Τα πρωτόκολλα πρέπει να αναπτύξουν «ασύμμετρα αντίμετρα» για την αντιμετώπιση ευπάθειας κώδικα που εκμεταλλεύεται χάκερ — Διευθύνων Σύμβουλος της Spherex

  • Updated

Τα πρωτόκολλα πρέπει να αναπτύξουν «ασύμμετρα αντίμετρα» για την αντιμετώπιση ευπάθειας κώδικα που εκμεταλλεύεται χάκερ — Διευθύνων Σύμβουλος της Spherex

You are currently viewing Τα πρωτόκολλα πρέπει να αναπτύξουν «ασύμμετρα αντίμετρα» για την αντιμετώπιση ευπάθειας κώδικα που εκμεταλλεύεται χάκερ — Διευθύνων Σύμβουλος της Spherex

Ενώ τόσο οι επιτιθέμενοι όσο και οι ελεγκτές έξυπνων συμβολαίων έχουν κίνητρο να βρουν τρωτά σημεία στον κώδικα, σύμφωνα με τον Eyal Meron, τον συνιδρυτή και διευθύνοντα σύμβουλο της Spherex, ο πρώτος “είναι πάντα πιο κίνητρος καθώς αυξάνεται η συνολική αξία του πρωτοκόλλου (TVL)”. Για να ξεπεραστεί αυτή η πρόκληση, ο Meron είπε στο Bitcoin.com News ότι τα αποκεντρωμένα πρωτόκολλα θα πρέπει να θέσουν σε εφαρμογή αυτό που ονόμασε «ασύμμετρα αντίμετρα».

Ανθρώπινο σφάλμα και ευπάθειες έξυπνων συμβολαίων

ο Σφαίρα Το αφεντικό πρότεινε επίσης την ανάπτυξη μιας λύσης πρόληψης εκμετάλλευσης ως άλλος τρόπος με τον οποίο τα πρωτόκολλα μπορούν να αποτρέψουν τους εισβολείς από τη χρήση σφαλμάτων στον κώδικα για την κλοπή ψηφιακών περιουσιακών στοιχείων αξίας εκατομμυρίων. Ο Meron, ένας ανώτερος βετεράνος της ελίτ Ισραηλινής μονάδας 8200 στον κυβερνοχώρο, παραδέχεται ωστόσο ότι οι περισσότερες ευπάθειες των έξυπνων συμβολαίων είναι συχνά το αποτέλεσμα ανθρώπινου λάθους που σε πολλές περιπτώσεις είναι «αναπόφευκτο».

Ένα κοινό σφάλμα, το οποίο σύμφωνα με τον Meron είναι σχεδόν αδύνατο να εντοπιστεί, συμβαίνει συχνά όταν οι προγραμματιστές «παραβλέπουν πώς κάθε γραμμή κώδικα επηρεάζει το συμβόλαιο ανάλογα με τις διαφορετικές καταστάσεις στις οποίες μπορεί να βρίσκεται». Αυτά τα λάθη συχνά εκμεταλλεύονται οι εγκληματίες προτού συλλάβουν με επιτυχία ψηφιακά στοιχεία αξίας εκατομμυρίων δολαρίων. Πολλοί παίκτες στον χώρο του Web3, συμπεριλαμβανομένου του Meron, επιμένουν ότι όταν οι χρήστες χάνουν χρήματα μέσω τέτοιων περιστατικών, υποφέρει ολόκληρη η βιομηχανία.

Εν τω μεταξύ, στις γραπτές απαντήσεις του στο Bitcoin.com News, ο επικεφαλής προϊόντων της Spherex, Ariel Tempelhof, αναφέρθηκε στο πώς η συνεργασία μεταξύ blockchains και παρόχων ασφάλειας onchain μπορεί να βοηθήσει να αντιστραφεί το ρεύμα ενάντια σε εκμεταλλευτές κώδικα και άλλους εγκληματίες στον κυβερνοχώρο. Προσέφερε επίσης τις σκέψεις του σχετικά με τον ισχυρισμό ορισμένων κριτικών ότι μια λύση πρόληψης εκμετάλλευσης μπορεί τελικά να χρησιμοποιηθεί ως εργαλείο λογοκρισίας.

Παρακάτω είναι και τα δύο Ναι υπάρχει και Άριελ ΤέμπελχοφΟι απαντήσεις του σε όλες τις ερωτήσεις που τους αποστέλλονται μέσω Telegram.

