吴西蒙 Spherex 联合创始人兼首席执行官 Eyal Meron 认为,黑客和智能合约审计员都对发现代码漏洞感兴趣。然而,他强调,黑客往往有更大的动机,特别是当协议中锁定的总价值(TVL)上升时。梅龙主张实施他所说的“不对称对策”来解决这一持续存在的问题。
目录
人为错误和智能合约安全缺陷
Meron 还赞同采用反漏洞利用机制作为针对可能导致数百万美元资产被盗的代码漏洞的额外保护措施的想法。尽管他是以色列精英 8200 网络部队的一名经验丰富的成员,但他承认人为错误大多是不可避免的,而且往往是智能合约缺陷的主要原因。
当开发人员未能考虑每一行代码如何影响处于各种可能状态的合约时,此类错误通常会出现。正是这些缺陷被犯罪分子利用来非法转移价值数百万美元的数字资产。 Meron 等业内人士认为,当用户以这种方式损失资金时,整个 Web3 生态系统都会受到危害。
Spherex 首席产品官 Ariel Tempelhof 在对 CryptokenTop.com 新闻的书面回复中讨论了区块链网络和链上安全提供商之间合作打击代码漏洞者和其他网络犯罪分子的潜力。坦珀尔霍夫还谈到了反剥削措施可能成为审查工具的论点。
Eyal Meron 和 Ariel Tempelhof 对 CryptokenTop.com 新闻查询的全面回应
CryptokenTop.com News (BCN):开发人员经常犯哪些错误,为黑客提供了利用智能合约漏洞的机会?
埃亚尔·梅龙 (EM):由于智能合约的复杂性,经常会出现许多错误,智能合约充当状态机,随着代码库和交易量呈指数级扩展。人为错误是不可避免的,无论是开发人员还是审计人员。普遍存在的错误是忽略了考虑每行代码在不同状态下如何影响合约,这是一项几乎无法克服的任务。
BCN:尽管经过多次审计,为什么智能合约漏洞仍然存在?现有的审计等保护措施有哪些缺点?
EM: 定期审核证明它们是“尽力而为”的方法,不足以实现全面的安全性。审计者和攻击者都在寻找代码漏洞,但随着协议 TVL 的增长,攻击者的动机更大。鉴于审计人员可用的资源有限,协议必须制定不对称对策才能保持领先地位。
BCN:您能详细介绍一下 Spherex 的新反漏洞解决方案 Spherex-Protect 及其对区块链去中心化的影响吗?
EM:Spherex-Protect 是 Web3 安全架构中缺失的元素。它将重点从识别代码缺陷转移到确保一致的协议操作。这种保护是链上的,提供两个基本特征:可验证性和去中心化。任何人都可以查看保护代码并掌握其功能。保护的所有权可能会有所不同,这与权力下放的原则保持一致。
BCN:Spherex 如何区分合法交易和可疑交易,如果交易被标记,会采取哪些步骤?
阿里尔·坦佩尔霍夫 (奥地利):我们的研究团队花了一年的时间研究区分合法交易和恶意交易的最佳方法,同时将天然气成本降至最低。我们考虑各种数据点,例如气体使用和存储修改。允许或恢复交易的决定是在足够的数据积累后做出的。恢复的交易将接受进一步的链下分析,以提出未来的行动建议。
BCN:您对多链未来中智能合约安全的演变有何看法?
在:区块链是一个包含各种可互操作协议的生态系统。随着安全性成为区块链的一个卖点,将会转向实施安全基线以供整个生态系统采用。 Spherex 已经与区块链合作推出此类对策。
BCN:反漏洞解决方案最终能否成为审查工具?
在:我们的反漏洞利用系统旨在避免充当审查工具。所考虑的数据点是特定于协议的并且不涉及发送者识别。我们认为,鉴于区块链上的地址更改很容易,实施审查制度是徒劳的。
我们邀请您在下面的评论部分对这次全面采访发表看法。
关于智能合约安全中的非对称对策的常见问题 (FAQ)
Eyal Meron 和 Ariel Tempelhof 采访的主要焦点是什么?
采访的重点是增强智能合约安全性的“非对称对策”的必要性。它深入研究了智能合约中常见的漏洞、当前审计实践的局限性以及 Spherex 的新反漏洞解决方案 Spherex-Protect 的功能。
Eyal Meron 是谁?他的背景是什么?
Eyal Meron 是 Spherex 的联合创始人兼首席执行官。他也是以色列精锐 8200 网络部队的一名经验丰富的老兵。他强调人为错误在造成智能合约漏洞中的作用,并主张采取非对称对策来降低风险。
Eyal Meron 认为什么是“不对称对策”?
根据 Eyal Meron 的说法,“非对称对策”是指使协议在防范漏洞方面占据上风的策略。这些方法比审计等传统方法更有效、更节省资源。
Ariel Tempelhof 对采访有何贡献?
Spherex 首席产品官 Ariel Tempelhof 讨论了 Spherex 用于区分合法交易和恶意交易的方法。他还讨论了智能合约安全的多链未来,并回应了对反漏洞解决方案潜在审查影响的担忧。
什么是 Spherex-Protect?
Spherex-Protect 是 Spherex 开发的反漏洞解决方案。它的重点不是识别代码缺陷,而是确保协议的一致运行。根据协议利益相关者的意愿,保护是在链上的,使其可验证并可能去中心化。
智能合约中有哪些常见的漏洞?
常见的漏洞通常源于人为错误,例如忽视每一行代码对合约不同可能状态的影响。攻击者可以利用这些漏洞窃取价值数百万美元的数字资产。
Spherex 如何区分合法交易和可疑交易?
Spherex 使用数据驱动的方法来区分合法交易和恶意交易。在交易执行期间会考虑多个数据点,例如气体消耗、存储变化和输入参数。被标记为可疑的交易将接受进一步分析,以提出未来的行动建议。
Spherex-Protect 可以用作审查工具吗?
Ariel Tempelhof 表示,Spherex-Protect 的设计目的不是充当审查工具。它认为的数据点是协议固有的,不受发起交易的实体的影响。
有关智能合约安全中的不对称对策的更多信息
- Spherex官方网站
- 智能合约漏洞简介
- 非对称对策在网络安全中的作用
- 以色列 Elite 8200 Cyber Unit 概述
- 区块链安全状况
- 了解智能合约审计
- 权力下放指南
- DeFi 中的总锁定价值(TVL)
- 区块链的多链未来
- 区块链安全中的道德问题
