paint-brush
Comment Spherex s'attaque aux vulnérabilités des contrats intelligentspar@ishanpandey
314 lectures
314 lectures

Comment Spherex s'attaque aux vulnérabilités des contrats intelligents

par Ishan Pandey6m2024/05/16
Read on Terminal Reader

Trop long; Pour lire

Explorez l'intersection de la cybersécurité et du Web3 avec Eyal Meron dans notre série « Innovateurs du Web3 ». Découvrez comment ses expériences en tant que RSSI et son rôle actuel chez Spherex façonnent des stratégies de sécurité avancées dans le domaine de la blockchain.
featured image - Comment Spherex s'attaque aux vulnérabilités des contrats intelligents
Ishan Pandey HackerNoon profile picture
0-item

Rejoignez-nous pour rencontrer Eyal Meron pour notre série « Innovateurs dans le Web3 », où Eyal partage son parcours d'expert chevronné en cybersécurité dans la cybercommunauté israélienne et ancien RSSI de la Banque Leumi jusqu'à diriger les visions stratégiques de Spherex.



Ishan Pandey : Bonjour Eyal, c'est formidable de vous avoir ici pour notre série "Innovateurs dans le Web3". Pouvez-vous partager comment votre expérience en tant que personne ayant passé de nombreuses années à occuper des postes clés dans la cybercommunauté israélienne et en tant que RSSI de la Banque Leumi a façonné votre parcours et votre vision stratégique chez Spherex ?

Eyal Meron : Salut Ishan, heureux d'être ici. Ma vision de Spherex découle de nombreuses années passées à relever les défis de la cybersécurité, tout en maintenant un niveau de protection requis dans le secteur financier.


Le Web3 est encore un espace numérique relativement nouveau, susceptible de bouleverser le fonctionnement de l’économie mondiale. Il s’agit en réalité d’un élément fondamental de la transformation numérique de l’humanité, mais sa composante cyber doit être résolue afin de permettre la réalisation de son potentiel.


Quand on regarde la situation cyber au sein du Web3, il est clair que la couche infrastructure est bien protégée grâce aux principes de décentralisation et de cryptographie. Les utilisateurs, côté portefeuille, bénéficient d'un traitement de qualité tant dans la conservation de la clé privée que dans la vérification que son utilisation correspond à l'intention du propriétaire.


Alors que la couche applicative, les contrats intelligents et les interactions qui s’y déroulent, constituent un maillon faible qui est source de divers types de piratages et de lacunes de conformité, qui doivent être améliorés. Le rapport actuel entre le périmètre d’activité et le périmètre des hacks ne permet pas un écosystème financier stable.


Les contrats d'attaque sont ceux où le retour sur investissement pour les attaquants est le plus élevé et ce n'est pas pour rien qu'ils sont attirés par l'espace. La monétisation est rapide (ils sont "à un pas de l'argent"), le code leur est exposé, ce qui facilite la recherche de vulnérabilités, et les transactions finalisées sont immuables, de sorte qu'après une attaque rapide, l'avantage est entièrement du côté de l'attaquant. Par conséquent, la norme de sécurité doit être mise à niveau pour que l’espace Web3 réalise son potentiel, et chez Spherex, nous avons fait de cette « mise à niveau » le cœur de notre mission, ainsi que notre défi.


Ishan Pandey : la mission de spherex est de remédier aux principales vulnérabilités de sécurité des contrats intelligents. Comment traduire cette mission en un modèle économique viable qui favorise également l’adoption généralisée de vos services ?


Eyal Meron : Premièrement, il est important pour moi de souligner que le concept sous-jacent de Spherex est de ne pas allouer plus de ressources à la sécurité, mais plutôt de les allouer correctement.


Le principe d’un audit, par exemple, est important. Le code doit être testé pour minimiser les risques de bogues avant d'être déployé en production, mais budgétiser deux ou trois audits est-il la meilleure façon d'allouer ces ressources ? Vaut-il la peine de payer pour un service de détection des menaces alors qu’un pirate informatique professionnel peut facilement le contourner ? Et même en cas d’alerte, au mieux le contrat sera suspendu.


Chez Sphèrex, nous avons développé une solution de sécurité proactive, intégrée au projet Web3 et lui donnant une enveloppe de sécurité et de conformité dans le cadre des opérations en cours du projet. Les dommages sont évités dès le départ et la continuité des activités du projet est garantie. Et tout cela se produit 24 heures sur 24, 7 jours sur 7, sans personne au courant.


De plus, la couche de sécurité de Spherex est entièrement modulaire, et l'enveloppe de sécurité d'un projet peut être adaptée à ses besoins actuels dans son cycle de vie, afin que la sécurité évolue et s'adapte à ses besoins (et à son budget), et ne se fige pas pendant son cycle de vie. de l’autre côté, il y a les hackers qui investissent d’énormes ressources pour remporter le concours d’apprentissage.


Ishan Pandey : Avec l'évolution rapide des actifs numériques et de la technologie blockchain, comment Spherex reste-t-il en avance dans l'identification et la lutte contre les nouveaux types de cybermenaces ?


