Rekt Test: що це таке та як його пройти
Rekt Test — анкета, що була розроблена групою експертів з web3-безпеки. Команду очолив Ден Гвідо, СЕО Trail of Bits. Це компанія з комп’ютерної та мережевої безпеки, що обслуговує таких клієнтів, як Facebook та Управління перспективних дослідних проєктів Пентагону.
Rekt Test: ідеологія проєкту
Серед розробників нового стандарту безпеки — Мітчелл Амадор з платформи баг-баунті Immunefi, Нік Шалек (інвесткомпанія Ribbit Capital), Натан Макколі (криптоплатформа Anchorage Digital), Лі Маунт з Euler Labs (створює фінансові застосунки), Шахар Мадар з інституціонального сховища цифрових активів Fireblocks та інші фахівці. Проєкт Rekt Test був представлений web3-ком’юніті в середині серпня 2023 року.
Ідеологічно Rekt Test базується на відомому тесті Джоела. Програміст Джоел Спольські вигадав цей опитувальник чверть століття тому. Він складається з 12 простих запитань, на які можна дати однозначні відповіді «так» чи «ні». Сума балів дає змогу оцінити зрілість та кваліфікацію команди розробників програмного забезпечення. Блокчейн-бізнес потребував аналогічного інструменту, який оцінює безпеку того чи іншого проєкту. Учасники ринку дійшли спільної думки: всі наявні гайди надто заплутані, тож, імовірніше, розчаровують, ніж допомагають та інформують.
«У 2022 році глобальний простір web3 оцінювався у понад $934 млрд. Цей капітал є безпрецедентною та привабливою можливістю для чорних хакерів. Ми розглянули всі випадки, коли хакери — чорні капелюхи — використовували різні криптопротоколи, а також випадки, коли протоколи нібито виконували махінації протягом 2022 року... Загалом у 2022 році в екосистемі web3 ми зауважили збитки на суму $3,948 млрд», — окреслили масштаб проблеми в Immunefi.
Rekt Test пропонує блокчейн-командам спрощений спосіб оцінити стан безпеки проєкту та ступінь його розвитку. Запитання Rekt Test, подібно до опитувальника Джоела, потребують однозначних негативних або позитивних відповідей. Ствердні відповіді Web3-розробників є підтвердженням надійності системи управління безпекою проєкту. Також отриманий результат може стати прецедентом для предметних дискусій щодо безпеки всередині команди.
Rekt Test: запитання
- Чи задокументовані всі учасники, їхні ролі та привілеї?
- Чи ведете ви документацію щодо всіх зовнішніх служб, контрактів та оракулів, на яких покладаєтесь?
- Чи є у вас перевірений письмовий план реагування на інциденти?
- Чи документуєте ви найкращі можливості для атаки на вашу систему?
- Чи проходять усі працівники перевірку особи та біографічних даних?
- Чи маєте члена команди, який займається тільки питаннями безпеки?
- Чи потрібні вам апаратні ключі безпеки для виробничих систем?
- Чи потребує ваша система управління ключами кількох людей та фізичних кроків?
- Чи визначаєте ви ключові інваріанти (показники, які завжди мають зберігати своє значення — ред.) для своєї системи та тестуєте їх за кожного коміта (фіксація змін у проєкті — ред.)?
- Чи використовуєте ви найкращі автоматизовані інструменти для виявлення проблем безпеки у вашому коді?
- Чи проходите ви зовнішні аудити та чи підтримуєте розкриття уразливостей або програму баг-баунті?
Чи розглядали ви можливості зловживання вашої системи з боку користувачів та чи передбачили заходи щодо запобігання цьому?
Звісно, моніторинг цих контрольних точок не є панацеєю від усіх бід. Але, на думку команди творців, постійний моніторинг ситуації за допомогою Rekt Test здатний значно підвищити рівень безпеки як ПЗ блокчейн-проєкту, так і операційної безпеки його розробників.
«Відповідь “так” на ці запитання ще не означає, що ви повністю убезпечите себе від інцидентів, але це може дати вам і вашій команді змогу уникнути найгіршого ярлика в галузі: стати rekt», — зазначають у Trail of Bits (йдеться про скорочення з англійської wrecked: сленговим словом rekt називали геймера, який розгубився й програв. Наразі цей термін використовують також на крипторинку для інвесторів та проєктів, які «падають у нуль»).
Систематизований опитувальник ще довго не втрачатиме своєї актуальності, попри бурхливий розвиток технології блокчейн. Він є своєрідною дорожньою картою, якою можуть скористатися як новачки, так і старожили галузі.
