paint-brush
Wie Spherex Schwachstellen bei Smart Contracts behebtvon@ishanpandey
213 Lesungen

Wie Spherex Schwachstellen bei Smart Contracts behebt

von Ishan Pandey6m2024/05/16
Read on Terminal Reader

Zu lang; Lesen

Erkunden Sie mit Eyal Meron die Schnittstelle zwischen Cybersicherheit und Web3 in unserer Serie „Innovators in Web3“. Entdecken Sie, wie seine Erfahrungen als CISO und seine aktuelle Rolle bei Spherex fortschrittliche Sicherheitsstrategien im Blockchain-Bereich prägen.
featured image - Wie Spherex Schwachstellen bei Smart Contracts behebt
Ishan Pandey HackerNoon profile picture
0-item

Seien Sie dabei, wenn wir mit Eyal Meron an unserer Reihe „Innovators in Web3“ teilnehmen. Eyal schildert darin seinen Weg vom erfahrenen Cybersicherheitsexperten in der israelischen Cyber-Community und ehemaligen CISO der Bank Leumi zum führenden strategischen Visionär bei Spherex.



Ishan Pandey: Hallo Eyal, es ist großartig, Sie hier bei unserer Serie „Innovators in Web3“ zu haben. Können Sie uns erzählen, wie Ihre Erfahrungen als jemand, der viele Jahre in Schlüsselpositionen in der israelischen Cyber-Community und als CISO der Bank Leumi verbracht hat, Ihren Werdegang und Ihre strategische Vision bei Spherex geprägt haben?

Eyal Meron: Hallo Ishan, schön, hier zu sein. Meine Vision für Spherex beruht auf langjähriger Erfahrung in der Bewältigung von Cybersicherheitsherausforderungen und der Aufrechterhaltung eines im Finanzsektor erforderlichen Schutzniveaus.


Web3 ist ein noch relativ neuer digitaler Raum, der das Potenzial hat, die Funktionsweise der globalen Wirtschaft zu verändern. Es ist tatsächlich ein grundlegendes Element der digitalen Transformation der Menschheit, aber seine Cyber-Komponente muss gelöst werden, um die Ausschöpfung seines Potenzials zu ermöglichen.


Wenn wir uns die Cyber-Situation innerhalb von Web3 ansehen, ist klar, dass die Infrastrukturschicht dank der Prinzipien der Dezentralisierung und Kryptographie gut geschützt ist. Die Benutzer auf der Wallet-Seite erhalten sowohl bei der Aufbewahrung des privaten Schlüssels als auch bei der Überprüfung, ob seine Verwendung der Absicht des Besitzers entspricht, eine hochwertige Behandlung.


Die Anwendungsebene, die Smart Contracts und die darin stattfindenden Interaktionen, sind dagegen ein schwaches Glied, das eine Quelle für verschiedene Arten von Hacks und Compliance-Lücken ist und verbessert werden muss. Das derzeitige Verhältnis zwischen dem Umfang der Aktivitäten und dem Umfang der Hacks ermöglicht kein stabiles Finanzökosystem.


Der ROI für Angreifer ist beim Angriff auf Verträge am höchsten und nicht umsonst werden sie von diesem Bereich angezogen. Die Monetarisierung erfolgt schnell (sie sind „nur einen Schritt vom Geld entfernt“), der Code ist für sie zugänglich, was es einfach macht, Schwachstellen zu finden, und abgeschlossene Transaktionen sind unveränderlich, sodass der Vorteil nach einem schnellen Angriff vollständig auf der Seite des Angreifers liegt. Daher muss der Sicherheitsstandard verbessert werden, damit der Bereich Web3 sein Potenzial ausschöpfen kann, und wir bei spherex haben diese „Verbesserung“ zum Kern unserer Mission und unserer Herausforderung gemacht.


Ishan Pandey: Die Mission von spherex besteht darin, die größten Sicherheitslücken in Smart Contracts zu schließen. Wie lässt sich diese Mission in ein tragfähiges Geschäftsmodell umsetzen, das auch eine breite Akzeptanz Ihrer Dienste fördert?


