paint-brush
Spherex Akıllı Sözleşme Güvenlik Açıklarıyla Nasıl Mücadele Ediyor?ile@ishanpandey
213 okumalar

Spherex Akıllı Sözleşme Güvenlik Açıklarıyla Nasıl Mücadele Ediyor?

ile Ishan Pandey6m2024/05/16
Read on Terminal Reader

Çok uzun; Okumak

"Web3'ün Yenilikçileri" serimizde siber güvenlik ve Web3'ün kesişimini Eyal Meron ile keşfedin. CISO olarak deneyimlerinin ve Spherex'teki mevcut rolünün blockchain alanında gelişmiş güvenlik stratejilerini nasıl şekillendirdiğini keşfedin.
featured image - Spherex Akıllı Sözleşme Güvenlik Açıklarıyla Nasıl Mücadele Ediyor?
Ishan Pandey HackerNoon profile picture
0-item

Eyal'in, İsrail siber topluluğunda tecrübeli bir siber güvenlik uzmanı ve Bank Leumi'nin eski CISO'sundan, kürex'te stratejik vizyonlara öncülük etmeye uzanan yolculuğunu paylaştığı "Web3'teki Yenilikçiler" serimiz için Eyal Meron'la birlikte otururken bize katılın.



Ishan Pandey: Merhaba Eyal, "Web3'te Yenilikçiler" serimiz için sizi burada görmek harika. İsrail siber topluluğunda uzun yıllar kilit rollerde çalışmış biri olarak ve Bank Leumi'nin CISO'su olarak, Spherex'teki yolculuğunuzu ve stratejik vizyonunuzu nasıl şekillendirdiğini deneyimlerinizi paylaşabilir misiniz?

Eyal Meron: Merhaba İşhan, burada olmaktan mutluyum. Spherex'e yönelik vizyonum, finans sektöründe gerekli olan koruma düzeyinin korunmasının yanı sıra siber güvenlik sorunlarıyla uzun yıllar boyunca mücadele etmemden kaynaklanıyor.


Web3 hâlâ küresel ekonominin işleyiş şeklini bozma potansiyeline sahip nispeten yeni bir dijital alandır. Aslında insanlığın dijital dönüşümünde temel bir unsur ama potansiyelinin hayata geçebilmesi için siber bileşeninin çözülmesi gerekiyor.


Web3 içerisindeki siber duruma bakıldığında, merkeziyetsizlik ve kriptografi ilkeleri sayesinde altyapı katmanının iyi korunduğu görülmektedir. Cüzdan tarafında kullanıcılar, hem özel anahtarın korunmasında hem de kullanımının sahibinin niyetine uygun olduğunun doğrulanmasında kaliteli muamele görürler.


Oysa uygulama katmanı, akıllı sözleşmeler ve bunların içinde gerçekleşen etkileşimler, çeşitli hack türlerinin ve uyumluluk boşluklarının kaynağı olan ve yükseltilmesi gereken zayıf bir halkadır. Faaliyet kapsamı ile hack kapsamı arasındaki mevcut oran, istikrarlı bir finansal ekosisteme izin vermiyor.


Saldırı sözleşmeleri, saldırganlar için ROI'nin en yüksek olduğu yerdir ve bu alana ilgi duymaları boşuna değildir. Para kazanma hızlıdır ("paradan bir adım uzaktadırlar"), kod bunlara maruz kalır, bu da güvenlik açıklarının bulunmasını kolaylaştırır ve sonuçlanan işlemler değişmezdir, böylece hızlı bir saldırının ardından avantaj tamamen sizden yana olur. saldırgan. Bu nedenle, Web3 alanının potansiyelini gerçekleştirmesi için güvenlik standardının yükseltilmesi gerekiyor ve biz, Spherex olarak bu "yükseltmeyi" misyonumuzun ve mücadelemizin özü haline getirdik.


Ishan Pandey: Spherex'in misyonu akıllı sözleşmelerdeki büyük güvenlik açıklarını ele almaktır. Bu misyonu, hizmetlerinizin yaygın olarak benimsenmesini de teşvik eden uygulanabilir bir iş modeline nasıl dönüştürürsünüz?


