paint-brush
Spherex đang xử lý các lỗ hổng hợp đồng thông minh như thế nàotừ tác giả@ishanpandey
213 lượt đọc

Spherex đang xử lý các lỗ hổng hợp đồng thông minh như thế nào

từ tác giả Ishan Pandey6m2024/05/16
Read on Terminal Reader

dài quá đọc không nổi

Khám phá sự giao thoa giữa an ninh mạng và Web3 với Eyal Meron trong loạt bài "Những người đổi mới trong Web3" của chúng tôi. Khám phá trải nghiệm của anh ấy với tư cách là CISO và vai trò hiện tại của anh ấy tại Spherex đang định hình các chiến lược bảo mật nâng cao trong lĩnh vực blockchain như thế nào.
featured image - Spherex đang xử lý các lỗ hổng hợp đồng thông minh như thế nào
Ishan Pandey HackerNoon profile picture
0-item

Hãy tham gia cùng chúng tôi khi chúng tôi ngồi lại với Eyal Meron trong loạt bài "Những người đổi mới trong Web3", nơi Eyal chia sẻ hành trình của mình từ một chuyên gia an ninh mạng dày dạn kinh nghiệm trong cộng đồng mạng Israel và cựu CISO của Ngân hàng Leumi đến việc lãnh đạo các tầm nhìn chiến lược tạiSpherex.



Ishan Pandey: Xin chào Eyal, Thật vui khi có bạn ở đây tham gia loạt bài "Những người đổi mới trong Web3" của chúng tôi. Bạn có thể chia sẻ kinh nghiệm của mình với tư cách là người đã dành nhiều năm đảm nhiệm các vai trò quan trọng trong cộng đồng mạng Israel và là CISO của Ngân hàng Leumi đã định hình hành trình và tầm nhìn chiến lược của bạn tại Spherex không?

Eyal Meron: Xin chào Ishan, rất vui được ở đây. Tầm nhìn của tôi đối vớiSpherex bắt nguồn từ nhiều năm giải quyết các thách thức an ninh mạng, cùng với việc duy trì mức độ bảo vệ cần thiết trong lĩnh vực tài chính.


Web3 vẫn là một không gian kỹ thuật số tương đối mới, có khả năng phá vỡ cách thức hoạt động của nền kinh tế toàn cầu. Nó thực sự là một yếu tố cơ bản trong quá trình chuyển đổi kỹ thuật số của nhân loại, nhưng thành phần mạng của nó phải được giải quyết để có thể hiện thực hóa tiềm năng của nó.


Khi chúng ta xem xét tình hình mạng trong Web3, rõ ràng là lớp cơ sở hạ tầng được bảo vệ tốt nhờ các nguyên tắc phân quyền và mật mã. Về mặt ví, người dùng nhận được sự xử lý chất lượng cả trong việc duy trì khóa riêng và xác minh rằng việc sử dụng nó phù hợp với ý định của chủ sở hữu.


Trong khi đó, lớp ứng dụng, các hợp đồng thông minh và các tương tác diễn ra bên trong chúng là một liên kết yếu, là nguồn gốc của nhiều loại hack và lỗ hổng tuân thủ, theo cách cần phải được nâng cấp. Tỷ lệ hiện tại giữa phạm vi hoạt động và phạm vi bị hack không cho phép tạo ra một hệ sinh thái tài chính ổn định.


Các hợp đồng tấn công là nơi ROI dành cho những kẻ tấn công là cao nhất và không phải vô cớ mà họ bị thu hút vào không gian này. Khả năng kiếm tiền nhanh chóng (họ là "một bước từ tiền"), mã được hiển thị cho họ, điều này giúp dễ dàng tìm ra lỗ hổng và các giao dịch cuối cùng là bất biến nên sau một cuộc tấn công nhanh, lợi thế hoàn toàn nghiêng về phía kẻ tấn công. Do đó, tiêu chuẩn bảo mật phải được nâng cấp để không gian Web3 phát huy được tiềm năng của nó và tại Globex, chúng tôi đã coi việc “nâng cấp” này trở thành cốt lõi trong sứ mệnh cũng như thách thức của chúng tôi.


Ishan Pandey: sứ mệnh củaSpherex là giải quyết các lỗ hổng bảo mật lớn trong hợp đồng thông minh. Làm thế nào để bạn biến sứ mệnh này thành một mô hình kinh doanh khả thi cũng thúc đẩy việc áp dụng rộng rãi các dịch vụ của bạn?


