No confíes en ONE: la seguridad de los contratos inteligentes de Ethereum está avanzando

"Todos aquí son blanco de ataques. Sé paranoico."

Así concluyó ayer, en Devcon3, el líder de seguridad de la Fundación Ethereum , Martin Swende, su charla exhaustiva sobre la seguridad de los contratos inteligentes. A estas alturas, ha presenciado numerosos ataques a Ethereum y quiere que la comunidad sepa en qué se están metiendo.

Había El hackeo de DAO, donde se robaron millones de dólares en ether debido a un fallo en un contrato inteligente. Hubo una ocasión en que las transacciones de Ethereum...ralentizado Debido a un atacante desconocido, esto ocurrió durante ONE de los primeros días de Swende trabajando en el protocolo, nada menos. Y luego, hace apenas unos meses, el cliente de Ethereum... Paridad perdida30 millones de dólares tras ser hackeado.

Y eso sin contar todos los hackeos relacionados con Bitcoin.

Con esto, los desarrolladores señalan que, por revolucionario que pueda y pueda ser Ethereum , aún hay muchos problemas por resolver, una de las razones por las que la conferencia insignia del proyecto de código abierto se centró tanto en la seguridad en su segundo día, con desarrolladores y académicos por igual lanzando nuevas herramientas para llevar la seguridad de los contratos inteligentes un paso más allá.

Sin embargo, a pesar de estos importantes ataques, los desarrolladores se muestran optimistas sobre hacia dónde se dirige la seguridad de los contratos inteligentes.

El científico jefe de RSK Labs y consultor de seguridad de Criptomonedas , Sergio Demian Lerner, le dijo a CoinDesk:

“Todo el ecosistema está madurando en términos de seguridad”.

Las herramientas adecuadas

Si bien hay diferentes partes de Ethereum que necesitan protección, el segundo día de Devcon se centró en los contratos inteligentes, probablemente porque las vulnerabilidades en el código de estos mecanismos son la causa de que la gente pierda dinero.

Manuel Aráoz, CTO de la empresa de seguridad blockchain Zeppelin, calificó el año 2016 como la "época oscura" de la seguridad de Ethereum , pero, al igual que otros, señaló que las cosas han estado mejorando.

En ONE, "actualizar" los contratos inteligentes una vez que están activos en Ethereum es un gran problema abierto. A diferencia del software más tradicional, si hay un error en el código de un contrato inteligente, y está escrito sin medidas de seguridad, los desarrolladores no pueden actualizarlo.

Pero Araoz y su equipo en Zeppelin han estado trabajando en una herramienta útil, presentando recientemente un nuevo proyecto de sistema operativo que LOOKS hacer más fácil modificar el código que ya está en funcionamiento.

"Si tenemos un error o necesitamos mejorar el programa, podemos hacerlo. Se puede usar para corregir el código de producción", dijo.

Si bien no resuelve por completo el problema de la actualización, el proyecto proporciona una nueva herramienta, y estas incorporaciones a la caja de herramientas para desarrolladores de Ethereum son ampliamente reconocidas como un avance en la seguridad de los contratos inteligentes.

Otro proyecto presentado en el evento, Securifyse promocionacomo una "herramienta de auditoría de seguridad con solo pulsar un botón". Revelado en una sesión titulada "No es la verificación de contratos inteligentes de tu abuela", ofrece una interfaz sencilla para que los desarrolladores conecten contratos inteligentes y verifiquen ciertos tipos de errores.

Durante la sesión, Quentin Hibon, investigador del Laboratorio de confiabilidad del software de ETH Zurich, afirmó que Securify es una sólida garantía de seguridad.

Con estos avances, según Lerner, todo va por buen camino.

La máquina virtual de Ethereum ha mejorado en términos de seguridad, afirmó. Se ha añadido la verificación formal, que utiliza pruebas matemáticas para detectar el correcto funcionamiento de los contratos inteligentes, continuó. Además, Solidity, el principal lenguaje de contratos inteligentes de Ethereum, ha madurado, por lo que ahora se corrigen muchos errores a nivel de Solidity, concluyó.

'Siempre preocupado'

Esto no significa que no seguirá habiendo problemas con los contratos inteligentes en el futuro. Casi todas las charlas de seguridad del día terminaron con un llamado a la acción, una advertencia o una lista de problemas pendientes que enfrenta el segundo protocolo de Criptomonedas más grande por capitalización de mercado.

Lerner, de RSK, por su ONE, mencionó que analiza contratos de oferta inicial de monedas (ICO) en su tiempo libre y detecta numerosos errores obvios. El hecho de que los emisores de tokens ahora soliciten la ayuda de expertos en seguridad para auditar el código de sus contratos inteligentes es una buena señal, afirmó.

Y los investigadores de un puñado de universidades también están intentando modificar las estructuras de incentivos en torno a los errores, en un esfuerzo por alentar a los piratas informáticos a informar sobre las vulnerabilidades en lugar de explotarlas.

Como se informópor CoinDesk ayerHydra se inspira en el modelo tradicional de recompensas por errores: ofrece programáticamente a los piratas informáticos más recompensas por informar a los desarrolladores sobre un error que lo que obtendrían por explotarlo.

Pero muchos de estos proyectos aún están en las etapas iniciales.

Ethereum –y las criptomonedas en general– siguen siendo una especie de paraíso para los hackers.

El panorama de la piratería ha cambiado drásticamente. La fuente de ingresos para los hackers provenía de botnets para ataques de denegación de servicio; algo bastante difícil de construir. Ahora, con el auge de las Cripto, es muy monetizable y los riesgos son bajos», afirmó Swende, de la Fundación Ethereum .

Esto trae nuevos desafíos para los cuales los desarrolladores de blockchain deben prepararse y el primer paso, según Swende, es permanecer alerta.

Él afirmó:

"Siempre estoy preocupado."

Aviso legal: CoinDesk es una subsidiaria de Digital Currency Group, que tiene una participación en RSK Labs y Zeppelin.

Imagen de Devcon3 vía Rachel Rose O'Leary