Simon Ng Eyal Meron, Mitbegründer und CEO von Spherex, behauptet, dass sowohl Hacker als auch Smart-Contract-Prüfer ein Interesse daran haben, Code-Schwachstellen aufzudecken. Er betont jedoch, dass Hacker oft eine größere Motivation haben, insbesondere wenn der Total Value Locked (TVL) im Protokoll steigt. Meron befürwortet die Umsetzung dessen, was er als „asymmetrische Gegenmaßnahmen“ bezeichnet, um dieses anhaltende Problem zu bekämpfen.
Inhaltsverzeichnis
Menschliche Fehler und Sicherheitslücken bei intelligenten Verträgen
Meron befürwortet außerdem die Idee, einen Anti-Exploit-Mechanismus als zusätzlichen Schutz vor Code-Schwachstellen einzuführen, die möglicherweise zu Vermögensdiebstählen im Wert von mehreren Millionen Dollar führen könnten. Trotz seines Fachwissens als erfahrenes Mitglied der israelischen Cyber-Eliteeinheit 8200 räumt er ein, dass menschliche Fehler meist unvermeidbar sind und oft der Hauptgrund für Schwachstellen bei Smart Contracts sind.
Solche Fehler treten häufig auf, wenn Entwickler nicht berücksichtigen, wie sich jede Codezeile auf den Vertrag in seinen verschiedenen möglichen Zuständen auswirken könnte. Genau diese Mängel nutzen Kriminelle aus, um digitale Vermögenswerte in Millionenhöhe unrechtmäßig zu transferieren. Brancheninsider wie Meron behaupten, dass das gesamte Web3-Ökosystem gefährdet ist, wenn Benutzer auf diese Weise Geld verlieren.
In schriftlichen Antworten auf CryptokenTop.com News erörterte Ariel Tempelhof, Chief Product Officer bei Spherex, das Potenzial der Zusammenarbeit zwischen Blockchain-Netzwerken und On-Chain-Sicherheitsanbietern bei der Bekämpfung von Code-Exploits und anderen Cyberkriminellen. Tempelhof ging auch auf das Argument ein, dass Anti-Exploit-Maßnahmen möglicherweise als Mittel zur Zensur dienen könnten.
Umfassende Antworten von Eyal Meron und Ariel Tempelhof auf Nachrichtenanfragen von CryptokenTop.com
CryptokenTop.com News (BCN): Welche häufigen Fehler machen Entwickler, die Hackern die Möglichkeit bieten, Schwachstellen in Smart Contracts auszunutzen?
Eyal Meron (EM): Häufig treten zahlreiche Fehler auf, die auf die Komplexität intelligenter Verträge zurückzuführen sind, die als Zustandsmaschinen fungieren, die mit der Codebasis und dem Transaktionsvolumen exponentiell wachsen. Menschliche Fehler sind unvermeidlich, sowohl bei Entwicklern als auch bei Prüfern. Der häufigste Fehler besteht darin, nicht zu berücksichtigen, wie sich jede Codezeile in verschiedenen Zuständen auf den Vertrag auswirkt – eine Aufgabe, die praktisch unüberwindbar ist.
BCN: Warum bleiben Smart-Contract-Schwachstellen trotz mehrfacher Prüfungen bestehen und welche Mängel bestehen bei bestehenden Schutzmaßnahmen wie der Prüfung?
EM: Die wiederkehrenden Audits zeigen, dass es sich um einen „Best-Effort“-Ansatz handelt und für eine umfassende Sicherheit nicht ausreicht. Sowohl Prüfer als auch Angreifer suchen nach Code-Schwachstellen, doch mit zunehmender TVL des Protokolls sind die Anreize für Angreifer größer. Angesichts der begrenzten Ressourcen, die Prüfern zur Verfügung stehen, müssen Protokolle asymmetrische Gegenmaßnahmen festlegen, um vorne zu bleiben.
BCN: Können Sie die neue Anti-Exploit-Lösung von Spherex, Spherex-Protect, und ihre Auswirkungen auf die Blockchain-Dezentralisierung näher erläutern?
EM: Spherex-Protect dient als fehlendes Element in der Web3-Sicherheitsarchitektur. Der Schwerpunkt verlagert sich von der Identifizierung von Codefehlern auf die Sicherstellung eines konsistenten Protokollbetriebs. Dieser Schutz erfolgt in der Kette und bietet zwei wesentliche Funktionen: Überprüfbarkeit und Dezentralisierung. Jeder kann den Schutzcode überprüfen und seine Funktionsweise verstehen. Die Eigentümerschaft des Schutzes kann je nach den Grundsätzen der Dezentralisierung variieren.
BCN: Wie unterscheidet Spherex zwischen legitimen und verdächtigen Transaktionen und welche Schritte werden unternommen, wenn eine Transaktion markiert wird?
Ariel Tempelhof (AT): Unser Forschungsteam hat ein Jahr damit verbracht, optimale Möglichkeiten zu untersuchen, um zwischen legitimen und böswilligen Transaktionen zu unterscheiden und gleichzeitig die Gaskosten minimal zu halten. Wir berücksichtigen verschiedene Datenpunkte, wie z. B. Gasverbrauch und Speicheränderungen. Die Entscheidung, eine Transaktion zuzulassen oder rückgängig zu machen, wird bei ausreichender Datenansammlung getroffen. Transaktionen, die rückgängig gemacht werden, werden einer weiteren Off-Chain-Analyse unterzogen, um zukünftige Handlungsempfehlungen zu erhalten.
