samedi 13 avril 2024

Eyal Meron, co-fondateur et PDG de Spherex, affirme que les pirates informatiques et les auditeurs de contrats intelligents ont intérêt à découvrir les vulnérabilités du code. Il souligne cependant que les pirates sont souvent plus motivés, d’autant plus que la valeur totale verrouillée (TVL) dans le protocole augmente. Meron préconise la mise en œuvre de ce qu’il appelle des « contre-mesures asymétriques » pour lutter contre ce problème persistant.

Table des matières

Erreurs humaines et failles de sécurité des contrats intelligents

Meron soutient également l'idée d'adopter un mécanisme anti-exploit comme protection supplémentaire contre les vulnérabilités du code qui pourraient potentiellement conduire à des vols d'actifs de plusieurs millions de dollars. Malgré son expertise en tant que membre chevronné de la cyber-unité d'élite israélienne 8200, il admet que les erreurs humaines sont pour la plupart inévitables et sont souvent la principale raison des faiblesses des contrats intelligents.

De telles erreurs se manifestent souvent lorsque les développeurs ne prennent pas en compte la manière dont chaque ligne de code pourrait affecter le contrat dans ses différents états possibles. Ce sont précisément ces lacunes que les malfaiteurs exploitent pour transférer illégalement des actifs numériques évalués par millions. Les initiés de l'industrie comme Meron soutiennent que l'ensemble de l'écosystème Web3 est menacé lorsque les utilisateurs perdent des fonds de cette manière.

Dans des réponses écrites à CryptokenTop.com News, Ariel Tempelhof, directeur des produits chez Spherex, a discuté du potentiel des efforts de collaboration entre les réseaux blockchain et les fournisseurs de sécurité en chaîne pour lutter contre les exploiteurs de code et autres cybercriminels. Tempelhof a également abordé l'argument selon lequel les mesures anti-exploitation pourraient éventuellement servir d'outils de censure.

Réponses complètes d'Eyal Meron et d'Ariel Tempelhof aux requêtes d'actualité de CryptokenTop.com

CryptokenTop.com News (BCN) : Quelles sont les erreurs fréquentes commises par les développeurs qui offrent aux pirates informatiques la possibilité d'exploiter les vulnérabilités des contrats intelligents ?

Eyal Meron (EM): De nombreuses erreurs se produisent fréquemment, dues à la complexité des contrats intelligents, qui fonctionnent comme des machines à états qui se développent de manière exponentielle avec la base de code et le volume des transactions. Les erreurs humaines sont inévitables, tant de la part des développeurs que des auditeurs. L’erreur la plus courante consiste à négliger de prendre en compte l’impact de chaque ligne de code sur le contrat dans différents états, une tâche pratiquement insurmontable.

BCN : Malgré de multiples audits, pourquoi les vulnérabilités des contrats intelligents persistent-elles et quelles sont les lacunes des mesures de protection existantes comme l'audit ?

EM: Les audits récurrents illustrent qu'il s'agit d'une approche de « meilleur effort » et insuffisante pour une sécurité complète. Les auditeurs et les attaquants recherchent tous deux des vulnérabilités dans le code, mais les attaquants sont davantage incités à mesure que la TVL du protocole augmente. Compte tenu des ressources limitées dont disposent les auditeurs, les protocoles doivent établir des contre-mesures asymétriques pour garder une longueur d’avance.

BCN : Pouvez-vous nous parler de la nouvelle solution anti-exploit de Spherex, Spherex-Protect, et de ses implications pour la décentralisation de la blockchain ?

EM: Spherex-Protect constitue l'élément manquant dans l'architecture de sécurité Web3. L’accent n’est plus mis sur l’identification des failles du code mais sur la garantie d’un fonctionnement cohérent du protocole. Cette protection est en chaîne, offrant deux fonctionnalités essentielles : la vérifiabilité et la décentralisation. N’importe qui peut consulter le code de protection et comprendre son fonctionnement. La propriété de la protection peut varier, conformément aux principes de la décentralisation.

BCN : Comment Spherex fait-il la distinction entre les transactions légitimes et suspectes, et quelles mesures sont prises si une transaction est signalée ?

Ariel Tempelhof (AT): Notre équipe de recherche a passé un an à étudier les moyens optimaux de différencier les transactions légitimes des transactions malveillantes tout en minimisant les coûts de gaz. Nous considérons divers points de données, tels que la consommation de gaz et les modifications du stockage. Une décision d'autoriser ou d'annuler une transaction est prise après une accumulation suffisante de données. Les transactions annulées font l'objet d'une analyse hors chaîne plus approfondie pour des recommandations d'action futures.

BCN : Que pensez-vous de l'évolution de la sécurité des contrats intelligents dans un avenir multi-chaînes ?

