paint-brush
Spherex 如何解决智能合约漏洞经过@ishanpandey
213 讀數

Spherex 如何解决智能合约漏洞

经过 Ishan Pandey6m2024/05/16
Read on Terminal Reader

太長; 讀書

在我们的“Web3 创新者”系列中,与 Eyal Meron 一起探索网络安全与 Web3 的交集。了解他担任 CISO 的经历以及他在 Spherex 的当前职位如何塑造区块链领域的高级安全策略。
featured image - Spherex 如何解决智能合约漏洞
Ishan Pandey HackerNoon profile picture
0-item

与我们一起参加与 Eyal Meron 的“Web3 创新者”系列,Eyal 将分享他从以色列网络社区经验丰富的网络安全专家和以色列国民银行前 CISO 到领导 spherex 战略愿景的历程。



Ishan Pandey:你好,Eyal,很高兴你能来参加我们的“Web3 创新者”系列。你曾在以色列网络社区担任多年重要职务,并曾担任以色列国民银行的 CISO,你能分享一下你的经历如何塑造了你在 spherex 的旅程和战略愿景吗?

Eyal Meron:嗨,Ishan,很高兴来到这里。我对 spherex 的愿景源于多年来应对网络安全挑战以及维持金融行业所需的保护水平。


Web3 仍然是一个相对较新的数字空间,有可能颠覆全球经济的运作方式。它实际上是人类数字化转型的一个基本要素,但必须解决其网络组件才能发挥其潜力。


当我们观察 Web3 的网络状况时,可以清楚地看到,由于去中心化和加密技术,基础设施层得到了很好的保护。钱包端的用户在维护私钥和验证其使用是否符合所有者意图方面都得到了优质的待遇。


然而,应用层、智能合约及其内部的交互是一个薄弱环节,是各种黑客攻击和合规漏洞的根源,必须加以升级。目前活动范围和黑客范围之间的比例不足以形成稳定的金融生态系统。


攻击合约是攻击者投资回报率最高的地方,他们被这个领域吸引并非毫无道理。货币化速度很快(他们“离赚钱只有一步之遥”),代码暴露在他们面前,这使得找到漏洞变得容易,而且最终确定的交易是不可变的,因此在快速攻击之后,优势完全在攻击者一边。因此,必须升级安全标准,以便 Web3 空间发挥其潜力,而我们 spherex 将这种“升级”作为我们使命的核心,也是我们的挑战。


Ishan Pandey:spherex 的使命是解决智能合约中的主要安全漏洞。您如何将这一使命转化为可行的商业模式,同时促进您的服务的广泛采用?


Eyal Meron:首先,我要强调的是,spherex 的基本理念是不要为安全分配更多资源,而是正确分配。


例如,审计原则很重要。在将代码部署到生产环境之前,应该对其进行测试以尽量减少代码出现错误的可能性,但预算两到三次审计是分配上述资源的最佳方式吗?当专业黑客可以轻松绕过威胁检测服务时,是否值得为它付费?即使有警报,合同充其量也只是暂停。


我们 spherex 开发了一种主动安全解决方案,它嵌入在 Web3 项目中,并作为项目持续运营的一部分为其提供了安全性和合规性保障。从一开始就避免了损害,并保证了项目的业务连续性。所有这些都是全天候进行的,无需人工干预。


此外,spherex 安全层是完全模块化的,项目的安全外壳可以根据其生命周期中的当前需求进行调整,这样安全性就会不断发展并适应其需求(和预算),而不会在另一边有黑客投入大量资源以赢得学习竞争时冻结。


Ishan Pandey:随着数字资产和区块链技术的快速发展,spherex 如何在识别和应对新型网络威胁方面保持领先地位?


Eyal Meron:区块链生态系统中安全解决方案提供商的一大优势是数据是公开的,包括所有过去的攻击。我们开发的任何功能都会针对所有臭名昭著的黑客进行回溯测试,并针对可能发生的任何新黑客进行重新测试和改进。这些信息是我们验证安全覆盖强度的方式,也是我们在对抗黑客方面保持优势的方式。

此外,我们的团队还包括高级安全研究人员的论坛成员,他们自愿分析攻击,同时协助遭受攻击者减轻损失。


Ishan Pandey:spherex 引入了“非对称对策”来对抗智能合约漏洞。您能解释一下实施过程以及这些对策如何与现有的区块链协议集成吗?

Eyal Meron:简而言之,我们提供自己的智能合约,作为功能性智能合约的安全引擎。当一个项目建成并使用智能合约实现其业务逻辑时,它可以集成我们开发的保护合约,并获得一组功能,允许在每次交易执行过程中进行验证,以确保它不会造成损害或以偏离已测试和批准的方式行事。


我们开发的最先进的功能,或者说我们的“旗舰”产品,是漏洞预防。此功能可防止极端情况,并确保任何发现漏洞(即恶意使用合约代码的方式)的人,在未首先发送攻击以供批准的情况下,将无法这样做。因此,权力实际上回到了项目的所有者和合法用户手中。他们受到保护,因为允许什么和真正需要允许什么的定义取决于他们认为在协议中适合做什么,以实现其真正目的。


Ishan Pandey:Spherex 如何在强大的安全措施需求与维持区块链交易的高性能、低开销之间取得平衡?

Eyal Meron:从实践层面来看,我们开发的功能依赖于大量研究,旨在确保链上实现的逻辑占用的计算资源较少,并尽量减少开销,同时保持独立,不需要使用链下运行的分析工具来闭环。链上功能由链下支持和分析工具支持,但它们不是持续链上安全流程的一部分。这就是我们达到 gas 消耗量增长非常低的情况的原因。


但在我看来,正如你所说,更重要的是正确的平衡。当涉及到金融服务的安全性和稳定性需求时,正确的平衡是不会以牺牲安全性为代价来降低 gas 消耗。正确的平衡是将安全性和稳定性放在首位,然后再考虑减少资源消耗。


Ishan Pandey:您曾提到,人为错误是智能合约漏洞的一个重要因素。Spherex 推行了哪些关键策略或做法来降低此类风险?

Eyal Meron:从本质上讲,我们的解决方案的优势在于它不需要人工分析和/或项目逻辑。而使它既可扩展又不受人为错误影响的原因是深入了解协议应该如何工作 - 即 spherex 作为解决方案会自动从协议数据中自我学习。通过这种方式,它基本上消除了对人为因素的依赖,这种依赖会导致故障以及昂贵而漫长的流程。


Ishan Pandey:展望未来,您如何看待去中心化环境中网络安全的未来?您预见的最大挑战和机遇是什么?

Eyal Meron:必须重申的是,Web3 仍然是一个新兴且不断发展的生态系统。因此,正在进行的战斗或防御者和攻击者之间的学习竞争还远未决定或被理解。我估计,采用像我们这样的技术是不可避免的,并将从根本上改变这个等式。


多层保护,强调主动层,利用空间的独特特性使防御者受益而不是伤害他,这不仅是好事,而且是必不可少的补充,它将为社区的登月想法和机会开辟一个新的空间。


别忘了点赞并分享这个故事!

既得利益披露:本文作者是一位独立撰稿人,通过我们的商业博客计划发表文章。HackerNoon 已审查了报告的质量,但本文的主张属于作者。#DYOR。