Huwag Magtiwala sa ONE: Ang Ethereum Smart Contract Security ay Sumusulong

"Lahat ng tao dito ay target ng atake. Maging paranoid."

Ganyan tinapos ng pinuno ng seguridad ng Ethereum Foundation na si Martin Swende ang kanyang malalim na panayam tungkol sa seguridad ng matalinong kontrata sa Devcon3 kahapon. Sa puntong ito, nasaksihan niya ang kanyang patas na bahagi ng mga pag-atake sa Ethereum at gusto niyang malaman ng komunidad kung ano ang kanilang pinapasok.

nagkaroon Ang DAO hack, kung saan ninakaw ang milyun-milyong dolyar sa ether dahil sa isang smart contract bug. Nagkaroon ng oras na mga transaksyon sa Ethereumbumagal dahil sa isang hindi kilalang umaatake – ito sa ONE sa mga unang araw ng Swende na nagtatrabaho sa protocol, hindi kukulangin. At pagkatapos lamang ng ilang buwan ang nakalipas, Ethereum client Nawala ang parity $30 milyon matapos ma-hack.

At hindi iyon banggitin ang lahat ng mga hack na nauugnay sa bitcoin.

Sa pamamagitan nito, itinuro ng mga developer na – bilang rebolusyonaryo ng Ethereum at maaaring mangyari – marami pa ring problemang dapat ayusin, ONE sa mga dahilan kung bakit nakita ng flagship conference ng open-source na projet ang pagtutok sa seguridad sa ikalawang araw nito, kung saan ang mga developer at akademya ay parehong naglalabas ng mga bagong tool upang mapasulong ang seguridad ng smart contract.

Gayunpaman, sa kabila ng mga pangunahing pag-atake na ito, umaasa ang mga developer tungkol sa kung saan patungo ang seguridad ng matalinong kontrata.

Sinabi ng punong siyentipiko ng RSK Labs at consultant ng seguridad ng Cryptocurrency na si Sergio Demian Lerner sa CoinDesk:

"Ang buong ecosystem ay naghihinog sa mga tuntunin ng seguridad."

Ang mga tamang kasangkapan

Bagama't may iba't ibang piraso ng Ethereum na kailangang i-secure, ang ikalawang araw ng Devcon ay nakatuon sa mga matalinong kontrata, malamang dahil ang mga kahinaan sa code ng mekanismong ito ay ang pinagmulan ng mga taong nalulugi.

Si Manuel Aráoz, CTO ng blockchain security company na Zeppelin, ay tinawag ang 2016 na "dark ages" ng Ethereum security, ngunit, tulad ng iba, nabanggit na ang mga bagay ay bumubuti.

Para sa ONE, ang "pag-upgrade" ng mga smart contract kapag live na sila sa Ethereum ay isang malaking bukas na problema. Hindi tulad ng mas tradisyunal na software, kung mayroong isang bug sa isang piraso ng smart contract code, at ito ay nakasulat nang walang mga pananggalang, walang paraan na maa-update lang ng mga developer ang code.

Ngunit si Araoz at ang kanyang koponan sa Zeppelin ay gumagawa ng isang kapaki-pakinabang na tool, kamakailan ay nag-unveil ng isang bagong proyekto sa OS na LOOKS ginagawang mas madali ang pag-ikot sa code na gumagana na at tumatakbo na.

"Kung mayroon kaming isang bug o kailangan upang mapabuti ang programa, maaari naming gawin ito. Maaari itong magamit upang ayusin ang code ng produksyon," sabi niya.

Bagama't T nito lubusang nalulutas ang problema sa pag-upgrade, ang proyekto ay nagbibigay ng bagong tool - at ang mga pagdaragdag na ito sa toolbox ng developer ng Ethereum ay malawak na kinikilala bilang pagpapasulong ng seguridad ng matalinong kontrata.

Isa pang proyekto ang inihayag sa kaganapan, ang Securify ay ipinagmamalaki bilang isang "push-button security auditing tool." Inihayag sa isang session na pinamagatang "Not Your Lola's Smart Contract Verification," nag-aalok ito ng madaling interface para sa mga developer na magsaksak ng mga smart contract at suriin kung may ilang uri ng bug.

Sa panahon ng session, sinabi ng researcher ng ETH Zurich Software Reliability Lab na si Quentin Hibon na ang Securify ay isang malakas na garantiya sa seguridad.

Sa mga pag-unlad na tulad nito, ayon kay Lerner, ang lahat ay patungo sa tamang direksyon.

Ang virtual machine ng Ethereum ay napabuti sa mga tuntunin ng seguridad, aniya. Idinagdag ang pormal na pag-verify, na gumagamit ng mga patunay sa matematika upang makita kung gumagana nang maayos ang mga smart contract, patuloy niya. At ang pangunahing matalinong wika ng kontrata ng ethereum, ang Solidity ay nag-mature na, kaya ngayon maraming mga pagkakamali ang naitama sa antas ng Solidity, pagtatapos niya.

'Laging nag-aalala'

T ito nangangahulugan na T pa rin magkakaroon ng mga problema sa mga susunod na smart contract. Halos lahat ng pag-uusap sa seguridad ng araw ay nagtatapos sa isang call to action, isang babala o isang listahan ng mga bukas na problema na kinakaharap ng pangalawang pinakamalaking Cryptocurrency protocol ayon sa market cap.

Binanggit ni Lerner ng RSK, para sa ONE, na inaalis niya ang mga kontrata ng initial coin offering (ICO) sa kanyang bakanteng oras at nakikita ang maraming halatang bug. Ang katotohanan na ang mga tagapagbigay ng token ay humihingi na ngayon ng tulong sa mga eksperto sa seguridad upang i-audit ang kanilang smart contract code ay isang magandang senyales, aniya.

At sinusubukan din ng mga mananaliksik mula sa ilang mga unibersidad na i-tweak ang mga istruktura ng insentibo sa paligid ng mga bug, sa pagsisikap na hikayatin ang mga hacker na mag-ulat ng mga kahinaan sa halip na pagsasamantalahan ang mga ito.

Tulad ng iniulat ng CoinDesk kahapon, Hydra riffs off ang tradisyonal na bug bounty modelo: programmatically nag-aalok ng mga hacker ng higit pa sa paraan ng mga gantimpala upang ipaalam sa mga developer tungkol sa isang bug kaysa sa pagsasamantala sa bug ay magbabayad.

Ngunit marami sa mga proyektong ito ay nasa mga unang yugto pa rin.

Ang Ethereum – at mga cryptocurrencies sa pangkalahatan – ay nananatiling isang uri ng paraiso ng hacker.

"Ang eksena sa pag-hack ay lubhang nagbago. Ang stream ng kita para sa mga hacker ay may mga botnet para sa pagtanggi sa mga pag-atake ng serbisyo; iyon ay medyo mahirap na buuin. Ngayon, pagkatapos ng Crypto, ito ay napaka-monetize, at may mga mababang panganib," sabi ng Swende ng Ethereum Foundation.

Nagdudulot ito ng mga bagong hamon na dapat paghandaan ng mga developer ng blockchain, at ang unang hakbang, ayon kay Swende, ay ang manatiling mapagbantay.

Sinabi niya:

"Lagi akong nag-aalala."

Disclosure: Ang CoinDesk ay isang subsidiary ng Digital Currency Group, na mayroong stake ng pagmamay-ari sa RSK Labs at Zeppelin.

Larawan ng Devcon3 sa pamamagitan ni Rachel Rose O'Leary