paint-brush
Cómo Spherex está abordando las vulnerabilidades de los contratos inteligentespor@ishanpandey
213 lecturas

Cómo Spherex está abordando las vulnerabilidades de los contratos inteligentes

por Ishan Pandey6m2024/05/16
Read on Terminal Reader

Demasiado Largo; Para Leer

Explore la intersección de la ciberseguridad y Web3 con Eyal Meron en nuestra serie "Innovadores en Web3". Descubra cómo sus experiencias como CISO y su puesto actual en Spherex están dando forma a estrategias de seguridad avanzadas en la esfera blockchain.
featured image - Cómo Spherex está abordando las vulnerabilidades de los contratos inteligentes
Ishan Pandey HackerNoon profile picture
0-item

Únase a nosotros mientras nos sentamos con Eyal Meron para nuestra serie "Innovadores en Web3", donde Eyal comparte su viaje desde un experimentado experto en ciberseguridad en la comunidad cibernética israelí y ex CISO de Bank Leumi hasta liderar visiones estratégicas en esferax.



Ishan Pandey: Hola Eyal. Es fantástico tenerte aquí para nuestra serie "Innovadores en Web3". ¿Puede compartirnos cómo su experiencia como alguien que pasó muchos años desempeñando funciones clave en la comunidad cibernética israelí y como CISO del Bank Leumi dio forma a su trayectoria y visión estratégica en esferax?

Eyal Meron: Hola Ishan, feliz de estar aquí. Mi visión para Spherex surge de muchos años de abordar los desafíos de la seguridad cibernética, junto con el mantenimiento del nivel de protección requerido en el sector financiero.


Web3 es todavía un espacio digital relativamente nuevo, que tiene el potencial de alterar la forma en que funciona la economía global. En realidad, es un elemento fundamental en la transformación digital de la humanidad, pero su componente cibernético debe resolverse para permitir la realización de su potencial.


Cuando observamos la situación cibernética dentro de Web3, queda claro que la capa de infraestructura está bien protegida gracias a los principios de descentralización y criptografía. Los usuarios, por el lado de la billetera, reciben un trato de calidad tanto en el mantenimiento de la clave privada como en la verificación de que su uso corresponde a la intención del propietario.


Considerando que la capa de aplicación, los contratos inteligentes y las interacciones que tienen lugar dentro de ellos, es un eslabón débil que es fuente de varios tipos de hackeos y brechas de cumplimiento, de una manera que debe actualizarse. La relación actual entre el alcance de la actividad y el alcance de los hackeos no permite un ecosistema financiero estable.


Los contratos de ataque es donde el ROI para los atacantes es mayor y no en vano se sienten atraídos por el espacio. La monetización es rápida (están "a un paso del dinero"), el código está expuesto a ellos, lo que facilita encontrar vulnerabilidades, y las transacciones finalizadas son inmutables, de modo que después de un ataque rápido la ventaja está completamente del lado de el atacante. Por lo tanto, el estándar de seguridad debe actualizarse para que el espacio Web3 alcance su potencial, y en Spherex hicimos de esta "actualización" el núcleo de nuestra misión, así como nuestro desafío.


Ishan Pandey: la misión de Spherex es abordar las principales vulnerabilidades de seguridad en los contratos inteligentes. ¿Cómo traduce esta misión en un modelo de negocio viable que también promueva la adopción generalizada de sus servicios?


Eyal Meron: Primero, es importante para mí enfatizar que el concepto subyacente de Spherex es no asignar más recursos para seguridad, sino asignarlos correctamente.


Por ejemplo, el principio de una auditoría es importante. El código debe probarse para minimizar la posibilidad de que tenga errores antes de implementarlo en producción, pero ¿presupuestar dos o tres auditorías es la mejor manera de asignar dichos recursos? ¿Vale la pena pagar por un servicio de detección de amenazas cuando un hacker profesional puede evitarlo fácilmente? E incluso cuando haya una alerta, en el mejor de los casos se pausará el contrato.


En esferax hemos desarrollado una solución de seguridad proactiva, que está integrada dentro del proyecto Web3 y le brinda un marco de seguridad y cumplimiento como parte de las operaciones en curso del proyecto. Para empezar, se evitan daños y se garantiza la continuidad del negocio del proyecto. Y todo esto sucede las 24 horas del día, los 7 días de la semana, sin que haya un hombre al tanto.


Además, la capa de seguridad despherex es completamente modular, y la envolvente de seguridad de un proyecto se puede adaptar a sus necesidades actuales en su ciclo de vida, de modo que la seguridad evolucione y se adapte a sus necesidades (y presupuesto), y no se congele mientras por otro lado, están los hackers que invierten enormes recursos para ganar la competencia de aprendizaje.


Ishan Pandey: Con la rápida evolución de los activos digitales y la tecnología blockchain, ¿cómo puede Spherex mantenerse a la vanguardia en la identificación y lucha contra nuevos tipos de amenazas cibernéticas?


