paint-brush
Spherex がスマート コントラクトの脆弱性にどのように取り組んでいるか@ishanpandey
314 測定値
314 測定値

Spherex がスマート コントラクトの脆弱性にどのように取り組んでいるか

Ishan Pandey6m2024/05/16
Read on Terminal Reader

長すぎる; 読むには

「Web3 のイノベーター」シリーズでは、Eyal Meron 氏とともにサイバーセキュリティと Web3 の交差点を探ります。CISO としての彼の経験と Spherex での現在の役割が、ブロックチェーン分野で高度なセキュリティ戦略をどのように形作っているかをご覧ください。
featured image - Spherex がスマート コントラクトの脆弱性にどのように取り組んでいるか
Ishan Pandey HackerNoon profile picture
0-item

「Web3 のイノベーター」シリーズでは、Eyal Meron 氏と対談します。イスラエルのサイバー コミュニティにおける熟練したサイバー セキュリティの専門家であり、Bank Leumi の元 CISO から、spherex で戦略的ビジョンを主導するまでの経緯を Eyal 氏が語ります。



Ishan Pandey: こんにちは、Eyal。私たちの「Web3 のイノベーター」シリーズにお越しいただき、ありがとうございます。イスラエルのサイバー コミュニティで長年重要な役割を担い、Bank Leumi の CISO として働いた経験が、spherex でのあなたの歩みと戦略的ビジョンにどのように影響したか、お話しいただけますか。

Eyal Meron:こんにちは、Ishan。来られて嬉しいです。spherex に対する私のビジョンは、金融セクターで求められるレベルの保護を維持しながら、サイバー セキュリティの課題に長年取り組んできた経験から生まれたものです。


Web3 はまだ比較的新しいデジタル空間であり、世界経済の仕組みを混乱させる可能性があります。これは実際には人類のデジタル変革における基本的な要素ですが、その可能性を実現するにはサイバー要素を解決する必要があります。


Web3 内のサイバー状況を見ると、分散化と暗号化の原則により、インフラストラクチャ層が十分に保護されていることは明らかです。ウォレット側のユーザーは、秘密鍵の維持と、その使用が所有者の意図と一致しているかどうかの確認の両方において、質の高い扱いを受けます。


一方、アプリケーション層、スマート コントラクト、およびその中で行われるやり取りは、さまざまな種類のハッキングやコンプライアンス ギャップの原因となる弱いリンクであり、アップグレードする必要があります。現在の活動範囲とハッキング範囲の比率では、安定した金融エコシステムを実現できません。


契約への攻撃は、攻撃者にとって ROI が最も高い分野であり、攻撃者がこの分野に惹かれるのも無理はありません。収益化が速く (攻撃者は「金儲けの一歩手前」にいる)、コードが公開されているため脆弱性を見つけやすく、確定したトランザクションは変更できないため、素早い攻撃の後は完全に攻撃者の側が有利になります。したがって、Web3 の分野がその可能性を実現するには、セキュリティ標準をアップグレードする必要があり、spherex ではこの「アップグレード」を私たちのミッションの中核に据え、課題にもしました。


Ishan Pandey: spherex の使命は、スマート コントラクトの主要なセキュリティ脆弱性に対処することです。この使命を、サービスの広範な採用を促進する実行可能なビジネス モデルにどのように変換しますか?


Eyal Meron: まず、spherex の基本的な概念は、セキュリティのためにリソースをさらに割り当てるのではなく、正しく割り当てることだということを強調することが重要です。


たとえば、監査の原則は重要です。コードは、本番環境に展開する前にテストしてバグの可能性を最小限に抑える必要がありますが、2 回または 3 回の監査を予算に組み込むことが、リソースを割り当てる最善の方法でしょうか。プロのハッカーが簡単に回避できる脅威検出サービスに料金を支払う価値はあるでしょうか。アラートがあっても、せいぜい契約が一時停止されるだけです。


spherex では、Web3 プロジェクトに組み込まれ、プロジェクトの継続的な運用の一環としてセキュリティとコンプライアンスのエンベロープを提供するプロアクティブなセキュリティ ソリューションを開発しました。被害は最初から回避され、プロジェクトのビジネス継続性が保証されます。そして、これらすべてが 24 時間 365 日、人手を介さずに実行されます。


また、spherex セキュリティ レイヤーは完全にモジュール化されており、プロジェクトのセキュリティ エンベロープはライフサイクル内で現在のニーズに合わせて調整できるため、セキュリティは進化し、ニーズ (および予算) に合わせて調整され、学習競争に勝つために膨大なリソースを投資するハッカーがいる一方で、セキュリティがフリーズすることはありません。


Ishan Pandey: デジタル資産とブロックチェーン技術が急速に進化する中、spherex はどのようにして新しいタイプのサイバー脅威を特定し、それに対抗する上で先頭に立っているのでしょうか?


