Ne faites confiance à ONE: la sécurité des contrats intelligents Ethereum progresse

« Tout le monde ici est une cible d'attaque. Soyez paranoïaques. »

C'est ainsi que Martin Swende, responsable de la sécurité de la Fondation Ethereum , a conclu sa conférence approfondie sur la sécurité des contrats intelligents lors de la Devcon3 hier. À ce stade, il a été témoin de nombreuses attaques contre Ethereum et souhaite que la communauté sache à quoi s'attendre.

Il y avait Le piratage du DAO, où des millions de dollars en ethers ont été volés à cause d'un bug de contrat intelligent. Il y a eu l'époque des transactions en Ethereum.ralenti à cause d'un attaquant inconnu – et ce, lors de ONEun des premiers jours de travail de Swende sur le protocole, rien de moins. Et puis, il y a quelques mois, le client Ethereum Parité perdue30 millions de dollars après avoir été piraté.

Et cela sans parler de tous les piratages liés au Bitcoin.

Avec cela, les développeurs soulignent que, aussi révolutionnaire Ethereum puisse et puisse être, il reste encore beaucoup de problèmes à résoudre, ONEune des raisons pour lesquelles la conférence phare du projet open source a mis l'accent sur la sécurité lors de sa deuxième journée, les développeurs et les universitaires publiant de nouveaux outils pour pousser la sécurité des contrats intelligents encore plus loin.

Malgré ces attaques majeures, les développeurs sont optimistes quant à l’avenir de la sécurité des contrats intelligents.

Sergio Demian Lerner, scientifique en chef et consultant en sécurité des Cryptomonnaie chez RSK Labs, a déclaré à CoinDesk:

« L’ensemble de l’écosystème est en train de mûrir en termes de sécurité. »

Les bons outils

Bien qu'il existe différents éléments d' Ethereum qui doivent être sécurisés, le deuxième jour de Devcon s'est concentré sur les contrats intelligents, probablement parce que les vulnérabilités dans le code de ces mécanismes sont à l'origine de la perte d'argent des gens.

Manuel Aráoz, directeur technique de la société de sécurité blockchain Zeppelin, a qualifié 2016 d'« âge sombre » de la sécurité Ethereum , mais, comme d'autres, a noté que les choses s'amélioraient.

D' une ONE, la « mise à niveau » des contrats intelligents une fois en service sur Ethereum constitue un problème majeur. Contrairement aux logiciels plus traditionnels, si un code de contrat intelligent présente un bug et qu'il est écrit sans protection, les développeurs ne peuvent pas simplement le mettre à jour.

Mais Araoz et son équipe chez Zeppelin ont travaillé sur un outil utile, dévoilant récemment un nouveau projet de système d'exploitation qui LOOKS faciliter la manipulation du code déjà opérationnel.

« Si nous avons un bug ou devons améliorer le programme, nous pouvons le faire. Cela peut servir à corriger le code de production », a-t-il déclaré.

Bien qu'il ne résolve T complètement le problème de mise à niveau, le projet fournit un nouvel outil - et ces ajouts à la boîte à outils du développeur Ethereum sont largement reconnus comme faisant progresser la sécurité des contrats intelligents.

Un autre projet dévoilé lors de l'événement, Securifyest vantéen tant qu'« outil d'audit de sécurité à bouton-poussoir ». Révélé lors d'une session intitulée « Not Your Grandma's Smart Contract Verification », il offre une interface simple aux développeurs pour connecter des contrats intelligents et vérifier certains types de bugs.

Lors de la session, Quentin Hibon, chercheur au Software Reliability Lab de ETH Zurich, a déclaré que Securify est une garantie de sécurité solide.

Avec des développements comme celui-ci, selon Lerner, tout va dans la bonne direction.

La machine virtuelle d'Ethereum a été améliorée en termes de sécurité, a-t-il déclaré. Une vérification formelle a été ajoutée, utilisant des preuves mathématiques pour détecter le bon fonctionnement des contrats intelligents, a-t-il poursuivi. De plus, Solidity, le principal langage de contrats intelligents d'Ethereum, a gagné en maturité, ce qui permet désormais de corriger de nombreuses erreurs au niveau de Solidity, a-t-il conclu.

« Toujours inquiet »

Cela ne signifie T pour autant que les contrats intelligents T poseront plus de problèmes à l'avenir. Presque toutes les discussions sur la sécurité de l'époque se terminaient par un appel à l'action, un avertissement ou une liste de problèmes non résolus auxquels était confronté le deuxième plus grand protocole de Cryptomonnaie en termes de capitalisation boursière.

Lerner de RSK, pour ONE, a indiqué qu'il analysait les contrats d'ICO (Initial Coin Offering) pendant son temps libre et repérait de nombreux bugs évidents. Le fait que les émetteurs de jetons sollicitent désormais l'aide d'experts en sécurité pour auditer le code de leurs contrats intelligents est un bon signe, a-t-il déclaré.

Les chercheurs d’une poignée d’universités tentent également de modifier les structures d’incitation autour des bugs, dans le but d’encourager les pirates à signaler les vulnérabilités au lieu de les exploiter.

Comme indiquépar CoinDesk hierHydra s'inspire du modèle traditionnel de prime aux bugs : en proposant par programmation aux pirates informatiques davantage de récompenses pour informer les développeurs d'un bug que ce que l'exploitation du bug leur rapporterait.

Mais beaucoup de ces projets n’en sont encore qu’à leurs débuts.

Ethereum – et les cryptomonnaies en général – restent une sorte de paradis pour les hackers.

« Le monde du piratage informatique a profondément changé. Les hackers tiraient leurs revenus des botnets pour les attaques par déni de service ; c'est assez difficile à mettre en place. Aujourd'hui, grâce aux Crypto, c'est très monétisable et les risques sont faibles », a déclaré Swende, de la Fondation Ethereum .

Cela entraîne de nouveaux défis auxquels les développeurs de blockchain doivent se préparer, et la première étape, selon Swende, est de rester vigilant.

Il a déclaré :

« Je suis toujours inquiet. »

Déclaration de transparence: CoinDesk est une filiale de Digital Currency Group, qui détient une participation dans RSK Labs et Zeppelin.

Image Devcon3 via Rachel Rose O'Leary