Eyal Meron: Öncelikle, Spherex'in temelindeki konseptin güvenlik için daha fazla kaynak tahsis etmek değil, doğru şekilde tahsis etmek olduğunu vurgulamak benim için önemli.


Örneğin denetimin ilkesi önemlidir. Kod, üretimde dağıtılmadan önce hata içerme olasılığını en aza indirmek için test edilmelidir, ancak söz konusu kaynakları tahsis etmenin en iyi yolu iki veya üç denetime bütçe ayırmak mıdır? Profesyonel bir bilgisayar korsanının kolayca atlatabileceği bir tehdit tespit hizmetine para ödemeye değer mi? Ve bir uyarı olsa bile, en iyi ihtimalle sözleşme duraklatılacaktır.


Biz, Spherex olarak, Web3 projesine gömülü olan ve projenin devam eden operasyonlarının bir parçası olarak ona bir güvenlik ve uyumluluk zarfı sağlayan proaktif bir güvenlik çözümü geliştirdik. Başlangıçta hasarların önüne geçilir ve projenin iş sürekliliği garanti altına alınır. Ve tüm bunlar 7/24, ortada bir adam olmadan oluyor.


Ayrıca, Spherex güvenlik katmanı tamamen modülerdir ve bir projenin güvenlik zarfı, yaşam döngüsündeki mevcut ihtiyaçlara uyarlanabilir, böylece güvenlik gelişir ve kendisini ihtiyaçlarına (ve bütçesine) uyarlar ve proje süresince donmaz. diğer tarafta öğrenme rekabetini kazanmak için muazzam kaynaklara yatırım yapan bilgisayar korsanları var.


Ishan Pandey: Dijital varlıkların ve blockchain teknolojisinin hızla gelişmesiyle birlikte, Spherex yeni türdeki siber tehditleri tespit etme ve bunlara karşı koyma konusunda nasıl önde gidiyor?


Eyal Meron: Blockchain ekosistemindeki güvenlik çözümü sağlayıcıları için büyük bir avantaj, geçmiş tüm saldırılar da dahil olmak üzere verilerin herkese açık olmasıdır. Geliştirdiğimiz her türlü yetenek, tüm kötü şöhretli saldırılara karşı tekrar teste tabi tutulur ve aynı zamanda ileride meydana gelebilecek tüm yeni saldırılara karşı da yeniden test edilir ve iyileştirilir. Bu bilgi, güvenlik kapsamının gücünü nasıl doğruladığımızı ve bilgisayar korsanlarına karşı üstünlüğü nasıl koruduğumuzu gösterir.

Ayrıca ekibimizde, saldırıya uğrayanlara hasarı azaltmak için yardım ederken saldırıları analiz etmeye gönüllü olan kıdemli güvenlik araştırmacılarının forum üyeleri de bulunmaktadır.


Ishan Pandey: Spherex, akıllı sözleşme güvenlik açıklarıyla mücadele etmek için 'asimetrik karşı önlemler' uygulamaya koydu. Uygulama sürecini ve bu karşı önlemlerin mevcut blockchain protokolleriyle nasıl entegre olduğunu açıklayabilir misiniz?

Eyal Meron: Özetle, işlevsel akıllı sözleşmeler için güvenlik motoru görevi gören kendi akıllı sözleşmemizi sunuyoruz. Bir proje oluşturulduğunda ve iş mantığını uygulamak için akıllı sözleşmeler kullandığında, geliştirdiğimiz koruma sözleşmesini entegre edebilir ve her işlemin yürütme sürecinde hasara yol açmadığını veya davranışa neden olmadığını doğrulamaya olanak tanıyan bir dizi yetenek elde edebilir. test edilmiş ve onaylanmış olandan farklı bir şekilde.


