paint-brush
Как Spherex устраняет уязвимости смарт-контрактовк@ishanpandey
309 чтения
309 чтения

Как Spherex устраняет уязвимости смарт-контрактов

к Ishan Pandey6m2024/05/16
Read on Terminal Reader

Слишком долго; Читать

Изучите пересечение кибербезопасности и Web3 вместе с Эялем Мероном в нашей серии «Новаторы в Web3». Узнайте, как его опыт работы в качестве директора по информационной безопасности и его нынешняя роль в Spherex формируют передовые стратегии безопасности в сфере блокчейна.
featured image - Как Spherex устраняет уязвимости смарт-контрактов
Ishan Pandey HackerNoon profile picture
0-item

Присоединяйтесь к нам, когда мы встретимся с Эялем Мероном в нашей серии «Новаторы в Web3», где Эяль расскажет о своем пути от опытного эксперта по кибербезопасности в израильском киберсообществе и бывшего директора по информационной безопасности банка Leumi до руководителя стратегического видения в сферекс.



Ишан Пандей: Привет, Эяль! Очень приятно, что ты здесь, на нашей серии «Новаторы в Web3». Можете ли вы рассказать, как ваш опыт человека, который много лет занимал ключевые должности в израильском киберсообществе, а также директора по информационной безопасности банка Leumi, повлиял на ваш путь и стратегическое видение в сферес?

Эяль Мерон: Привет, Ишан, рад быть здесь. Мое видение сферыкса основано на многолетнем решении проблем кибербезопасности, а также поддержании уровня защиты, необходимого в финансовом секторе.


Web3 по-прежнему остается относительно новым цифровым пространством, которое потенциально может изменить работу мировой экономики. На самом деле это фундаментальный элемент цифровой трансформации человечества, но его киберкомпонент необходимо решить, чтобы обеспечить реализацию его потенциала.


Когда мы смотрим на киберситуацию в Web3, становится ясно, что уровень инфраструктуры хорошо защищен благодаря принципам децентрализации и криптографии. Пользователи кошелька получают качественную обработку как при сохранении закрытого ключа, так и при проверке того, что его использование соответствует намерениям владельца.


Принимая во внимание, что уровень приложений, смарт-контракты и взаимодействия, которые происходят внутри них, являются слабым звеном, которое является источником различных типов хаков и пробелов в соблюдении требований, и его необходимо модернизировать. Текущее соотношение масштабов деятельности и масштабов взломов не позволяет создать стабильную финансовую экосистему.


Атакующие контракты — это то место, где рентабельность инвестиций для атакующих самая высокая, и не зря их привлекает пространство. Монетизация происходит быстро (они «в шаге от денег»), код открыт для них, что позволяет легко находить уязвимости, а финализированные транзакции неизменяемы, так что после быстрой атаки преимущество полностью на стороне нападавший. Следовательно, стандарт безопасности должен быть обновлен, чтобы пространство Web3 могло реализовать свой потенциал, и мы в сферекс сделали это «обновление» основой нашей миссии, а также нашей задачей.


Ишан Пандей: Миссия сферекса — устранить основные уязвимости безопасности в смарт-контрактах. Как вы воплотите эту миссию в жизнеспособную бизнес-модель, которая также будет способствовать широкому распространению ваших услуг?


Эяль Мерон: Во-первых, мне важно подчеркнуть, что основная концепция сферыкса заключается в том, чтобы не выделять больше ресурсов для безопасности, а распределять их правильно.


Например, важен принцип аудита. Код следует тестировать, чтобы свести к минимуму вероятность наличия ошибок перед его внедрением в производство, но является ли планирование двух или трех аудитов лучшим способом распределения указанных ресурсов? Стоит ли платить за услугу обнаружения угроз, если профессиональный хакер может легко ее обойти? И даже когда будет предупреждение, в лучшем случае контракт будет поставлен на паузу.


Мы вSpherex разработали решение проактивной безопасности, которое встроено в проект Web3 и обеспечивает ему защиту и соответствие требованиям в рамках текущих операций проекта. Ущерб исключается с самого начала и гарантируется непрерывность бизнеса проекта. И все это происходит круглосуточно и без посторонней помощи.


Кроме того, уровень безопасности сферекса является полностью модульным, и оболочка безопасности проекта может быть адаптирована к его текущим потребностям в его жизненном цикле, так что безопасность развивается и адаптируется к его потребностям (и бюджету), а не замирает, пока с другой стороны, есть хакеры, которые вкладывают огромные ресурсы, чтобы выиграть соревнование по обучению.


Ишан Панди: Благодаря быстрому развитию цифровых активов и технологии блокчейна, как сферекс остается впереди в выявлении и противодействии новым типам киберугроз?


