paint-brush
स्फेरेक्स स्मार्ट कॉन्ट्रैक्ट की कमजोरियों से कैसे निपट रहा हैद्वारा@ishanpandey
314 रीडिंग
314 रीडिंग

स्फेरेक्स स्मार्ट कॉन्ट्रैक्ट की कमजोरियों से कैसे निपट रहा है

द्वारा Ishan Pandey6m2024/05/16
Read on Terminal Reader

बहुत लंबा; पढ़ने के लिए

हमारी "इनोवेटर्स इन वेब3" श्रृंखला में ईयाल मेरोन के साथ साइबर सुरक्षा और वेब3 के अंतर्संबंध का अन्वेषण करें। जानें कि CISO के रूप में उनके अनुभव और स्फीरेक्स में उनकी वर्तमान भूमिका ब्लॉकचेन क्षेत्र में उन्नत सुरक्षा रणनीतियों को कैसे आकार दे रही है।
featured image - स्फेरेक्स स्मार्ट कॉन्ट्रैक्ट की कमजोरियों से कैसे निपट रहा है
Ishan Pandey HackerNoon profile picture
0-item

हमारे साथ जुड़ें जब हम "वेब3 में इनोवेटर्स" श्रृंखला के लिए इयाल मेरोन के साथ बैठते हैं, जहां इयाल इजरायली साइबर समुदाय में एक अनुभवी साइबर सुरक्षा विशेषज्ञ और बैंक लेउमी के पूर्व सीआईएसओ से लेकर स्फीयरएक्स में रणनीतिक दृष्टिकोण का नेतृत्व करने तक की अपनी यात्रा साझा करते हैं।



इशान पांडे: हाय इयाल, हमारी "इनोवेटर्स इन वेब3" श्रृंखला के लिए आपको यहाँ पाकर बहुत अच्छा लगा। क्या आप साझा कर सकते हैं कि इज़राइली साइबर समुदाय में महत्वपूर्ण भूमिकाओं में कई साल बिताने वाले और बैंक लेउमी के सीआईएसओ के रूप में आपके अनुभव ने स्फीयरएक्स में आपकी यात्रा और रणनीतिक दृष्टि को कैसे आकार दिया?

ईयाल मेरोन: हाय इशान, यहाँ आकर खुशी हुई। स्फीयरएक्स के लिए मेरा दृष्टिकोण साइबर सुरक्षा चुनौतियों से निपटने के कई वर्षों के अनुभव से उपजा है, साथ ही वित्तीय क्षेत्र में आवश्यक सुरक्षा के स्तर को बनाए रखना भी है।


वेब3 अभी भी एक अपेक्षाकृत नया डिजिटल स्पेस है, जिसमें वैश्विक अर्थव्यवस्था के काम करने के तरीके को बाधित करने की क्षमता है। यह वास्तव में मानवता के डिजिटल परिवर्तन में एक मौलिक तत्व है, लेकिन इसकी क्षमता को साकार करने के लिए इसके साइबर घटक को हल किया जाना चाहिए।


जब हम वेब3 के भीतर साइबर स्थिति को देखते हैं, तो यह स्पष्ट है कि विकेंद्रीकरण और क्रिप्टोग्राफी के सिद्धांतों की बदौलत बुनियादी ढांचे की परत अच्छी तरह से सुरक्षित है। वॉलेट की तरफ, उपयोगकर्ताओं को निजी कुंजी को बनाए रखने और यह सत्यापित करने में गुणवत्तापूर्ण उपचार मिलता है कि इसका उपयोग मालिक के इरादे से मेल खाता है।


जबकि, एप्लीकेशन लेयर, स्मार्ट कॉन्ट्रैक्ट और उनके भीतर होने वाली बातचीत एक कमज़ोर कड़ी है जो विभिन्न प्रकार के हैक और अनुपालन अंतराल का स्रोत है, जिसे अपग्रेड किया जाना चाहिए। गतिविधि के दायरे और हैक के दायरे के बीच मौजूदा अनुपात एक स्थिर वित्तीय पारिस्थितिकी तंत्र की अनुमति नहीं देता है।