Bitcoin.com News (BCN): Οι ευπάθειες των έξυπνων συμβολαίων προκαλούνται συχνά από ανθρώπινα λάθη. Ποια είναι μερικά από τα κοινά λάθη που κάνουν οι προγραμματιστές και δίνουν στους χάκερ την ευκαιρία να αναζητήσουν και να εκμεταλλευτούν τις αδυναμίες στα έξυπνα συμβόλαια;

Eyal Meron (EM): Υπάρχουν πολλά κοινά λάθη που, κατά τα μάτια μας, πηγάζουν από το γεγονός ότι ένα αναπτυγμένο έξυπνο συμβόλαιο είναι ένα μηχάνημα κατάστασης που αναπτύσσεται εκθετικά με τη βάση του κώδικα και τον όγκο συναλλαγών. Εξαιτίας αυτού, τα ανθρώπινα λάθη είναι αναπόφευκτα, τόσο από την πλευρά των προγραμματιστών όσο και από τους ελεγκτές. Το πιο συνηθισμένο λάθος είναι να παραβλέπουμε πώς κάθε γραμμή κώδικα επηρεάζει το συμβόλαιο ανάλογα με τις διαφορετικές καταστάσεις στις οποίες μπορεί να βρίσκεται (πράγμα ειλικρινά αδύνατο).

BCN: Μόλις αναπτυχθούν, τα έξυπνα συμβόλαια γίνονται αμετάβλητα και τα τρωτά σημεία γίνονται μόνιμο μέρος του κώδικα. Επομένως, πριν από την ανάπτυξή τους, τα έξυπνα συμβόλαια ελέγχονται και σε ορισμένες περιπτώσεις, πολλές φορές. Ωστόσο, φαίνεται ότι αυτό δεν βοήθησε στη μείωση του αριθμού των exploits. Με ποιους τρόπους οι υπάρχουσες λύσεις για την προστασία των έξυπνων συμβολαίων, όπως ο έλεγχος, υπολείπονται;

EM: Το γεγονός ότι τα πρωτόκολλα ελέγχονται πολλές φορές αποδεικνύει ότι οι έλεγχοι είναι η καλύτερη δυνατή προσπάθεια και δεν επαρκούν. Οι έλεγχοι είναι σαν να παίζεις στο γήπεδο του επιθετικού. Και τα δύο μέρη αναζητούν ευπάθειες στον κώδικα, ενώ ο εισβολέας έχει πάντα περισσότερα κίνητρα καθώς αυξάνεται η συνολική τιμή κλειδώματος του πρωτοκόλλου (TVL), ενώ οι ελεγκτές έχουν περιορισμένους πόρους. Τα πρωτόκολλα πρέπει να βάλουν ασύμμετρα αντίμετρα για να κερδίσουν αυτόν τον αγώνα.

BCN: Η εταιρεία σας Spherex κυκλοφόρησε πρόσφατα μια λύση πρόληψης εκμετάλλευσης για έξυπνες συμβάσεις που ονομάζεται Spherex-Protect. Μπορείτε να μας πείτε πώς λειτουργεί και εάν τα πρωτόκολλα ή οι εφαρμογές blockchain πρέπει να συμβιβαστούν με την αποκέντρωση για να λειτουργήσει γι’ αυτές;

EM: Σίγουρα, το Spherex-Protect είναι ουσιαστικά το κομμάτι που λείπει στο πρότυπο ασφάλειας Web3. Αντί να δούμε τι είναι λάθος στον κώδικά σας, εξετάζουμε πώς λειτουργεί το πρωτόκολλό σας και βεβαιωνόμαστε ότι αυτή η γραμμή λειτουργίας παραμένει η ίδια. Η προστασία γίνεται στην πραγματικότητα στην αλυσίδα, η οποία έχει δύο σημαντικές ιδιότητες: Η προστασία είναι επαληθεύσιμη – όλοι (οι κάτοχοι πρωτοκόλλου και οι πελάτες) μπορούν να κοιτάξουν τον κωδικό προστασίας και να καταλάβουν πώς λειτουργεί.

Η προστασία μπορεί να αποκεντρωθεί πλήρως – Οι κάτοχοι της προστασίας μπορούν να διαμορφωθούν. Θα μπορούσε να είναι η Spherex, οι ιδιοκτήτες πρωτοκόλλου, το ανατεθέν συμβούλιο ασφαλείας, το DAO ή να ανακληθεί πλήρως.

Υπό αυτή την έννοια, το Spherex-Protect είναι η πιο αποκεντρωμένη ασφάλεια Web3 που μπορεί να έχει ένα πρωτόκολλο. Επιπλέον, αυτή η πλατφόρμα σχεδιάστηκε με γνώμονα τη σπονδυλωτή και τη διαφάνεια. Ο καθένας μπορεί να γράψει ενότητες προστασίας για το οικοσύστημα που θα ελεγχθεί και θα επαληθευτεί από ολόκληρη την κοινότητα.