Эял Мерон: Большим преимуществом для поставщиков решений безопасности в экосистеме блокчейна является тот факт, что данные являются общедоступными, включая все прошлые атаки. Любая возможность, которую мы разрабатываем, тестируется на предмет всех печально известных хаков, а также повторно тестируется и улучшается на предмет любого нового взлома, который может произойти в перспективе. С помощью этой информации мы проверяем надежность системы безопасности и сохраняем преимущество над хакерами.

Кроме того, в нашу команду входят участники форума, состоящие из старших исследователей в области безопасности, которые добровольно анализируют атаки и помогают тем, кто подвергся нападению, смягчить ущерб.


Ишан Пандей: сфера ввела «асимметричные контрмеры» для борьбы с уязвимостями смарт-контрактов. Не могли бы вы объяснить процесс реализации и то, как эти контрмеры интегрируются с существующими протоколами блокчейна?

Эяль Мерон: Короче говоря, мы предлагаем наш собственный смарт-контракт, который служит механизмом безопасности для функциональных смарт-контрактов. Когда проект создан и использует смарт-контракты для реализации своей бизнес-логики, он может интегрировать разработанный нами контракт защиты и получить набор возможностей, позволяющих проверять в процессе выполнения каждой транзакции, что он не причиняет ущерба и не ведет себя некорректно. способом, который отличается от того, что было протестировано и одобрено.


Самая передовая функция, которую мы разработали, или наш «флагманский» продукт — это предотвращение эксплойтов. Эта способность предотвращает крайние случаи и гарантирует, что тот, кто обнаружил уязвимость, то есть вредоносный способ использования кода контракта, не сможет сделать это без предварительной отправки атаки на одобрение. И вот власть фактически возвращается к владельцам и законным пользователям проекта. Они защищены, поскольку определение того, что разрешено и что действительно необходимо разрешить, зависит от того, что они считают нужным делать в протоколе, чтобы реализовать его истинную цель.


Ишан Пандей: Как сферекс совмещает необходимость надежных мер безопасности с необходимостью поддержания высокой производительности и низких накладных расходов в транзакциях блокчейна?

Эяль Мерон: На практическом уровне возможности, которые мы разработали, основаны на большом количестве исследований, направленных на то, чтобы логика, реализованная в цепочке, требовала мало вычислительных ресурсов и добавляла минимальные накладные расходы, будучи при этом независимой и не требующей замыкания цикла с помощью инструменты аналитики, работающие вне сети. Возможности ончейна подкреплены инструментами поддержки и анализа вне цепочки, но они не являются частью процесса постоянной безопасности в цепочке. Таким образом мы дошли до ситуации, когда прирост потребления газа очень низкий.


Но самое важное, на мой взгляд, это, как вы сказали, правильный баланс. И правильный баланс, когда речь идет о потребностях безопасности и стабильности финансовых услуг, – это тот, который не пытается снизить потребление газа за счет ущерба для безопасности. Правильный баланс — это тот, в котором приоритетом являются безопасность и стабильность, а затем сокращение потребления ресурсов.


Ишан Пандей: Вы упомянули, что человеческая ошибка является важным фактором уязвимостей смарт-контрактов. Каковы некоторые ключевые стратегии или методы, которые Spherex продвигает для снижения таких рисков?

Эял Мерон: Сила нашего решения, по сути, в том, что оно не требует человеческого анализа и/или логики проекта. И что делает его одновременно масштабируемым и невосприимчивым к человеческим ошибкам, так это глубокое понимание того, как протокол должен работать - т.е. сферекс как решение автоматически обучается на основе данных протокола. Таким образом, в основном нейтрализуется зависимость от человеческого фактора, которая приводит как к сбоям, так и к дорогостоящим и длительным процессам.


Ишан Пандей: Заглядывая в будущее, как вы воспринимаете будущее кибербезопасности в децентрализованных средах? Какие самые большие проблемы и возможности вы предвидите?

Эяль Мерон: Важно еще раз подчеркнуть, что Web3 по-прежнему является развивающейся и постоянно развивающейся экосистемой. И поэтому продолжающаяся битва или соревнование в обучении между защитниками и нападающими еще далеки от решения и понимания. Я считаю, что внедрение таких технологий, как наша, неизбежно и позволит фундаментально изменить уравнение.


Многоуровневая защита с акцентом на упреждающий уровень, который использует уникальные характеристики пространства на благо защитника, а не против него, не просто приятно иметь, но и является обязательным дополнением, которое откроет новое пространство. за лунные идеи и возможности для сообщества.


Не забудьте поставить лайк и поделиться историей!

Раскрытие информации о корыстных интересах: Этот автор является независимым участником, публикующим материалы через нашу программу бизнес-блогов . HackerNoon проверил качество отчета, но претензии принадлежат автору. #ДИОР.