Geliştirdiğimiz en gelişmiş yetenek veya "amiral gemisi" ürünümüz, Açıklardan Yararlanmayı Önleme'dir. Bu yetenek uç durumları önler ve bir güvenlik açığı bulan kişinin, yani sözleşme kodunu kullanmanın kötü niyetli bir yolunu bulan kişinin, önce saldırıyı onaya göndermeden bunu yapamayacağını garanti eder. Ve böylece güç aslında projenin sahiplerine ve meşru kullanıcılarına geri dönüyor. Neye izin verildiğinin ve neye izin verilmesi gerektiğinin tanımı, protokolün gerçek amacını gerçekleştirmek için protokolde yapmayı uygun gördükleri şeye dayandığı için korunmaktadırlar.


Ishan Pandey: Spherex, blockchain işlemlerinde yüksek performansı ve düşük yükü koruma zorunluluğu ile sağlam güvenlik önlemlerine olan ihtiyacı nasıl dengeliyor?

Eyal Meron: Pratik düzeyde, geliştirdiğimiz yetenekler, zincir üzerinde uygulanan mantığın hesaplama kaynaklarının düşük olmasını ve minimum düzeyde genel gider eklemesini, aynı zamanda bağımsız olmasını ve döngüyü kapatmayı gerektirmemesini sağlamayı amaçlayan çok sayıda araştırmaya dayanıyor. Zincir dışında çalışan analiz araçları. Zincir içi yetenek, zincir dışı destek ve analiz araçlarıyla desteklenir ancak bunlar, devam eden zincir içi güvenlik sürecinin bir parçası değildir. Böylece gaz tüketimindeki artışın çok düşük olduğu bir duruma ulaştık.


Ama benim gözümde daha önemli olan sizin de söylediğiniz gibi doğru dengedir. Finansal hizmetlerin güvenlik ve istikrar ihtiyaçları söz konusu olduğunda doğru bir denge, güvenlikten ödün verme pahasına gaz tüketimini azaltmaya çalışmayan bir dengedir. Doğru bir denge, önce güvenlik ve istikrara öncelik veren, ardından kaynak tüketimini azaltmayla ilgilenen dengedir.


Ishan Pandey: Akıllı sözleşmelerdeki güvenlik açıklarında insan hatasının önemli bir faktör olduğundan bahsettiniz. Spherex'in bu tür riskleri azaltmak için desteklediği bazı temel stratejiler veya uygulamalar nelerdir?

Eyal Meron: Çözümümüzün güçlü yanı, özünde, insan analizi ve/veya proje mantığı gerektirmemesidir. Onu hem ölçeklenebilir hem de insan hatasına karşı bağışık kılan şey, bir protokolün nasıl çalışması gerektiğinin derinlemesine anlaşılmasıdır - yani, protokolün verilerinden otomatik olarak kendi kendine öğrenen bir çözüm olarak Spherex. Bu sayede hem arızalara hem de pahalı ve uzun süreçlere yol açan insan faktörüne olan bağımlılığı temel olarak etkisiz hale getirir.


Ishan Pandey: İleriye baktığımızda, merkezi olmayan ortamlarda siber güvenliğin geleceğini nasıl algılıyorsunuz? Öngördüğünüz en büyük zorluklar ve fırsatlar nelerdir?

Eyal Meron: Web3'ün hâlâ gelişmekte olan ve sürekli gelişen bir ekosistem olduğunu yinelemek önemli. Ve bu nedenle, savunanlar ve saldıranlar arasında devam eden savaş veya öğrenme rekabeti karara bağlanmaktan veya anlaşılmaktan çok uzaktır. Bizimki gibi teknolojilerin benimsenmesinin kaçınılmaz olduğunu ve denklemde köklü bir değişikliğe olanak sağlayacağını tahmin ediyorum.


Alanın benzersiz özelliklerinden savunmacıya karşı değil, onun yararına yararlanan proaktif bir katmana vurgu yapan çok katmanlı koruma, yalnızca sahip olunması hoş değil, aynı zamanda yeni bir alan açacak zorunlu bir eklentidir. Ay ışığına çıkan fikirler ve topluluk için fırsatlar için.


Hikayeyi beğenip paylaşmayı unutmayın!

Kazanılmış Menfaat Açıklaması: Bu yazar, ticari blog programımız aracılığıyla yayın yapan bağımsız bir katkıda bulunan kişidir. HackerNoon raporu kalite açısından inceledi ancak buradaki iddialar yazara aittir. #DYOR.