Eyal Meron: Đầu tiên, điều quan trọng đối với tôi là phải nhấn mạnh rằng khái niệm cơ bản củaSpherex là Không phân bổ nhiều tài nguyên hơn cho bảo mật mà là phân bổ chính xác.


Ví dụ, nguyên tắc kiểm toán là quan trọng. Mã phải được kiểm tra để giảm thiểu khả năng có lỗi trước khi được triển khai trong sản xuất, nhưng liệu việc lập ngân sách cho hai hoặc ba lần kiểm tra có phải là cách tốt nhất để phân bổ các nguồn lực nói trên không? Có đáng trả tiền cho một dịch vụ phát hiện mối đe dọa khi một hacker chuyên nghiệp có thể dễ dàng vượt qua nó? Và ngay cả khi có cảnh báo thì cùng lắm hợp đồng cũng sẽ bị tạm dừng.


Tại Globex, chúng tôi đã phát triển một giải pháp bảo mật chủ động, được tích hợp trong dự án Web3 và cung cấp cho dự án một lớp vỏ bảo mật và tuân thủ như một phần của các hoạt động đang diễn ra của dự án. Ngay từ đầu đã tránh được thiệt hại và tính liên tục trong kinh doanh của dự án được đảm bảo. Và tất cả điều này xảy ra 24/7 mà không có người đàn ông nào can thiệp.


Ngoài ra, lớp bảo mật của hình cầu hoàn toàn theo mô-đun và lớp bảo mật của dự án có thể được điều chỉnh theo nhu cầu hiện tại trong vòng đời của nó, để bảo mật phát triển và tự điều chỉnh theo nhu cầu (và ngân sách) của nó, đồng thời không bị đóng băng trong khi ở phía bên kia có những tin tặc đầu tư nguồn lực khổng lồ để giành chiến thắng trong cuộc thi học tập.


Ishan Pandey: Với sự phát triển nhanh chóng của tài sản kỹ thuật số và công nghệ chuỗi khối, làm thế nào để Globex luôn dẫn đầu trong việc xác định và chống lại các loại mối đe dọa mạng mới?


Eyal Meron: Một lợi thế lớn cho các nhà cung cấp giải pháp bảo mật trong hệ sinh thái blockchain, đó là dữ liệu được công khai, bao gồm tất cả các cuộc tấn công trong quá khứ. Bất kỳ khả năng nào mà chúng tôi phát triển đều được kiểm tra lại trước tất cả các vụ hack khét tiếng, đồng thời cũng được kiểm tra lại và cải tiến trước mọi vụ hack mới có thể xảy ra. Thông tin này là cách chúng tôi xác minh độ mạnh của phạm vi bảo mật và cách chúng tôi duy trì ưu thế trước tin tặc.

Hơn nữa, nhóm của chúng tôi bao gồm các thành viên diễn đàn gồm các nhà nghiên cứu bảo mật cấp cao, những người tình nguyện phân tích các cuộc tấn công đồng thời hỗ trợ những người bị tấn công giảm thiểu thiệt hại.


Ishan Pandey:Spherex đã giới thiệu 'các biện pháp đối phó bất đối xứng' để chống lại các lỗ hổng hợp đồng thông minh. Bạn có thể giải thích quy trình thực hiện và cách các biện pháp đối phó này tích hợp với các giao thức blockchain hiện có không?

Eyal Meron: Tóm lại, chúng tôi cung cấp hợp đồng thông minh của riêng mình, đóng vai trò là công cụ bảo mật cho các hợp đồng thông minh chức năng. Khi một dự án được xây dựng và sử dụng hợp đồng thông minh để triển khai logic kinh doanh của mình, dự án đó có thể tích hợp hợp đồng bảo vệ mà chúng tôi đã phát triển và nhận được một bộ khả năng cho phép xác minh trong quá trình thực hiện từng giao dịch rằng nó không gây ra thiệt hại hoặc có hành vi sai trái. theo cách khác với những gì đã được thử nghiệm và phê duyệt.


Khả năng tiên tiến nhất mà chúng tôi đã phát triển, hay còn gọi là sản phẩm "hàng đầu" của chúng tôi, là Phòng chống khai thác. Khả năng này ngăn chặn các trường hợp nguy hiểm và đảm bảo rằng bất kỳ ai tìm thấy lỗ hổng, tức là một cách độc hại để sử dụng mã của hợp đồng, sẽ không thể làm như vậy nếu không gửi cuộc tấn công để phê duyệt trước. Và như vậy quyền lực thực sự đã trở lại với chủ sở hữu và người sử dụng hợp pháp của dự án. Họ được bảo vệ vì định nghĩa về những gì được phép và những gì thực sự bắt buộc phải được cho phép dựa trên những gì họ thấy phù hợp để thực hiện trong giao thức nhằm hiện thực hóa mục đích thực sự của nó.


