la sécurité blockchain ?Quels sont les plus grands défis auxquels est confrontée l’industrie de la sécurité blockchain ?

Chaofan Shou : En ce qui concerne l’audit manuel, le Web3 est en fait plus expérimenté et fait un meilleur travail que l’Internet traditionnel.

Mais en ce qui concerne les pare-feu, tels que l’analyse en temps réel sur la chaîne, la surveillance en temps réel, je pense que nous n’en sommes encore qu’aux premiers stades. Utilisateurs du Web 2 : Presque tout le monde a un pare-feu installé sur son ordinateur. Cependant, dans le Web3, peu de projets déploient des solutions de sécurité contre les menaces on-chain, et encore moins d’utilisateurs finaux C.

Il y a quelques mois, KyberSap a été piraté et des dizaines de millions de dollars ont été volés, qui ont tous été promis par les utilisateurs. En fait, lors de l’attaque, l’équipe de projet a eu quelques minutes pour réagir, et l’attaquant n’a volé qu’environ 200 000 $ au début, et les actifs restants étaient toujours là.

Si un utilisateur dispose d’une sorte de solution de pare-feu automatisé à ce stade, lorsqu’il voit l’attaque initiale, il peut en fait retirer ses fonds beaucoup plus tôt et finir par perdre moins.

La raison principale est que le manque d’automatisation des solutions de sécurité Web3 rend très difficile l’analyse de la dynamique des contrats intelligents, et qu’il est difficile d’aider automatiquement les utilisateurs à économiser à temps les fonds bloqués dans le protocole.

Mais nous pensons que l’avenir du Web3 devrait disposer d’un pare-feu vraiment utile, facile à déployer pour les appareils et les utilisateurs. Permettez à chaque utilisateur ou partie prenante du réseau Web3 de réduire les risques et les pertes causés par les problèmes de sécurité. C’est aussi un sujet que Fuzzland continue d’explorer.