paint-brush
Como a Spherex está lidando com vulnerabilidades de contratos inteligentespor@ishanpandey
213 leituras

Como a Spherex está lidando com vulnerabilidades de contratos inteligentes

por Ishan Pandey6m2024/05/16
Read on Terminal Reader

Muito longo; Para ler

Explore a interseção da segurança cibernética e da Web3 com Eyal Meron em nossa série "Inovadores na Web3". Descubra como suas experiências como CISO e sua função atual na Spherex estão moldando estratégias avançadas de segurança na esfera blockchain.
featured image - Como a Spherex está lidando com vulnerabilidades de contratos inteligentes
Ishan Pandey HackerNoon profile picture
0-item

Junte-se a nós enquanto conversamos com Eyal Meron para nossa série "Inovadores na Web3", onde Eyal compartilha sua jornada de especialista experiente em segurança cibernética na comunidade cibernética israelense e ex-CISO do Bank Leumi até visões estratégicas líderes na esfera.



Ishan Pandey: Olá Eyal, é ótimo ter você aqui para nossa série "Inovadores na Web3". Você pode compartilhar como sua experiência como alguém que passou muitos anos em funções importantes na comunidade cibernética israelense e como CISO do Banco Leumi moldou sua jornada e visão estratégica na esfera?

Eyal Meron: Olá Ishan, feliz por estar aqui. A minha visão para a esfera provém de muitos anos de enfrentamento de desafios de segurança cibernética, juntamente com a manutenção de um nível de proteção exigido no setor financeiro.


A Web3 ainda é um espaço digital relativamente novo, que tem o potencial de perturbar a forma como a economia global funciona. Na verdade, é um elemento fundamental na transformação digital da humanidade, mas a sua componente cibernética deve ser resolvida para permitir a realização do seu potencial.


Quando olhamos para a situação cibernética na Web3, fica claro que a camada de infraestrutura está bem protegida graças aos princípios de descentralização e criptografia. Os utilizadores, do lado da carteira, recebem um tratamento de qualidade tanto na manutenção da chave privada como na verificação de que a sua utilização corresponde à intenção do proprietário.


Considerando que a camada de aplicação, os contratos inteligentes e as interações que ocorrem dentro deles, são um elo fraco que é fonte de vários tipos de hacks e lacunas de conformidade, de uma forma que deve ser atualizada. A relação atual entre o âmbito da atividade e o âmbito dos hacks não permite um ecossistema financeiro estável.


Os contratos de ataque são onde o ROI para os atacantes é mais alto e não é à toa que eles são atraídos para o espaço. A monetização é rápida (estão "a um passo do dinheiro"), o código fica exposto a eles, o que facilita a localização de vulnerabilidades, e as transações finalizadas são imutáveis para que após um ataque rápido a vantagem fique totalmente do lado de o atacante. Portanto, o padrão de segurança deve ser atualizado para que o espaço da Web3 realize seu potencial, e nós da Spherex fizemos dessa “atualização” o núcleo da nossa missão, bem como o nosso desafio.


Ishan Pandey: A missão da esfera é resolver as principais vulnerabilidades de segurança em contratos inteligentes. Como traduzir esta missão num modelo de negócio viável que também promova a adopção generalizada dos seus serviços?


Eyal Meron: Em primeiro lugar, é importante enfatizar que o conceito subjacente da esfera é não alocar mais recursos para segurança, mas sim alocá-los corretamente.


O princípio de uma auditoria, por exemplo, é importante. O código deve ser testado para minimizar a chance de apresentar bugs antes de ser implantado na produção, mas será que orçar duas ou três auditorias é a melhor maneira de alocar esses recursos? Vale a pena pagar por um serviço de detecção de ameaças quando um hacker profissional pode facilmente contorná-lo? E mesmo quando houver alerta, na melhor das hipóteses o contrato será pausado.


Nós da esferax desenvolvemos uma solução de segurança proativa, que está incorporada ao projeto Web3 e fornece um envelope de segurança e conformidade como parte das operações contínuas do projeto. Os danos são evitados desde o início e a continuidade dos negócios do projeto é garantida. E tudo isso acontece 24 horas por dia, 7 dias por semana, sem um homem por perto.


Além disso, a camada de segurança SphereX é completamente modular, e o envelope de segurança de um projeto pode ser adaptado às suas necessidades atuais no seu ciclo de vida, para que a segurança evolua e se adapte às suas necessidades (e orçamento), e não congele enquanto do outro lado estão os hackers que investem enormes recursos para vencer a competição de aprendizagem.


Ishan Pandey: Com a rápida evolução dos ativos digitais e da tecnologia blockchain, como a esfera se mantém à frente na identificação e no combate a novos tipos de ameaças cibernéticas?


