Krypto News

Protokolle müssen “asymmetrische Gegenmaßnahmen” einsetzen, um Code-Schwachstellen ausnutzende Hacker zu bekämpfen.

Menschliches Versagen und Schwachstellen von Smart Contracts

Eyal Meron, Mitbegründer und CEO von Spherex, ist der Ansicht, dass sowohl Angreifer als auch Smart Contract-Prüfer motiviert sind, Schwachstellen im Code zu finden. Laut Meron ist jedoch der Anreiz für Angreifer größer, je höher der Gesamtwert (TVL) des Protokolls ist. Um diese Herausforderung zu bewältigen, müssen dezentrale Protokolle laut Meron sogenannte “asymmetrische Gegenmaßnahmen” ergreifen.

Meron schlägt außerdem vor, eine Lösung zur Vermeidung von Exploits einzusetzen, um Angreifer daran zu hindern, Fehler im Code zu nutzen, um digitale Vermögenswerte im Wert von Millionen zu stehlen. Meron, ein erfahrener Veteran der israelischen Cyber-Einheit 8200, gibt jedoch zu, dass die meisten Schwachstellen von Smart Contracts oft das Ergebnis menschlichen Versagens sind, was in vielen Fällen “unvermeidlich” ist.

Ein häufiger Fehler, der laut Meron fast unmöglich zu erkennen ist, tritt auf, wenn Entwickler “übersehen, wie jeder Code-Zeile den Vertrag abhängig von den verschiedenen Zuständen beeinflusst, in denen er sich befinden könnte”. Genau diese Fehler machen sich Kriminelle oft zunutze und entziehen erfolgreich digitale Vermögenswerte im Wert von Millionen Dollar. Viele Akteure im Web3-Bereich, einschließlich Meron, bestehen darauf, dass die gesamte Branche leidet, wenn Benutzer aufgrund solcher Vorfälle Geld verlieren.

Ariel Tempelhof, Chief Product Officer bei Spherex, wies in seinen schriftlichen Antworten an Bitcoin.com News auch darauf hin, wie die Zusammenarbeit zwischen Blockchains und Onchain-Sicherheitsanbietern helfen kann, den Kurs gegen Code-Exploiter und andere Cyberkriminelle zu ändern. Er äußerte auch seine Gedanken zu der Behauptung einiger Kritiker, dass eine Exploit-Präventionslösung letztendlich als Zensurwerkzeug verwendet werden könnte.

Im Folgenden sind die Antworten von Eyal Meron und Ariel Tempelhof auf alle ihnen über Telegramm gestellten Fragen aufgeführt.

Bitcoin.com News (BCN): Smart Contract-Schwachstellen werden oft durch menschliche Fehler verursacht. Was sind einige der häufigen Fehler, die von Entwicklern gemacht werden, die Hackern die Möglichkeit geben, Schwachstellen in Smart Contracts zu suchen und auszunutzen?

Eyal Meron (EM): Es gibt viele häufige Fehler, die unserer Ansicht nach darauf zurückzuführen sind, dass ein bereitgestellter Smart Contract eine Zustandsmaschine ist, die mit der Codebasis und dem Transaktionsvolumen exponentiell wächst. Aufgrund dessen sind menschliche Fehler unvermeidlich, sowohl seitens der Entwickler als auch der Prüfer. Der häufigste Fehler besteht darin, zu übersehen, wie jede Code-Zeile den Vertrag abhängig von den verschiedenen Zuständen beeinflusst, in denen er sich befinden könnte (was ehrlich gesagt unmöglich ist).

Siehe auch  Bitcoin kaufen – Was Sie wissen müssen

BCN: Einmal bereitgestellt, werden Smart Contracts unveränderlich und die Schwachstellen werden zu einem dauerhaften Bestandteil des Codes. Bevor sie bereitgestellt werden, werden Smart Contracts jedoch mehrmals überprüft, in einigen Fällen sogar mehrfach. Doch anscheinend hat dies nicht dazu beigetragen, die Anzahl der Exploits zu verringern. Inwiefern schaffen es die bestehenden Lösungen zum Schutz von Smart Contracts, wie beispielsweise Audits, nicht, diese Schwachstellen zu beseitigen?

EM: Die Tatsache, dass Protokolle mehrmals überprüft werden, beweist, dass Audits Best-Effort sind und nicht ausreichen. Audits sind wie ein Spiel auf dem Platz des Angreifers. Beide Parteien suchen nach Schwachstellen im Code, während der Angreifer immer mehr Anreize hat, je größer der Gesamtwert (TVL) des Protokolls ist, während die Prüfer begrenzte Ressourcen haben. Protokolle müssen asymmetrische Gegenmaßnahmen ergreifen, um dieses Rennen zu gewinnen.

BCN: Ihr Unternehmen Spherex hat kürzlich eine Exploit-Präventionslösung für Smart Contracts namens Spherex-Protect gestartet. Können Sie uns erklären, wie es funktioniert und ob Blockchain-Protokolle oder -Anwendungen Kompromisse bei der Dezentralisierung eingehen müssen, um es zu implementieren?

EM: Natürlich, Spherex-Protect ist im Wesentlichen das fehlende Stück im Web3-Sicherheitsparadigma. Anstatt nach Fehlern in Ihrem Code zu suchen, betrachten wir, wie Ihr Protokoll funktioniert, und stellen sicher, dass diese Betriebsweise erhalten bleibt. Der Schutz erfolgt tatsächlich “on-chain”, was zwei wichtige Eigenschaften hat: Der Schutz ist überprüfbar – jeder (die Protokollinhaber und Kunden) kann sich den Schutzcode ansehen und verstehen, wie er funktioniert.