अनुबंधों पर हमला करना वह जगह है जहाँ हमलावरों के लिए ROI सबसे अधिक है और यह कुछ भी नहीं है कि वे इस क्षेत्र की ओर आकर्षित होते हैं। मुद्रीकरण तेज़ है (वे "पैसे से एक कदम दूर हैं"), कोड उनके सामने उजागर होता है, जिससे कमजोरियों को ढूंढना आसान हो जाता है, और अंतिम लेनदेन अपरिवर्तनीय होते हैं ताकि एक त्वरित हमले के बाद लाभ पूरी तरह से हमलावर के पक्ष में हो। इसलिए, Web3 के क्षेत्र को अपनी क्षमता का एहसास कराने के लिए सुरक्षा मानक को अपग्रेड किया जाना चाहिए, और हमने spherex में इस "अपग्रेड" को अपने मिशन के साथ-साथ अपनी चुनौती का मूल बनाया।


इशान पांडे: स्फीयरएक्स का मिशन स्मार्ट कॉन्ट्रैक्ट्स में प्रमुख सुरक्षा कमजोरियों को दूर करना है। आप इस मिशन को एक व्यवहार्य व्यवसाय मॉडल में कैसे बदलेंगे जो आपकी सेवाओं को व्यापक रूप से अपनाने को भी बढ़ावा देता है?


इयाल मेरोन: सबसे पहले, मेरे लिए इस बात पर जोर देना महत्वपूर्ण है कि स्फीयरएक्स की अंतर्निहित अवधारणा सुरक्षा के लिए अधिक संसाधन आवंटित करना नहीं है, बल्कि सही ढंग से आवंटित करना है।


उदाहरण के लिए, ऑडिट का सिद्धांत महत्वपूर्ण है। कोड को उत्पादन में तैनात करने से पहले उसमें बग होने की संभावना को कम करने के लिए उसका परीक्षण किया जाना चाहिए, लेकिन क्या दो या तीन ऑडिट का बजट बनाना संसाधनों को आवंटित करने का सबसे अच्छा तरीका है? क्या किसी खतरे का पता लगाने वाली सेवा के लिए भुगतान करना उचित है, जब एक पेशेवर हैकर आसानी से इसे बायपास कर सकता है? और यहां तक कि जब कोई अलर्ट होता है, तो सबसे अच्छा यह होगा कि अनुबंध को रोक दिया जाए।


हमने spherex में एक सक्रिय सुरक्षा समाधान विकसित किया है, जो Web3 प्रोजेक्ट के भीतर अंतर्निहित है और इसे प्रोजेक्ट के चल रहे संचालन के हिस्से के रूप में सुरक्षा और अनुपालन लिफ़ाफ़ा देता है। शुरू में नुकसान से बचा जाता है, और प्रोजेक्ट की व्यावसायिक निरंतरता की गारंटी होती है। और यह सब 24/7 बिना किसी व्यक्ति की मदद के होता है।


इसके अलावा, spherex सुरक्षा परत पूरी तरह से मॉड्यूलर है, और किसी परियोजना के सुरक्षा लिफाफे को उसके जीवन चक्र में उसकी वर्तमान जरूरतों के अनुकूल बनाया जा सकता है, ताकि सुरक्षा विकसित हो और उसकी जरूरतों (और बजट) के अनुसार खुद को ढाल ले, और स्थिर न हो जाए, जबकि दूसरी तरफ ऐसे हैकर्स हैं जो सीखने की प्रतियोगिता जीतने के लिए भारी संसाधनों का निवेश करते हैं।


ईशान पांडे: डिजिटल परिसंपत्तियों और ब्लॉकचेन प्रौद्योगिकी के तेजी से विकास के साथ, नए प्रकार के साइबर खतरों की पहचान करने और उनका मुकाबला करने में स्फीयरएक्स कैसे आगे रहता है?