Eyal Meron : Un gros avantage pour les fournisseurs de solutions de sécurité dans l’écosystème blockchain est le fait que les données sont publiques, y compris toutes les attaques passées. Toutes les fonctionnalités que nous développons sont testées contre tous les piratages notoires, puis testées à nouveau et améliorées contre tout nouveau piratage susceptible de se produire. Ces informations nous permettent de vérifier la solidité de la couverture de sécurité et de garder le dessus contre les pirates informatiques.

De plus, notre équipe comprend des membres du forum composés de chercheurs chevronnés en sécurité qui se portent volontaires pour analyser les attaques tout en aidant ceux qui ont été attaqués à atténuer les dégâts.


Ishan Pandey : Spherex a introduit des « contre-mesures asymétriques » pour lutter contre les vulnérabilités des contrats intelligents. Pourriez-vous expliquer le processus de mise en œuvre et comment ces contre-mesures s'intègrent aux protocoles blockchain existants ?

Eyal Meron : En un mot, nous proposons notre propre contrat intelligent qui sert de moteur de sécurité pour les contrats intelligents fonctionnels. Lorsqu'un projet est construit et utilise des contrats intelligents pour mettre en œuvre sa logique métier, il peut intégrer le contrat de protection que nous avons développé et obtenir un ensemble de fonctionnalités qui permettent de vérifier pendant le processus d'exécution de chaque transaction qu'il ne cause pas de dommages ou ne se comporte pas d'une manière qui s'écarte de ce qui a été testé et approuvé.


La fonctionnalité la plus avancée que nous avons développée, ou notre produit « phare », est la prévention des exploits. Cette capacité évite les cas extrêmes et garantit que quiconque a trouvé une vulnérabilité, c'est-à-dire une manière malveillante d'utiliser le code du contrat, ne pourra pas le faire sans envoyer au préalable l'attaque pour approbation. Le pouvoir revient donc aux propriétaires et aux utilisateurs légitimes du projet. Ils sont protégés parce que la définition de ce qui est autorisé et de ce qui doit réellement être autorisé dépend de ce qu’ils jugent approprié de faire dans le protocole afin d’atteindre son véritable objectif.


Ishan Pandey : Comment Spherex équilibre-t-il le besoin de mesures de sécurité robustes avec l'impératif de maintenir des performances élevées et de faibles frais généraux dans les transactions blockchain ?

Eyal Meron : Sur le plan pratique, les capacités que nous avons développées reposent sur de nombreuses recherches visant à garantir que la logique mise en œuvre en chaîne est faible en ressources de calcul et ajoute des frais généraux minimes, tout en étant indépendante et ne nécessitant pas de boucler la boucle avec des outils d'analyse qui fonctionnent hors chaîne. La capacité en chaîne est soutenue par des outils de support et d'analyse hors chaîne, mais ils ne font pas partie du processus de sécurité continue en chaîne. C’est ainsi que nous sommes arrivés à une situation où l’augmentation de la consommation de gaz est très faible.


Mais le plus important à mes yeux, c'est, comme vous l'avez dit, le juste équilibre. Et un juste équilibre, lorsqu’il s’agit des besoins de sécurité et de stabilité des services financiers, est celui qui ne cherche pas à réduire la consommation de gaz au prix de compromettre la sécurité. Un équilibre correct consiste à donner la priorité à la sécurité et à la stabilité, puis à réduire la consommation de ressources.


Ishan Pandey : Vous avez mentionné que l'erreur humaine est un facteur important de vulnérabilités des contrats intelligents. Quelles sont les stratégies ou pratiques clés que sphèrex promeut pour atténuer ces risques ?

Eyal Meron : La force de notre solution, essentiellement, c'est qu'elle ne nécessite pas d'analyse humaine et/ou de logique de projet. Et ce qui le rend à la fois évolutif et insensible aux erreurs humaines, c'est la compréhension approfondie de la façon dont un protocole est censé fonctionner - c'est-à-dire que Spherex, en tant que solution, apprend automatiquement à partir des données du protocole. De cette manière, il neutralise fondamentalement la dépendance au facteur humain, dépendance qui conduit à la fois à des dysfonctionnements et à des processus longs et coûteux.


Ishan Pandey : Pour l’avenir, comment percevez-vous l’avenir de la cybersécurité dans les environnements décentralisés ? Quels sont les plus grands défis et opportunités que vous prévoyez ?

Eyal Meron : Il est important de réitérer que le Web3 est encore un écosystème émergent et en constante évolution. La bataille en cours, ou la compétition d’apprentissage entre défenseurs et attaquants, est donc loin d’être décidée ou comprise. J’estime que l’adoption de technologies, comme la nôtre, est inévitable et permettra un changement fondamental dans l’équation.


Une protection multicouche, mettant l'accent sur une couche proactive qui utilise les caractéristiques uniques de l'espace au profit du défenseur et non contre lui, n'est pas seulement agréable à avoir mais un ajout impératif qui ouvrira un nouvel espace. pour des idées et des opportunités lunaires pour la communauté.


N'oubliez pas d'aimer et de partager l'histoire !

Divulgation des intérêts acquis : cet auteur est un contributeur indépendant qui publie via notre programme de blogs d'affaires . HackerNoon a examiné la qualité du rapport, mais les affirmations contenues dans le présent document appartiennent à l'auteur. #DYOR.