Der Schutz kann vollständig dezentralisiert sein – die Eigentümer des Schutzes können konfiguriert werden. Es könnte Spherex, den Protokollinhabern, dem zugewiesenen Sicherheitsrat, dem DAO oder vollständig widerrufen werden.

In diesem Sinne ist Spherex-Protect die dezentralste Web3-Sicherheit, die ein Protokoll haben kann. Darüber hinaus wurde diese Plattform mit Modularität und Offenheit im Hinterkopf geplant. Jeder kann Schutzmodule für das Ökosystem schreiben, die von der gesamten Community überprüft und verifiziert werden können.

BCN: Wie unterscheidet Spherex-Protect zwischen legitimen Benutzertransaktionen und verdächtigen Transaktionen, und was passiert mit einer verdächtigen Transaktion, einschließlich falsch positiver Erkennungen, sobald sie markiert ist?

Ariel Tempelhof (AT): Dies war eine einjährige Forschung unseres Forschungsteams. Wir haben nach der besten Methode gesucht, um während der Transaktionsausführung zwischen bösartigen und legitimen Transaktionen zu unterscheiden und gleichzeitig einen sehr geringen Gasverbrauch zu gewährleisten.

Siehe auch  EZB verschärft ihre Kontrolle mit dem 12. aufeinanderfolgenden Zinsschritt nach oben; Lagarde behauptet "keine Senkungen" angesichts anhaltender Inflationsbedenken.

Wir betrachten dabei mehrere Datenpunkte, die aus dem Vertrag selbst zugänglich sind, und sammeln sie während der Ausführung der Transaktion. Das können beispielsweise der Gasverbrauch, die Speicheränderungen, die Eingabeparameter usw. sein. Sobald genügend Daten gesammelt wurden, wird eine Entscheidung getroffen, ob die Transaktion erlaubt oder zurückgesetzt werden soll. Die Ergebnisse waren erstaunlich, wir konnten die meisten der von uns analysierten Hacks verhindern und dabei eine Fehlerrate von unter 0,1% aufrechterhalten.

Sobald eine Transaktion zurückgesetzt wurde, wird sie von unserem Off-Chain-Modul weiter analysiert, um eine Empfehlung dafür zu geben, wie mit Transaktionen, die die gleichen Aspekte teilen, in Zukunft umgegangen werden soll. Natürlich liegt es im Ermessen des Schutzmanagers, ob er die Empfehlung akzeptiert oder ignoriert.

BCN: Wie sehen Sie die Sicherheit von Smart Contracts und die weiterentwickelten Bedrohungen in einer zunehmend multichain-fähigen Zukunft?

AT: Eine Kette ist nicht nur eine Reihe von Blöcken, sondern ein ganzes Ökosystem von Protokollen, die zusammenarbeiten. Da sich die meisten Blockchains als eine der sichersten Blockchains herausstellen möchten, müssten sie eine Sicherheitsgrundlinie für das gesamte Ökosystem implementieren, die übernommen werden könnte. Spherex arbeitet bereits mit Blockchains zusammen, um sektionsübergreifende Sicherheitsmaßnahmen zu implementieren.

An anderer Stelle bedeutet multichain multiple Brücken, die sie verbinden. Brücken, wie wir alle wissen, sind die am stärksten gefährdeten Protokolle für Hacks. SphereX-Protect hat bereits gezeigt, dass es selbst die ausgefeiltesten Bridge-Hacks verhindern kann, die in den letzten Jahren aufgetreten sind.

BCN: Obwohl Blockchain-Transaktionen ihre Nachteile, einschließlich Smart-Contract-Schwachstellen, haben, sollen sie durch ihr Design unwiderruflich sein. Wie hoch schätzen Sie die Möglichkeit ein, diese Fähigkeit zum Blockieren oder Rückgängigmachen von Blockchain-Transaktionen in Zukunft als Zensurwerkzeug zu verwenden?

AT: Die Exploit-Präventionslösung ist so konzipiert, dass sie nicht als Zensurwerkzeug verwendet werden soll. Die von uns betrachteten Datenpunkte sind intrinsisch für das Protokoll und werden von der entitätsübergreifenden Übermittlung der Transaktion nicht beeinflusst. In unseren Augen ist die Anwendung einer solchen Zensur sinnlos, da Adressänderungen auf der Blockchain sehr einfach sind.

Was halten Sie von diesem Interview? Lassen Sie uns Ihre Gedanken in den Kommentaren wissen.

Krypto News Deutschland

Das beliebte Magazin für die aktuellsten Krypto News zu Kryptowährungen auf deutsch. Experten-Analysen, Prognosen, Nachrichten und Kurse zu allen Coins, findest du zuverlässig und in Echtzeit auf unserem Magazin.

Ähnliche Artikel

Schließen

Adblocker erkannt

Wir nutzen keine der folgenden Werbeformen:
  • Popups
  • Layer
  • Umleitungen
Wir nutzen nur unaufdringliche Werbebanner, um unsere Arbeit zu finanzieren. Wenn du weiterhin alle Nachrichten, Analysen, Prognosen und Kurse kostenlos erhalten möchtest, deaktiviere bitte deinen Adblocker. Vielen Dank.