BCN: Wie beurteilen Sie die Entwicklung der Smart-Contract-Sicherheit in einer Zukunft mit mehreren Ketten?
BEI: Eine Blockchain ist ein Ökosystem, das verschiedene interoperable Protokolle umfasst. Da Sicherheit zum Verkaufsargument für Blockchains wird, wird es eine Verschiebung hin zur Implementierung von Sicherheitsgrundsätzen für eine ökosystemweite Einführung geben. Spherex arbeitet bereits mit Blockchains zusammen, um solche Gegenmaßnahmen einzuführen.
BCN: Könnten Anti-Exploit-Lösungen letztendlich als Zensurinstrumente dienen?
BEI: Unser Anti-Exploit-System ist so konzipiert, dass es nicht als Zensurinstrument fungiert. Die betrachteten Datenpunkte sind protokollspezifisch und beinhalten keine Absenderidentifizierung. Die Einführung einer Zensur ist unserer Meinung nach angesichts der Leichtigkeit, mit der Adressen auf Blockchains geändert werden können, sinnlos.
Wir laden Sie dazu ein, Ihre Gedanken zu diesem ausführlichen Interview im Kommentarbereich unten zu hinterlassen.
Häufig gestellte Fragen (FAQs) zu asymmetrischen Gegenmaßnahmen in der Smart Contract-Sicherheit
Was steht im Mittelpunkt des Interviews mit Eyal Meron und Ariel Tempelhof?
Das Interview konzentriert sich auf die Notwendigkeit „asymmetrischer Gegenmaßnahmen“ zur Verbesserung der Sicherheit intelligenter Verträge. Es befasst sich mit den Schwachstellen, die häufig in Smart Contracts zu finden sind, den Einschränkungen aktueller Prüfpraktiken und den Funktionen der neuen Anti-Exploit-Lösung von Spherex, Spherex-Protect.
Wer ist Eyal Meron und welchen Hintergrund hat er?
Eyal Meron ist Mitbegründer und CEO von Spherex. Er ist außerdem ein erfahrener Veteran der israelischen Cyber-Eliteeinheit 8200. Er betont die Rolle menschlichen Versagens bei der Entstehung von Schwachstellen bei Smart Contracts und plädiert für asymmetrische Gegenmaßnahmen zur Risikominderung.
Was sind laut Eyal Meron „asymmetrische Gegenmaßnahmen“?
Laut Eyal Meron beziehen sich „asymmetrische Gegenmaßnahmen“ auf Strategien, die Protokollen beim Schutz vor Schwachstellen die Oberhand geben. Diese sind so konzipiert, dass sie effektiver und ressourceneffizienter sind als herkömmliche Ansätze wie die Wirtschaftsprüfung.
Was trägt Ariel Tempelhof zum Interview bei?
Ariel Tempelhof, Chief Product Officer bei Spherex, erörtert die Methoden, die Spherex einsetzt, um zwischen legitimen und böswilligen Transaktionen zu unterscheiden. Er befasst sich auch mit der Multi-Chain-Zukunft der Smart-Contract-Sicherheit und geht auf Bedenken hinsichtlich möglicher Zensurauswirkungen von Anti-Exploit-Lösungen ein.
Was ist Spherex-Protect?
Spherex-Protect ist eine von Spherex entwickelte Anti-Exploit-Lösung. Der Schwerpunkt liegt nicht auf der Identifizierung von Codefehlern, sondern darauf, den konsistenten Betrieb des Protokolls sicherzustellen. Der Schutz erfolgt in der Kette, wodurch er überprüfbar und möglicherweise dezentralisiert ist, je nach den Wünschen der Stakeholder des Protokolls.
Was sind einige häufige Schwachstellen in Smart Contracts?
Häufige Schwachstellen sind häufig auf menschliches Versagen zurückzuführen, beispielsweise auf das Übersehen der Auswirkungen jeder Codezeile auf die verschiedenen möglichen Vertragszustände. Diese Schwachstellen können von Angreifern ausgenutzt werden, um digitale Vermögenswerte im Millionenwert zu stehlen.
Wie unterscheidet Spherex zwischen legitimen und verdächtigen Transaktionen?
Spherex verwendet einen datengesteuerten Ansatz, um zwischen legitimen und böswilligen Transaktionen zu unterscheiden. Bei der Transaktionsausführung werden mehrere Datenpunkte wie Gasverbrauch, Speicheränderungen und Eingabeparameter berücksichtigt. Als verdächtig gekennzeichnete Transaktionen werden einer weiteren Analyse unterzogen, um künftige Handlungsempfehlungen zu erhalten.
Kann Spherex-Protect als Zensurinstrument verwendet werden?
Laut Ariel Tempelhof ist Spherex-Protect so konzipiert, dass es nicht als Zensurinstrument fungiert. Die berücksichtigten Datenpunkte sind protokollintern und werden von der Entität, die die Transaktion initiiert, nicht beeinflusst.
Mehr über asymmetrische Gegenmaßnahmen in der Smart Contract Security
- Offizielle Spherex-Website
- Einführung in Smart Contract-Schwachstellen
- Rolle asymmetrischer Gegenmaßnahmen in der Cybersicherheit
- Überblick über Israels Elite-8200-Cyber-Einheit
- Der Stand der Blockchain-Sicherheit
- Intelligente Vertragsprüfung verstehen
- Ein Leitfaden zur Dezentralisierung
- Total Value Locked (TVL) in DeFi
- Multi-Chain-Zukunft der Blockchain
- Ethische Bedenken hinsichtlich der Blockchain-Sicherheit