ईयाल मेरोन: ब्लॉकचेन इकोसिस्टम में सुरक्षा समाधान प्रदाताओं के लिए एक बड़ा लाभ यह है कि डेटा सार्वजनिक है, जिसमें सभी पिछले हमले शामिल हैं। हम जो भी क्षमता विकसित करते हैं, उसका सभी कुख्यात हैक के खिलाफ परीक्षण किया जाता है और संभावित रूप से होने वाले किसी भी नए हैक के खिलाफ फिर से परीक्षण और सुधार किया जाता है। यह जानकारी है कि हम सुरक्षा कवरेज की ताकत को कैसे सत्यापित करते हैं, और हम हैकर्स के खिलाफ ऊपरी हाथ कैसे बनाए रखते हैं।

इसके अलावा, हमारी टीम में वरिष्ठ सुरक्षा शोधकर्ताओं के फोरम सदस्य शामिल हैं जो हमलों का विश्लेषण करने के लिए स्वेच्छा से आगे आते हैं तथा हमले के शिकार लोगों को नुकसान कम करने में सहायता करते हैं।


इशान पांडे: स्मार्ट कॉन्ट्रैक्ट की कमज़ोरियों से निपटने के लिए spherex ने 'असममित प्रतिवाद' पेश किया है। क्या आप कार्यान्वयन प्रक्रिया और ये प्रतिवाद मौजूदा ब्लॉकचेन प्रोटोकॉल के साथ कैसे एकीकृत होते हैं, इसकी व्याख्या कर सकते हैं?

ईयाल मेरोन: संक्षेप में, हम अपना खुद का स्मार्ट अनुबंध प्रदान करते हैं जो कार्यात्मक स्मार्ट अनुबंधों के लिए सुरक्षा इंजन के रूप में कार्य करता है। जब कोई प्रोजेक्ट बनाया जाता है, और अपने व्यावसायिक तर्क को लागू करने के लिए स्मार्ट अनुबंधों का उपयोग करता है, तो यह हमारे द्वारा विकसित सुरक्षा अनुबंध को एकीकृत कर सकता है, और क्षमताओं का एक सेट प्राप्त कर सकता है जो प्रत्येक लेनदेन की निष्पादन प्रक्रिया के दौरान सत्यापन की अनुमति देता है कि यह नुकसान नहीं पहुंचाता है या इस तरह से व्यवहार नहीं करता है जो परीक्षण और अनुमोदित से अलग है।


हमने जो सबसे उन्नत क्षमता विकसित की है, या हमारा "फ्लैगशिप" उत्पाद, शोषण रोकथाम है। यह क्षमता एज केस को रोकती है और यह सुनिश्चित करती है कि जो कोई भी भेद्यता पाता है, यानी अनुबंध के कोड का उपयोग करने का दुर्भावनापूर्ण तरीका, वह पहले हमले को मंजूरी के लिए भेजे बिना ऐसा करने में सक्षम नहीं होगा। और इसलिए शक्ति वास्तव में परियोजना के मालिकों और वैध उपयोगकर्ताओं के पास वापस आ जाती है। वे सुरक्षित हैं क्योंकि क्या अनुमति है और वास्तव में क्या अनुमति दी जानी चाहिए, इसकी परिभाषा इस बात पर निर्भर करती है कि वे प्रोटोकॉल में क्या करना उचित समझते हैं ताकि इसका वास्तविक उद्देश्य पूरा हो सके।


ईशान पांडे: स्फीयरएक्स ब्लॉकचेन लेनदेन में उच्च प्रदर्शन और कम ओवरहेड बनाए रखने की अनिवार्यता के साथ मजबूत सुरक्षा उपायों की आवश्यकता को कैसे संतुलित करता है?