BCN: Πώς διαφοροποιεί το Spherex μεταξύ νόμιμων συναλλαγών χρήστη και ύποπτων και τι συμβαίνει σε μια ύποπτη συναλλαγή — συμπεριλαμβανομένων των ψευδώς θετικών ανιχνεύσεων — αφού επισημανθεί;

Άριελ Τέμπελχοφ (AT): Αυτή ήταν μια έρευνα διάρκειας ενός έτους από την ερευνητική μας ομάδα. Εύρεση του καλύτερου τρόπου διάκρισης μεταξύ κακόβουλων και νόμιμων συναλλαγών, κατά την εκτέλεση συναλλαγών, διατηρώντας παράλληλα ένα πολύ χαμηλό αποτύπωμα αερίου.

Εξετάζουμε πολλαπλά σημεία δεδομένων, προσβάσιμα από το ίδιο το συμβόλαιο, και τα συγκεντρώνουμε κατά την εκτέλεση της συναλλαγής. Αυτά μπορεί να είναι η κατανάλωση αερίου, οι αλλαγές αποθήκευσης, οι παράμετροι εισόδου κ.λπ. Όταν συγκεντρωθούν αρκετά δεδομένα, λαμβάνεται απόφαση εάν θα επιτραπεί η συναλλαγή ή θα γίνει επαναφορά της. Τα αποτελέσματα ήταν εκπληκτικά, μπορέσαμε να αποτρέψουμε τις περισσότερες από τις εισβολές που αναλύσαμε διατηρώντας παράλληλα ποσοστό ψευδώς θετικού <0,1%.

Μόλις γίνει επαναφορά μιας συναλλαγής, αναλύεται περαιτέρω από τη μονάδα μας εκτός αλυσίδας για να παράγει μια σύσταση σχετικά με το τι πρέπει να γίνει με συναλλαγές που μοιράζονται τις ίδιες πτυχές στο μέλλον. Φυσικά, εναπόκειται στον υπεύθυνο προστασίας να αποφασίσει εάν θα αποδεχτεί τη σύσταση ή θα την αγνοήσει.

BCN: Πώς βλέπετε την ασφάλεια και τις απειλές έξυπνων συμβολαίων να εξελίσσονται σε ένα ολοένα και πιο πολυαλυσιακό μέλλον;

ΣΤΟ: Μια αλυσίδα δεν είναι απλώς ένα σύνολο μπλοκ, είναι ένα ολόκληρο οικοσύστημα πρωτοκόλλων που συνεργάζονται. Καθώς τα περισσότερα blockchain θα ήθελαν να ξεχωρίσουν ως ένα από τα πιο ασφαλή blockchain εκεί έξω, θα πρέπει να εφαρμόσουν μια βασική γραμμή ασφαλείας για να υιοθετήσει ολόκληρο το οικοσύστημα. Η Spherex έχει ήδη αρχίσει να συνεργάζεται με blockchains για την ενσωμάτωση αντιμέτρων ασφαλείας σε όλη την αλυσίδα.

Σε μια άλλη σημείωση, η πολλαπλή αλυσίδα σημαίνει πολλαπλές γέφυρες που τις συνδέουν. Οι γέφυρες, όπως όλοι γνωρίζουμε, είναι τα πιο επιρρεπή σε χακαρίσματα πρωτόκολλα εκεί έξω. Το SphereX-Protect έχει ήδη επιδείξει μεγάλη επιτυχία στην αποτροπή ακόμη και των πιο εξελιγμένων παραβιάσεων γεφυρών που παρουσιάστηκαν τα τελευταία χρόνια.

BCN: Αν και έχουν τα μειονεκτήματά τους, συμπεριλαμβανομένων των ευπάθειας των έξυπνων συμβολαίων, οι συναλλαγές με blockchain υποτίθεται ότι είναι μη αναστρέψιμες από το σχεδιασμό. Ποια είναι η πιθανότητα αυτή η δυνατότητα αποκλεισμού ή επαναφοράς συναλλαγών blockchain να χρησιμοποιηθεί ως εργαλείο λογοκρισίας στο μέλλον;

ΣΤΟ: Η λύση πρόληψης εκμετάλλευσης έχει σχεδιαστεί για να μην χρησιμοποιείται ως εργαλείο λογοκρισίας. Τα σημεία δεδομένων που εξετάζουμε είναι εγγενή στο πρωτόκολλο και δεν επηρεάζονται από την οντότητα που στέλνει τη συναλλαγή. Η εφαρμογή μιας τέτοιας λογοκρισίας, στα μάτια μας, είναι μάταιη, καθώς η αλλαγή διευθύνσεων είναι πολύ εύκολη στο blockchain.

Ποιες είναι οι σκέψεις σας για αυτή τη συνέντευξη; Πείτε μας τη γνώμη σας στην παρακάτω ενότητα σχολίων.

από Bitcoin News

Αφήστε μια απάντηση