Eyal Meron: Una gran ventaja para los proveedores de soluciones de seguridad en el ecosistema blockchain es el hecho de que los datos son públicos, incluidos todos los ataques pasados. Cualquier capacidad que desarrollemos se prueba nuevamente con todos los hacks notorios y también se vuelve a probar y se mejora con cualquier nuevo hack que pueda ocurrir en el futuro. Esta información es la forma en que verificamos la solidez de la cobertura de seguridad y cómo mantenemos la ventaja contra los piratas informáticos.

Además, nuestro equipo incluye miembros del foro de investigadores de seguridad senior que se ofrecen como voluntarios para analizar los ataques mientras ayudan a quienes fueron atacados a mitigar el daño.


Ishan Pandey: Spherex ha introducido "contramedidas asimétricas" para combatir las vulnerabilidades de los contratos inteligentes. ¿Podría explicar el proceso de implementación y cómo estas contramedidas se integran con los protocolos blockchain existentes?

Eyal Meron: En pocas palabras, ofrecemos nuestro propio contrato inteligente que sirve como motor de seguridad para contratos inteligentes funcionales. Cuando se construye un proyecto y utiliza contratos inteligentes para implementar su lógica de negocios, puede integrar el contrato de protección que desarrollamos y obtener un conjunto de capacidades que permiten verificar durante el proceso de ejecución de cada transacción que no causa daño ni se comporta. de una manera que se desvíe de lo que ha sido probado y aprobado.


La capacidad más avanzada que hemos desarrollado, o nuestro producto "insignia", es la prevención de exploits. Esta capacidad previene casos extremos y garantiza que quien encuentre una vulnerabilidad, es decir, una forma maliciosa de utilizar el código del contrato, no podrá hacerlo sin antes enviar el ataque para su aprobación. Y así, el poder regresa a los propietarios y usuarios legítimos del proyecto. Están protegidos porque la definición de lo que está permitido y lo que realmente se requiere permitir depende de lo que consideran adecuado hacer en el protocolo para lograr su verdadero propósito.


Ishan Pandey: ¿Cómo equilibra Spherex la necesidad de medidas de seguridad sólidas con el imperativo de mantener un alto rendimiento y bajos gastos generales en las transacciones de blockchain?

Eyal Meron: A nivel práctico, las capacidades que hemos desarrollado se basan en una gran cantidad de investigaciones destinadas a garantizar que la lógica implementada en la cadena tenga pocos recursos computacionales y agregue gastos generales mínimos, al mismo tiempo que sea independiente y no requiera cerrar el ciclo con Herramientas de análisis que se ejecutan fuera de la cadena. La capacidad dentro de la cadena está respaldada por herramientas de análisis y soporte fuera de la cadena, pero no forman parte del proceso de seguridad en la cadena en curso. Así llegamos a una situación en la que el aumento del consumo de gas es muy bajo.


Pero, en mi opinión, lo más importante es, como usted ha dicho, el equilibrio adecuado. Y un equilibrio correcto, cuando se trata de necesidades de seguridad y estabilidad de los servicios financieros, es aquel que no intenta reducir el consumo de gas a costa de comprometer la seguridad. Un equilibrio correcto es aquel que prioriza la seguridad y la estabilidad por encima, y luego se ocupa de reducir el consumo de recursos.


Ishan Pandey: Mencionaste que el error humano es un factor importante en las vulnerabilidades de los contratos inteligentes. ¿Cuáles son algunas estrategias o prácticas clave que promueve esferax para mitigar dichos riesgos?

Eyal Meron: La fortaleza de nuestra solución, en esencia, es que no requiere análisis humano ni lógica de proyecto. Y lo que lo hace escalable e inmune al error humano es la comprensión profunda de cómo se supone que funciona un protocolo; es decir,spherex como solución aprende automáticamente a partir de los datos del protocolo. De esta manera, se neutraliza básicamente la dependencia del factor humano, dependencia que conduce tanto a fallos de funcionamiento como a procesos costosos y largos.


Ishan Pandey: De cara al futuro, ¿cómo percibe el futuro de la ciberseguridad en entornos descentralizados? ¿Cuáles son los mayores desafíos y oportunidades que prevé?

Eyal Meron: Es importante reiterar que Web3 sigue siendo un ecosistema emergente y en constante evolución. Y, por lo tanto, la batalla en curso, o la competencia de aprendizaje entre defensores y atacantes, está lejos de ser decidida o comprendida. Calculo que la adopción de tecnologías, como la nuestra, es inevitable y permitirá un cambio fundamental en la ecuación.


La protección multicapa, con énfasis en una capa proactiva que haga uso de las características únicas del espacio para beneficio del defensor y no en su contra, no sólo es bueno tenerla sino que es una adición imperativa que abrirá un nuevo espacio. para ideas y oportunidades para la comunidad.


¡No olvides darle me gusta y compartir la historia!

Divulgación de intereses adquiridos: este autor es un colaborador independiente que publica a través de nuestro programa de blogs de negocios . HackerNoon ha revisado la calidad del informe, pero las afirmaciones contenidas en el mismo pertenecen al autor. #DYOR.