Eyal Meron: Zunächst ist es mir wichtig zu betonen, dass das zugrunde liegende Konzept von Spherex nicht darin besteht, der Sicherheit mehr Ressourcen zuzuweisen, sondern sie richtig zu verteilen.


Das Prinzip eines Audits ist beispielsweise wichtig. Code sollte getestet werden, um die Wahrscheinlichkeit von Fehlern zu minimieren, bevor er in der Produktion eingesetzt wird. Aber ist die Budgetierung von zwei oder drei Audits der beste Weg, um die genannten Ressourcen zuzuweisen? Lohnt es sich, für einen Bedrohungserkennungsdienst zu bezahlen, wenn ein professioneller Hacker ihn problemlos umgehen kann? Und selbst wenn es eine Warnung gibt, wird der Vertrag bestenfalls pausiert.


Wir bei spherex haben eine proaktive Sicherheitslösung entwickelt, die in das Web3-Projekt eingebettet ist und ihm im Rahmen des laufenden Projektbetriebs eine Sicherheits- und Compliance-Hülle verleiht. Schäden werden von vornherein vermieden und die Geschäftskontinuität des Projekts gewährleistet. Und das alles rund um die Uhr, 7 Tage die Woche, ohne dass ein Mensch involviert ist.


Darüber hinaus ist die Sicherheitsebene von Spherex vollständig modular aufgebaut und die Sicherheitshülle eines Projekts kann während seines Lebenszyklus an die aktuellen Anforderungen angepasst werden, sodass sich die Sicherheit weiterentwickelt und an die Anforderungen (und das Budget) anpasst und nicht einfriert, während es auf der anderen Seite Hacker gibt, die enorme Ressourcen investieren, um den Lernwettbewerb zu gewinnen.


Ishan Pandey: Wie schafft es Spherex, angesichts der rasanten Entwicklung digitaler Assets und der Blockchain-Technologie bei der Identifizierung und Bekämpfung neuer Arten von Cyber-Bedrohungen die Nase vorn zu behalten?


Eyal Meron: Ein großer Vorteil für Anbieter von Sicherheitslösungen im Blockchain-Ökosystem ist die Tatsache, dass die Daten öffentlich sind, einschließlich aller vergangenen Angriffe. Jede Funktion, die wir entwickeln, wird anhand aller berüchtigten Hacks getestet und auch anhand aller neuen Hacks, die möglicherweise auftreten, erneut getestet und verbessert. Mit diesen Informationen überprüfen wir die Stärke der Sicherheitsabdeckung und behalten die Oberhand gegenüber Hackern.

Darüber hinaus gehören zu unserem Team auch Forumsmitglieder führender Sicherheitsforscher, die sich freiwillig um die Analyse der Angriffe kümmern und den Angegriffenen dabei helfen, den Schaden zu begrenzen.


Ishan Pandey: Spherex hat „asymmetrische Gegenmaßnahmen“ eingeführt, um Schwachstellen in Smart Contracts zu bekämpfen. Könnten Sie den Implementierungsprozess erläutern und wie sich diese Gegenmaßnahmen in bestehende Blockchain-Protokolle integrieren lassen?

Eyal Meron: Kurz gesagt bieten wir unseren eigenen Smart Contract an, der als Sicherheits-Engine für funktionale Smart Contracts dient. Wenn ein Projekt erstellt wird und Smart Contracts zur Implementierung seiner Geschäftslogik verwendet, kann es den von uns entwickelten Schutzvertrag integrieren und eine Reihe von Funktionen erhalten, die während des Ausführungsprozesses jeder Transaktion eine Überprüfung ermöglichen, dass sie keinen Schaden verursacht oder sich auf eine Weise verhält, die von dem abweicht, was getestet und genehmigt wurde.


Die fortschrittlichste Funktion, die wir entwickelt haben, oder unser „Flaggschiff“-Produkt, ist die Exploit-Prävention. Diese Funktion verhindert Randfälle und stellt sicher, dass jeder, der eine Schwachstelle findet, also eine böswillige Möglichkeit, den Code des Vertrags zu verwenden, dies nicht tun kann, ohne den Angriff zuerst zur Genehmigung zu senden. Und so kehrt die Macht tatsächlich zu den Eigentümern und legitimen Benutzern des Projekts zurück. Sie sind geschützt, weil die Definition dessen, was erlaubt ist und was wirklich erlaubt sein muss, davon abhängt, was sie im Protokoll für richtig halten, um seinen wahren Zweck zu erfüllen.