Ishan Pandey: Làm thế nào để Globex cân bằng giữa nhu cầu về các biện pháp bảo mật mạnh mẽ với yêu cầu duy trì hiệu suất cao và chi phí thấp trong các giao dịch blockchain?

Eyal Meron: Ở mức độ thực tế, các khả năng mà chúng tôi đã phát triển dựa trên rất nhiều nghiên cứu nhằm đảm bảo rằng logic được triển khai trên chuỗi có ít tài nguyên tính toán và tăng thêm chi phí tối thiểu, đồng thời độc lập và không yêu cầu đóng vòng lặp với công cụ phân tích chạy ngoài chuỗi. Khả năng trên chuỗi được hỗ trợ bởi các công cụ phân tích và hỗ trợ ngoài chuỗi nhưng chúng không phải là một phần của quá trình bảo mật trên chuỗi đang diễn ra. Đây là cách chúng tôi đạt đến tình huống mức tăng tiêu thụ khí đốt là rất thấp.


Nhưng điều quan trọng hơn trong mắt tôi là, như bạn đã nói, sự cân bằng phù hợp. Và sự cân bằng chính xác, khi nói đến nhu cầu bảo mật và ổn định của các dịch vụ tài chính, là sự cân bằng không cố gắng giảm mức tiêu thụ khí đốt với cái giá phải trả là ảnh hưởng đến an ninh. Sự cân bằng chính xác là sự cân bằng ưu tiên tính bảo mật và ổn định lên trên, sau đó giải quyết việc giảm mức tiêu thụ tài nguyên.


Ishan Pandey: Bạn đã đề cập rằng lỗi của con người là một yếu tố quan trọng gây ra lỗ hổng hợp đồng thông minh. Một số chiến lược hoặc thực tiễn chính màSpherex thúc đẩy để giảm thiểu những rủi ro đó là gì?

Eyal Meron: Về bản chất, điểm mạnh của giải pháp của chúng tôi là nó không yêu cầu phân tích của con người và/hoặc logic dự án. Và điều khiến nó vừa có khả năng mở rộng vừa không bị ảnh hưởng bởi lỗi của con người là sự hiểu biết sâu sắc về cách thức hoạt động của một giao thức - tức là, hình cầu như một giải pháp tự động học từ dữ liệu của giao thức. Bằng cách này, về cơ bản nó vô hiệu hóa sự phụ thuộc vào yếu tố con người, sự phụ thuộc dẫn đến trục trặc cũng như các quy trình tốn kém và kéo dài.


Ishan Pandey: Nhìn về phía trước, bạn nhìn nhận tương lai của an ninh mạng trong môi trường phi tập trung như thế nào? Những thách thức và cơ hội lớn nhất mà bạn thấy trước là gì?

Eyal Meron: Điều quan trọng cần nhắc lại là Web3 vẫn là một hệ sinh thái mới nổi và không ngừng phát triển. Và do đó, cuộc chiến đang diễn ra, hay cuộc cạnh tranh học hỏi giữa những người phòng thủ và những kẻ tấn công, còn lâu mới được quyết định hoặc hiểu rõ. Tôi ước tính rằng việc áp dụng các công nghệ, giống như của chúng tôi, là không thể tránh khỏi và sẽ cho phép một sự thay đổi cơ bản đối với phương trình.


Bảo vệ nhiều lớp, tập trung vào lớp chủ động tận dụng các đặc điểm độc đáo của không gian vì lợi ích của người phòng thủ chứ không phải chống lại anh ta, không chỉ tốt mà còn là một sự bổ sung bắt buộc sẽ mở ra một không gian mới cho những ý tưởng và cơ hội tuyệt vời cho cộng đồng.


Đừng quên like và chia sẻ truyện nhé!

Tiết lộ quyền lợi được đảm bảo: Tác giả này là người đóng góp độc lập xuất bản thông qua chương trình viết blog kinh doanh của chúng tôi. HackerNoon đã xem xét chất lượng của báo cáo nhưng các khiếu nại trong tài liệu này thuộc về tác giả. #DYOR.