Microsoft lance un groupe de travail sur la sécurité des contrats intelligents

Microsoft a révélé qu'il organisait un groupe de travail dédié à l'amélioration de la sécurité des contrats intelligents.

Nommé 'Kinakuta', le groupe vise à faciliter le partage d'informations et de conseils entre les acteurs du secteur surcontrats intelligents, le terme quiun peu vaguement est devenu synonyme de code auto-exécutable basé sur la blockchain.

Pourtant, même si les acteurs en place expriment de plus en plus d'intérêt pour l'idée que les blockchains pourraient automatiser des transactions complexes, les inquiétudes concernant ce cas d'utilisation se sont accrues après qu'une vulnérabilité a conduit à l'effondrement de la première implémentation à grande échelle de la technologie, The DAO.

Depuis lors, on se rend de plus en plus compte que les contrats intelligents sont nouveaux et peuvent parfois être dangereux s’ils sont utilisés de manière incorrecte.

Cependant, Marley Gray, directeur du développement commercial et de la stratégie de Microsoft, estime que les informations ouvertes et les nouveaux outils pourraient aider les développeurs à éviter de futures erreurs.

Gray a déclaré à CoinDesk:

Nous pensons qu'il y a là une formidable opportunité d'impliquer la communauté. Kinakuta est la communauté qui se construit autour des meilleures pratiques de Microsoft et d'ailleurs, pour collecter les meilleures pratiques et les meilleurs outils et impliquer les développeurs dans leur création.

En collaboration avec Andrew Keys, responsable du développement commercial mondial chez Consensys, Gray a déclaré avoir dressé une liste de 35 développeurs et entreprises que Microsoft souhaite intégrer au groupe. Parmi ces organisations figurent la Fondation Ethereum , qui supervise le développement de la blockchain Ethereum ; R3CEV, un consortium bancaire spécialisé dans la blockchain ; et la startup BlockApps.

L'annonce officielle fait suite à l'annonce faite plus tôt ce mois-ci selon laquelle Microsoft avait créé un nouveaulivre blancavec des chercheurs de Harvard qui décrivent un moyen de prouver si les contrats intelligents Ethereum fonctionneront comme prévu.

Les développeurs peuvent potentiellement utiliser ces ressources pour repérer les problèmes avec leur code.

« Nous voulions explorer la possibilité d'écrire potentiellement des contrats intelligents dans un langage dans lequel, dès le départ, vos contrats intelligents seraient sécurisés », a déclaré Gray.

Vérification formelle

L’article propose une méthode de « vérification formelle », ou le processus de preuve ou de réfutation de l’exactitude d’un programme logiciel, ou dans ce cas, d’un contrat intelligent.

Ce livre blanc fait ONE d'une série d'outils visant à sécuriser les contrats intelligents, notamment de nouveaux langages de programmation adaptés à ces derniers. Il propose deux outils permettant de vérifier les contrats intelligents de trois manières.

Le premier est Solidity*, qui traduit un fragment de code Solidity en F*, un langage de programmation qui vérifie si les programmes se comportent comme prévu. Ensuite, il y a EVM*, qui décompile la représentation bytecode EVM d'un contrat intelligent en code source Solidity.

Ce deuxième outil est nécessaire car seulement 396 contrats sur 112 802 ont rendu la version Solidity du code disponible surEtherscanau moment du livre blanc, l'utilisation du bytecode est donc la meilleure option.

Malgré le manque actuel de prise en charge par Solidity* de fonctionnalités complexes comme les boucles, l'équipe a pu traduire 46 des 396 contrats écrits dans Solidity. Après avoir exécuté ces 46 contrats dans Solidity*, elle a constaté que seuls quelques-uns étaient « valides ».

« C’est un signe clair qu’une analyse à grande échelle des contrats publiés est susceptible de révéler des vulnérabilités généralisées ; nous laissons une telle analyse à des travaux futurs », conclut le document.

Il convient toutefois de noter que si beaucoup sont enthousiasmés par le développement rapide d’outils axés sur la sécurité des contrats intelligents, un leader du secteur pense que les développeurs continueront à faire des erreurs à NEAR terme.

Le créateur Ethereum, Vitalik Buterin, a écrit qu'il ne pensait T que ces nouveaux domaines de recherche arrêteraient nécessairement des situations futures comme The DAO.

« Il y aura d'autres bugs », a déclaré Buterin dans un Ethereum. article de blog explorer la sécurité future des contrats intelligents, « et nous en Guides d’autres leçons ».

Engrenages colorésvia Shutterstock