Ishan Pandey: Wie schafft es Spherex, die Notwendigkeit robuster Sicherheitsmaßnahmen mit der Notwendigkeit einer hohen Leistung und eines geringen Overheads bei Blockchain-Transaktionen in Einklang zu bringen?

Eyal Meron: Auf praktischer Ebene basieren die von uns entwickelten Fähigkeiten auf umfangreicher Forschung, die darauf abzielt, sicherzustellen, dass die in der Kette implementierte Logik wenig Rechenressourcen benötigt und nur minimale Gemeinkosten verursacht, während sie gleichzeitig unabhängig ist und kein Schließen des Kreislaufs mit Analysetools erfordert, die außerhalb der Kette ausgeführt werden. Die On-Chain-Fähigkeit wird durch Off-Chain-Support- und Analysetools unterstützt, aber sie sind nicht Teil des Prozesses der laufenden On-Chain-Sicherheit. So haben wir eine Situation erreicht, in der der Anstieg des Gasverbrauchs sehr gering ist.


Aber wichtiger ist in meinen Augen, wie Sie sagten, die richtige Balance. Und eine richtige Balance, wenn es um die Sicherheits- und Stabilitätsanforderungen von Finanzdienstleistungen geht, ist eine, die nicht versucht, den Gasverbrauch auf Kosten der Sicherheit zu senken. Eine richtige Balance ist eine, die Sicherheit und Stabilität an erste Stelle setzt und sich dann mit der Reduzierung des Ressourcenverbrauchs befasst.


Ishan Pandey: Sie haben erwähnt, dass menschliches Versagen ein wesentlicher Faktor für die Schwachstellen von Smart Contracts ist. Welche wichtigen Strategien oder Praktiken fördert Spherex, um solche Risiken zu mindern?

Eyal Meron: Die Stärke unserer Lösung liegt im Wesentlichen darin, dass sie keine menschliche Analyse und/oder Projektlogik erfordert. Und was sie sowohl skalierbar als auch immun gegen menschliche Fehler macht, ist das tiefgreifende Verständnis davon, wie ein Protokoll funktionieren soll – d. h. Spherex als Lösung lernt automatisch aus den Daten des Protokolls. Auf diese Weise neutralisiert es im Grunde die Abhängigkeit vom menschlichen Faktor, eine Abhängigkeit, die sowohl zu Fehlfunktionen als auch zu teuren und langen Prozessen führt.


Ishan Pandey: Wie sehen Sie die Zukunft der Cybersicherheit in dezentralen Umgebungen? Welche größten Herausforderungen und Chancen sehen Sie?

Eyal Meron: Es ist wichtig, noch einmal zu betonen, dass Web3 noch immer ein sich entwickelndes und ständig weiterentwickelndes Ökosystem ist. Und daher ist der anhaltende Kampf oder der Lernwettbewerb zwischen Verteidigern und Angreifern noch lange nicht entschieden oder verstanden. Ich bin der Ansicht, dass die Einführung von Technologien wie der unseren unvermeidlich ist und eine grundlegende Änderung der Gleichung ermöglichen wird.


Ein mehrschichtiger Schutz mit Schwerpunkt auf einer proaktiven Schicht, die die einzigartigen Eigenschaften des Raums zum Vorteil des Verteidigers und nicht zu dessen Nachteil nutzt, ist nicht nur eine nette Sache, sondern eine unerlässliche Ergänzung, die der Community neuen Raum für bahnbrechende Ideen und Möglichkeiten eröffnen wird.


Vergessen Sie nicht, die Geschichte zu liken und zu teilen!

Offenlegung von Interessenkonflikten: Dieser Autor ist ein unabhängiger Beitragender, der über unser Business-Blogging-Programm veröffentlicht. HackerNoon hat den Bericht auf Qualität geprüft, aber die hierin enthaltenen Behauptungen gehören dem Autor. #DYOR.