Eyal Meron:ブロックチェーン エコシステムにおけるセキュリティ ソリューション プロバイダーにとっての大きな利点は、過去の攻撃すべてを含むデータが公開されているということです。当社が開発する機能は、悪名高いハッキングすべてに対してバックテストされ、また、将来発生する可能性のある新しいハッキングに対しても再テストされ、改善されています。この情報によって、当社はセキュリティ カバレッジの強度を検証し、ハッカーに対して優位性を維持しています。

さらに、私たちのチームには、攻撃の分析をボランティアで行うと同時に、攻撃を受けた人が被害を軽減できるよう支援する上級セキュリティ研究者のフォーラム メンバーも含まれています。


Ishan Pandey: spherex はスマート コントラクトの脆弱性に対抗するために「非対称対策」を導入しました。実装プロセスと、これらの対策が既存のブロックチェーン プロトコルとどのように統合されるかについて説明していただけますか?

Eyal Meron:簡単に言うと、私たちは機能的なスマート コントラクトのセキュリティ エンジンとして機能する独自のスマート コントラクトを提供しています。プロジェクトが構築され、スマート コントラクトを使用してビジネス ロジックを実装すると、私たちが開発した保護コントラクトを統合して、各トランザクションの実行プロセス中に、損害が発生しないか、テストおよび承認された内容から逸脱した動作をしていないかを検証できる一連の機能を取得できます。


当社が開発した最も高度な機能、つまり「主力」製品は、エクスプロイト防止機能です。この機能は、エッジケースを防ぎ、脆弱性、つまり契約のコードを悪用する悪質な方法を発見した者が、まず攻撃を承認のために送信しない限り、それを実行できないようにします。そのため、権限は実際にはプロジェクトの所有者と正当なユーザーに戻ります。許可される内容と実際に許可する必要がある内容の定義は、プロトコルの真の目的を実現するためにプロトコルで何をするのが適切かによって決まるため、彼らは保護されます。


Ishan Pandey: spherex は、堅牢なセキュリティ対策の必要性と、ブロックチェーン トランザクションにおける高パフォーマンスと低オーバーヘッドの維持の必要性とをどのようにバランスさせているのでしょうか。

Eyal Meron:実用レベルでは、私たちが開発した機能は、オンチェーンで実装されたロジックの計算リソースが少なく、オーバーヘッドが最小限で、独立していて、オフチェーンで実行される分析ツールでループを閉じる必要がないことを確認するための多くの研究に依存しています。オンチェーン機能は、オフチェーンのサポートと分析ツールによってサポートされていますが、進行中のオンチェーンセキュリティのプロセスの一部ではありません。これにより、ガス消費量の増加が非常に低い状況に到達しました。


しかし、私が思うに、より重要なのは、おっしゃるとおり、適切なバランスです。金融サービスのセキュリティと安定性のニーズに関して言えば、適切なバランスとは、セキュリティを犠牲にしてガス消費量を減らそうとすることではありません。適切なバランスとは、セキュリティと安定性を最優先し、次にリソース消費量の削減に取り組むことです。


Ishan Pandey: スマート コントラクトの脆弱性の大きな要因として人為的ミスが挙げられていました。そうしたリスクを軽減するために spherex が推進している重要な戦略や実践方法にはどのようなものがありますか?

Eyal Meron:本質的に、当社のソリューションの強みは、人間による分析やプロジェクト ロジックを必要としないことです。また、スケーラブルで人為的エラーの影響を受けないのは、プロトコルがどのように機能するかを深く理解しているためです。つまり、spherex というソリューションは、プロトコルのデータから自動的に自己学習します。このようにして、基本的に人的要因への依存を中和します。人的要因への依存は、誤動作や高価で時間のかかるプロセスの両方につながります。


Ishan Pandey: 今後、分散型環境におけるサイバーセキュリティの将来をどのようにお考えですか? 予測される最大の課題と機会は何ですか?

Eyal Meron: Web3 は依然として新興の、進化し続けるエコシステムであることを改めて強調しておくことが重要です。したがって、防御側と攻撃側の間で進行中の戦い、つまり学習競争は、決着がつかず、理解もされていません。私たちのような技術の採用は避けられず、方程式に根本的な変化をもたらすだろうと私は考えています。


空間の固有の特性を防御側にとって不利ではなく有利になるように利用する積極的なレイヤーに重点を置いた多層防御は、単にあれば便利なだけでなく、コミュニティにとって画期的なアイデアや機会のための新しい空間を切り開く必須の追加機能です。


ストーリーを「いいね!」してシェアするのを忘れないでください!

既得権益開示:この著者は、当社のビジネス ブログ プログラムを通じて記事を投稿している独立した寄稿者です。HackerNoon はレポートの品質をレビューしましたが、ここでの主張は著者に帰属します。#DYOR。