ONE sa Pinakamaagang Smart Contract na Wika ng Ethereum ay Patungo sa Pagreretiro

Ang Serpent, ONE sa mga naunang smart contracting na wika ng ethereum ay hindi na ligtas na gamitin.

Iyon ay maaaring ang pinakamalaking takeaway mula sa isang audit ng Serpent compiling language ng ethereum, na inilabas noong nakaraang linggo ng blockchain security firm na Zeppelin Solutions. Ang mga natuklasan ay tumutukoy sa dose-dosenang mga problema sa compiler, kabilang ang walong kritikal na kahinaan.

Ang Zeppelin ay tinanggap ni Augur, isang ethereum-based na prediction market, para magsagawa ng audit dalawang buwan na ang nakalipas. Sa halos $2 milyon ang halagang token nito (REP) na nakaupo sa isang kontrata na nakasulat sa Serpent, may magandang dahilan Augur para mag-alala tungkol sa seguridad ng mas lumang wika.

Ang Augur ay ONE sa mga naunang proyekto ng Ethereum , at noong panahong isinulat ang token contract nito, si Serpent ang pangunahing magagamit na wika ng matalinong kontrata. Ngunit hindi nagtagal, ipinakilala ang Solidity at pumalit bilang pangunahing wika ng smart contract programming ng ethereum, na nagtulak sa Serpent sa gilid ng daan.

Gayunpaman, sinabi ng CEO ng Augur na si Joey Krug na kakaunti ang mga pampublikong babala tungkol sa mga posibleng isyu na pumipigil sa Serpent mula sa pagpapatupad ng code tulad ng inaasahan.

Sinabi niya sa CoinDesk:

"Walang nagsabing si Serpent ay insecure o nabawasan ng halaga. Ito ay T kasing sikat [gaya ng Solidity]."

Habang binalak Augur na lumipat sa isa pang matalinong wika ng kontrata sa isang punto, ang mga resulta ng pag-audit ng compiler ay mahalagang pinilit ang kamay ng proyekto. Sa sandaling ipaalam ni Zeppelin Augur ang mga isyu sa seguridad na kasangkot, Augur mabilis na gumalaw upang ilipat ang mga token ng REP nito sa isang secure ERC-20 kontrata ng token na nakasulat sa Solidity.

'Mababang kalidad' at 'may depekto'

Para sa iba na nag-iisip kung dapat ba silang Social Media , inilarawan ng Zeppelin Solutions ang buong resulta ng pag-audit nito sa isang 36-pahinang ulat.

Sa isang post sa blog, tinawag ni Zeppelin ang Serpent project na "mababang kalidad" at "may depekto," at binalaan ang mga developer na pigilin ang paggamit ng wika hanggang sa maayos ang maraming kritikal na problema nito.

Ang balita ay nag-udyok sa tagapagtatag ng Ethereum na si Vitalik Buterin na magpadala ng isang tweet, na tinatawag ang programming language na "lumang teknolohiya," at nagbabala na kulang ito ng sapat na "mga proteksyon sa kaligtasan."

Tulad ng para sa Augur, ang pinaka-kritikal na kahinaan ng Serpent ay ONE na magpapahintulot sa isang hacker na baguhin ang petsa kung kailan nilikha ang kontrata ng REP token, na mahalagang nagyeyelo sa supply ng token.

"Maaari mong ipalagay sa kontrata na hindi pa ito opisyal na nalikha, para talaga wala sa mga paglilipat ang gagana," sabi ni Krug.

Kung ONE lang ang problema ni Serpent, sinabi ni Krug na masaya niyang inayos ang code at patuloy na ginagamit ang wika sa ngayon. Ngunit ang bilang ng mga problema na ibinunyag ng pag-audit ay sadyang napakalaki.

Kaya sa halip, kasunod ng landas ng pag-update na binalangkas ng Zeppelin, lumipat Augur upang muling isulat ito lumang REP token sa Solidity at i-deploy ang bagong kontrata ng ERC-20 sa Ethereum. Mabisa nitong na-hack ang sarili nitong Serpent smart contract, pinalamig ang REP token, bago i-migrate ang balanse ng frozen REP sa bagong kontrata.

Sa isang hiwalay post sa blog, hinimok ni Zeppelin ang anumang mga proyekto ng Ethereum na gumagamit pa rin ng Serpent Social Media ang isang katulad na landas ng paglipat upang ilipat ang kanilang mga token sa isang mas secure na kontrata ng Solidity.