Eyal Meron: Uma grande vantagem para os provedores de soluções de segurança no ecossistema blockchain é o fato de os dados serem públicos, incluindo todos os ataques anteriores. Qualquer capacidade que desenvolvemos é testada novamente contra todos os hacks infames e também testada novamente e melhorada contra qualquer novo hack que possa ocorrer prospectivamente. Essas informações são a forma como verificamos a força da cobertura de segurança e como mantemos a vantagem contra hackers.

Além disso, nossa equipe inclui membros do fórum formados por pesquisadores seniores de segurança que se voluntariam para analisar ataques e, ao mesmo tempo, ajudar aqueles que foram atacados a mitigar os danos.


Ishan Pandey: a esferax introduziu 'contramedidas assimétricas' para combater vulnerabilidades de contratos inteligentes. Você poderia explicar o processo de implementação e como essas contramedidas se integram aos protocolos blockchain existentes?

Eyal Meron: Resumindo, oferecemos nosso próprio contrato inteligente que serve como mecanismo de segurança para contratos inteligentes funcionais. Quando um projeto é construído, e utiliza contratos inteligentes para implementar sua lógica de negócio, ele pode integrar o contrato de proteção que desenvolvemos, e obter um conjunto de capacidades que permitem verificar durante o processo de execução de cada transação se ela não causa danos ou se comporta de uma forma que se desvia do que foi testado e aprovado.


A capacidade mais avançada que desenvolvemos, ou nosso produto “carro-chefe”, é a Prevenção de Exploração. Essa capacidade evita casos extremos e garante que quem encontrou uma vulnerabilidade, ou seja, uma forma maliciosa de utilizar o código do contrato, não conseguirá fazê-lo sem antes enviar o ataque para aprovação. E assim o poder realmente retorna aos proprietários e usuários legítimos do projeto. Eles são protegidos porque a definição do que é permitido e do que realmente é necessário que seja permitido depende do que eles consideram adequado fazer no protocolo para realizar seu verdadeiro propósito.


Ishan Pandey: Como a esfera equilibra a necessidade de medidas de segurança robustas com a necessidade de manter alto desempenho e baixa sobrecarga nas transações blockchain?

Eyal Meron: Em um nível prático, os recursos que desenvolvemos dependem de muitas pesquisas destinadas a garantir que a lógica implementada na cadeia tenha poucos recursos computacionais e adicione sobrecargas mínimas, ao mesmo tempo que é independente e não requer o fechamento do ciclo com ferramentas analíticas que funcionam fora da cadeia. A capacidade on-chain é apoiada por ferramentas de suporte e análise off-chain, mas elas não fazem parte do processo contínuo de segurança on-chain. Foi assim que chegamos a uma situação em que o aumento do consumo de gás é muito baixo.


Mas o mais importante a meu ver é, como você disse, o equilíbrio certo. E um equilíbrio correcto, quando se trata das necessidades de segurança e estabilidade dos serviços financeiros, é aquele que não tenta reduzir o consumo de gás à custa de comprometer a segurança. Um equilíbrio correto é aquele que prioriza a segurança e a estabilidade acima e depois trata da redução do consumo de recursos.


Ishan Pandey: Você mencionou que o erro humano é um fator significativo nas vulnerabilidades dos contratos inteligentes. Quais são algumas das principais estratégias ou práticas que a esfera promove para mitigar esses riscos?

Eyal Meron: O ponto forte da nossa solução, em essência, é que ela não requer análise humana e/ou lógica de projeto. E o que o torna escalonável e imune a erros humanos é a compreensão profunda de como um protocolo deve funcionar - ou seja, ospherex como solução aprende automaticamente a partir dos dados do protocolo. Desta forma, neutraliza basicamente a dependência do fator humano, dependência que leva tanto a disfunções como a processos dispendiosos e longos.


Ishan Pandey: Olhando para o futuro, como você vê o futuro da segurança cibernética em ambientes descentralizados? Quais são os maiores desafios e oportunidades que você prevê?

Eyal Meron: É importante reiterar que a Web3 ainda é um ecossistema emergente e em constante evolução. E, portanto, a batalha em curso, ou a competição de aprendizagem entre os defensores e os atacantes, está longe de ser decidida ou compreendida. Estimo que a adoção de tecnologias, como a nossa, é inevitável e permitirá uma mudança fundamental na equação.


A proteção multicamadas, com ênfase numa camada proativa que faz uso das características únicas do espaço em benefício do defensor e não contra ele, não é apenas agradável de ter, mas também uma adição imperativa que abrirá um novo espaço para ideias lunares e oportunidades para a comunidade.


Não esqueça de curtir e compartilhar a história!

Divulgação de interesse adquirido: Este autor é um colaborador independente que publica por meio de nosso programa de blogs de negócios . HackerNoon revisou a qualidade do relatório, mas as reivindicações aqui contidas pertencem ao autor. #DYOR.