À: Une blockchain est un écosystème comprenant différents protocoles interopérables. À mesure que la sécurité devient un argument de vente pour les blockchains, il y aura une évolution vers la mise en œuvre de bases de sécurité pour une adoption à l’échelle de l’écosystème. Spherex collabore déjà avec les blockchains pour introduire de telles contre-mesures.

BCN : Les solutions anti-exploit pourraient-elles à terme servir d’outils de censure ?

À: Notre système anti-exploit est conçu pour éviter de fonctionner comme un outil de censure. Les points de données considérés sont spécifiques au protocole et n'impliquent pas l'identification de l'expéditeur. La mise en œuvre de la censure est, à notre avis, futile compte tenu de la facilité de modification des adresses sur les blockchains.

Nous sollicitons vos réflexions sur cette interview complète dans la section commentaires ci-dessous.

Foire aux questions (FAQ) sur les contre-mesures asymétriques en matière de sécurité des contrats intelligents

Quel est le thème principal de l’entretien avec Eyal Meron et Ariel Tempelhof ?

L’entretien se concentre sur la nécessité de « contre-mesures asymétriques » pour améliorer la sécurité des contrats intelligents. Il explore les vulnérabilités souvent trouvées dans les contrats intelligents, les limites des pratiques d'audit actuelles et les fonctionnalités de la nouvelle solution anti-exploit de Spherex, Spherex-Protect.

Qui est Eyal Meron et quel est son parcours ?

Eyal Meron est le co-fondateur et PDG de Spherex. Il est également un vétéran chevronné de la cyber-unité d’élite israélienne 8200. Il souligne le rôle de l’erreur humaine dans la création de vulnérabilités dans les contrats intelligents et préconise des contre-mesures asymétriques pour atténuer les risques.

Que sont les « contre-mesures asymétriques » selon Eyal Meron ?

Selon Eyal Meron, les « contre-mesures asymétriques » font référence à des stratégies qui donnent aux protocoles un avantage dans la protection contre les vulnérabilités. Celles-ci sont conçues pour être plus efficaces et plus économes en ressources que les approches traditionnelles comme l’audit.

Qu’est-ce qu’Ariel Tempelhof apporte à l’interview ?

Ariel Tempelhof, directeur des produits chez Spherex, discute des méthodes utilisées par Spherex pour faire la distinction entre les transactions légitimes et malveillantes. Il aborde également l'avenir multi-chaînes de la sécurité des contrats intelligents et répond aux préoccupations concernant les implications potentielles de censure des solutions anti-exploit.

Qu’est-ce que Spherex-Protect ?

Spherex-Protect est une solution anti-exploit développée par Spherex. Il ne se concentre pas sur l’identification des failles du code mais sur la garantie du fonctionnement cohérent du protocole. La protection est en chaîne, ce qui la rend vérifiable et potentiellement décentralisée, selon les souhaits des parties prenantes du protocole.

Quelles sont les vulnérabilités courantes des contrats intelligents ?

Les vulnérabilités courantes proviennent souvent d'erreurs humaines, par exemple en négligeant l'impact de chaque ligne de code sur les différents états possibles du contrat. Ces vulnérabilités peuvent être exploitées par des attaquants pour voler des actifs numériques valant des millions.

Comment Spherex fait-il la distinction entre les transactions légitimes et suspectes ?

Spherex utilise une approche basée sur les données pour différencier les transactions légitimes et malveillantes. Plusieurs points de données tels que la consommation de gaz, les modifications de stockage et les paramètres d'entrée sont pris en compte lors de l'exécution de la transaction. Les transactions signalées comme suspectes font l’objet d’une analyse plus approfondie en vue de recommandations d’actions futures.

Spherex-Protect peut-il être utilisé comme outil de censure ?

Selon Ariel Tempelhof, Spherex-Protect est conçu pour ne pas fonctionner comme un outil de censure. Les points de données pris en compte sont intrinsèques au protocole et ne sont pas affectés par l'entité qui initie la transaction.

En savoir plus sur les contre-mesures asymétriques dans la sécurité des contrats intelligents

Bulletin

Abonnez-vous à ma newsletter pour de nouveaux articles de blog, des conseils et de nouvelles photos. Restons à jour!

Laissez un commentaire

* En utilisant ce formulaire, vous acceptez le stockage et le traitement de vos données par ce site Web.

Suivez-nous

CryptokenTop

CrypTokenTop est un site Web dédié à fournir des informations et des analyses complètes sur le monde des crypto-monnaies. Nous couvrons des sujets tels que Bitcoin, Ethereum, NFT, ICO et d'autres sujets cryptographiques populaires. Notre mission est d'aider les gens à en savoir plus sur l'espace crypto et à prendre des décisions éclairées concernant leurs investissements. Nous fournissons des articles, des analyses et des critiques approfondis pour les utilisateurs débutants et expérimentés, afin que chacun puisse tirer le meilleur parti du monde en constante évolution de la crypto-monnaie.

© 2023 Tous droits réservés. CryptokenTop

fr_FRFrançais