Higit pang mga mata ang kailangan

Ang Serpent programming language at compiler ay parehong isinulat ni Buterin. Ngunit ang katotohanang ONE tao lamang ang sumulat ng code ay maaaring pinagbabatayan ng ilan sa mga problema ng Serpent.

Sumulat si Zeppelin sa ulat nito:

"Ang mas kaunting mata sa code ay nangangahulugan ng mas kaunting mga bug na napapansin."

Itinuro din ni Zeppelin na ang Serpent ay dalawang taong gulang, na may kakaunting commit mula noong Oktubre 2015. Dagdag pa rito, na halos walang gumagamit ng Serpent ngayon, maliit ang posibilidad na may makakita ng mga problema sa code o ng mga problemang iyon ay naayos.

Ang Solidity naman ay isinulat ni a pangkat ng mga tao pinangunahan ni Gavin Wood, ONE sa mga nagtatag ng Ethereum. At dahil mas malawak na ginagamit ang Solidity at nakakakita ng mas maraming aktibidad – 30 beses ang mga pull request, 20 beses ang commit, walong beses na mas maraming Contributors, ayon kay Zeppelin – kumpara sa Serpent, ang mas bagong programa ay mas malamang na magkaroon ng parehong bilang ng mga isyu.

Kung tungkol sa kung ano ang dapat gamitin ng mga developer sa halip na Serpent, ang ulat ng Zeppelin ay nagmumungkahi na ang Solidity ay ang pinakamahusay na magagamit na sagot ngayon. Gayunpaman, iminumungkahi din nito na isaalang-alang ng mga developer ang Viper, isang kahalili ng Serpent, na nagsasabi na ang Viper ay "LOOKS nakahihigit" sa Serpent. Ngunit sa isang tweet, Inirerekomenda ni Buterin ang mga developer na huminto hanggang sa pumasa muna ang Viper sa isang panlabas na pag-audit.

Solidity audit?

Ngunit, marahil ang ONE sa mga mas nakakaalarma na isyu na inilabas ng Zeppelin's Serpent compiler audit ay ang Solidity mismo ay hindi rin na-audit. At dahil sa milyun-milyong dolyar na halaga ng mga token ay kasalukuyang pinamamahalaan ng mga matalinong kontrata na nakasulat sa Solidity, ang ilan, kabilang ang Krug, ay nakakapagpabagabag sa balitang iyon.

Nagdaragdag sa mga alalahanin tungkol sa Solidity, ang Zeppelin compiler audit ay nagmula sa takong ng isang $30 milyon na hack ng Parity wallet, kung saan isang bug sa Parity code mahalagang pinahintulutan ang hacker na gawing zero-signature wallet ang tatlong multi-signature na wallet, at maubos ang mga pondo.

Sa isang post sa blogkasunod ng pag-atakeng iyon, itinuro ni Parity ang isang daliri sa Solidity, na nagsasabi na "ang ilang sisihin para sa bug na ito ay nakasalalay sa wika ng Solidity at, sa kasalukuyang pagkakatawang-tao nito, ang kahirapan kung saan maaaring maunawaan ng ONE ang mga pahintulot sa pagpapatupad sa mga function."

Ngunit isang mas malaking pagnanakaw ng Ethereum ang naganap mahigit isang taon na ang nakalilipas, nang sinamantala ng isang hacker ang isang butas sa Solidity code upang magsipsip ng $50 milyon sa ether mula sa isang proyektong tinatawag na The DAO. Ang pinsala ay itinuring na napakalawak, ang mga developer sa likod ng Ethereum ay nagpatupad ng isang hard fork sa protocol upang ibalik ang kasaysayan ng transaksyon nito.

Ang pag-audit ng software code ay kinakailangan sa maraming kritikal na industriya, at sa tingin ni Demian Brener, CEO sa Zeppelin, dapat gawin ang parehong kaso para sa smart contract code.

"Dahil sa bilang ng mga kahinaan na natuklasan sa Serpent, naniniwala kami na ang mga pag-audit ng compiler, kasama ang mga pag-audit ng code, ay dapat maging isang pinakamahusay na kasanayan," isinulat niya sa isang email sa CoinDesk. Idinagdag niya na ang Zeppelin ay kasalukuyang nakikipag-usap sa Ethereum Foundation para mangyari iyon.

Samantala, buod ni Krug ang kanyang sariling mga saloobin sa bagay na ito sa pamamagitan ng pagsasabi:

"Sa pangkalahatan, ang mensahe ay, mas maraming bagay ang dapat i-audit."

Balat ng ahas larawan sa pamamagitan ng Shutterstock