ईयाल मेरोन: व्यावहारिक स्तर पर, हमने जो क्षमताएँ विकसित की हैं, वे बहुत सारे शोध पर निर्भर करती हैं, जिसका उद्देश्य यह सुनिश्चित करना है कि ऑन-चेन लागू किए गए तर्क में कम्प्यूटेशनल संसाधन कम हों और न्यूनतम ओवरहेड्स हों, जबकि यह स्वतंत्र हो और ऑफ-चेन चलाने वाले एनालिटिक्स टूल के साथ लूप को बंद करने की आवश्यकता न हो। ऑन-चेन क्षमता ऑफ-चेन समर्थन और विश्लेषण टूल द्वारा समर्थित है, लेकिन वे चल रही ऑन-चेन सुरक्षा की प्रक्रिया का हिस्सा नहीं हैं। इस तरह हम ऐसी स्थिति में पहुँचे जहाँ गैस की खपत में वृद्धि बहुत कम है।


लेकिन मेरी नज़र में ज़्यादा महत्वपूर्ण बात है, जैसा कि आपने कहा, सही संतुलन। और जब वित्तीय सेवाओं की सुरक्षा और स्थिरता की ज़रूरतों की बात आती है, तो सही संतुलन वह होता है जो सुरक्षा से समझौता करके गैस की खपत को कम करने की कोशिश नहीं करता। सही संतुलन वह होता है जो सुरक्षा और स्थिरता को प्राथमिकता देता है, फिर संसाधन की खपत को कम करने से निपटता है।


इशान पांडे: आपने बताया कि स्मार्ट कॉन्ट्रैक्ट की कमज़ोरियों में मानवीय त्रुटि एक महत्वपूर्ण कारक है। ऐसे जोखिमों को कम करने के लिए spherex द्वारा अपनाई जाने वाली कुछ प्रमुख रणनीतियाँ या अभ्यास क्या हैं?

ईयाल मेरोन: हमारे समाधान की ताकत, संक्षेप में, यह है कि इसके लिए मानवीय विश्लेषण और/या परियोजना तर्क की आवश्यकता नहीं है। और जो चीज इसे स्केलेबल और मानवीय त्रुटि से मुक्त बनाती है, वह है प्रोटोकॉल के काम करने के तरीके की गहन समझ - यानी एक समाधान के रूप में spherex प्रोटोकॉल के डेटा से अपने आप सीखता है। इस तरह, यह मूल रूप से मानवीय कारक पर निर्भरता को बेअसर करता है, एक ऐसी निर्भरता जो खराबी और महंगी और लंबी प्रक्रियाओं दोनों को जन्म देती है।


इशान पांडे: भविष्य को देखते हुए, आप विकेंद्रीकृत वातावरण में साइबर सुरक्षा के भविष्य को कैसे देखते हैं? आपको सबसे बड़ी चुनौतियाँ और अवसर क्या नज़र आते हैं?

इयाल मेरोन: यह दोहराना महत्वपूर्ण है कि वेब3 अभी भी एक उभरता हुआ और निरंतर विकसित होने वाला पारिस्थितिकी तंत्र है। और इसलिए चल रही लड़ाई, या रक्षकों और हमलावरों के बीच सीखने की प्रतिस्पर्धा, तय या समझ से बहुत दूर है। मेरा अनुमान है कि हमारी जैसी तकनीकों को अपनाना अपरिहार्य है और इससे समीकरण में मौलिक बदलाव आएगा।


बहुस्तरीय सुरक्षा, जिसमें सक्रिय परत पर जोर दिया जाता है, जो स्थान की अनूठी विशेषताओं का उपयोग रक्षक के लाभ के लिए करती है, न कि उसके विरुद्ध, न केवल अच्छा है, बल्कि एक अनिवार्य अतिरिक्त है जो समुदाय के लिए नए विचारों और अवसरों के लिए एक नया स्थान खोलेगा।


कहानी को लाइक और शेयर करना न भूलें!

निहित स्वार्थ प्रकटीकरण: यह लेखक हमारे व्यापार ब्लॉगिंग कार्यक्रम के माध्यम से प्रकाशित होने वाला एक स्वतंत्र योगदानकर्ता है। HackerNoon ने गुणवत्ता के लिए रिपोर्ट की समीक्षा की है, लेकिन यहाँ दावे लेखक के हैं। #DYOR.