Non fidarti di ONE: la sicurezza degli smart contract Ethereum sta avanzando

"Tutti qui sono un bersaglio per un attacco. Sii paranoico."

È così che Martin Swende, responsabile della sicurezza Ethereum Foundation, ha concluso la sua lezione approfondita sulla sicurezza degli smart contract al Devcon3 di ieri. A questo punto, ha assistito alla sua giusta quota di attacchi a Ethereum e vuole che la comunità sappia in cosa si sta cacciando.

C'eraL'hacking del DAO, dove milioni di dollari in ether sono stati rubati a causa di un bug dello smart contract. C'è stata la volta delle transazioni Ethereumrallentato a causa di un aggressore sconosciuto, nientemeno che in ONE dei primi giorni di lavoro di Swende sul protocollo. E poi, solo pochi mesi fa, il client Ethereum Parità persa30 milioni di dollari dopo l'hacking.

Per non parlare poi di tutti gli attacchi informatici che hanno coinvolto Bitcoin.

Con questo, gli sviluppatori sottolineano che, per quanto Ethereum possa e potrebbe essere rivoluzionario, ci sono ancora molti problemi da risolvere, ONE dei motivi per cui la conferenza di punta del progetto open source ha visto una tale attenzione sulla sicurezza nel suo secondo giorno, con sviluppatori e accademici che hanno rilasciato nuovi strumenti per portare la sicurezza degli smart contract un passo avanti.

Nonostante questi attacchi importanti, gli sviluppatori sono ottimisti sulla direzione intrapresa dalla sicurezza degli smart contract.

Sergio Demian Lerner, capo scienziato e consulente per la sicurezza Criptovaluta di RSK Labs, ha dichiarato a CoinDesk:

"L'intero ecosistema sta maturando in termini di sicurezza."

Gli strumenti giusti

Sebbene vi siano diverse parti di Ethereum che necessitano di protezione, il secondo giorno del Devcon si è concentrato sugli smart contract, probabilmente perché le vulnerabilità nel codice di questi meccanismi sono la causa delle perdite di denaro delle persone.

Manuel Aráoz, CTO della società di sicurezza blockchain Zeppelin, ha definito il 2016 come "l'epoca buia" della sicurezza Ethereum , ma, come altri, ha notato che le cose stanno migliorando.

Per ONE, "aggiornare" gli smart contract una volta che sono attivi su Ethereum è un enorme problema aperto. A differenza dei software più tradizionali, se c'è un bug in un pezzo di codice di smart contract, ed è scritto senza protezioni, non c'è modo che gli sviluppatori possano semplicemente aggiornare il codice.

Ma Araoz e il suo team alla Zeppelin hanno lavorato a uno strumento utile, presentando di recente un nuovo progetto di sistema operativo che LOOKS a semplificare la modifica del codice già attivo e funzionante.

"Se abbiamo un bug o dobbiamo migliorare il programma, possiamo farlo. Può essere usato per correggere il codice di produzione", ha detto.

Sebbene T risolva completamente il problema dell'aggiornamento, il progetto fornisce un nuovo strumento e queste aggiunte alla cassetta degli attrezzi degli sviluppatori Ethereum sono ampiamente riconosciute come un passo avanti nella sicurezza degli smart contract.

Un altro progetto svelato all'evento, Securifyè pubblicizzatocome uno "strumento di controllo della sicurezza a pulsante". Rivelato in una sessione intitolata "Non la verifica degli smart contract di tua nonna", offre un'interfaccia semplice per gli sviluppatori per collegare smart contract e verificare determinati tipi di bug.

Nel corso della sessione, Quentin Hibon, ricercatore del Software Reliability Lab ETH Zurich, ha affermato che Securify è una solida garanzia di sicurezza.

Con sviluppi come questo, secondo Lerner, tutto sta andando nella giusta direzione.

La macchina virtuale di Ethereum è stata migliorata in termini di sicurezza, ha affermato. È stata aggiunta la verifica formale, che utilizza prove matematiche per rilevare se gli smart contract funzionano correttamente, ha continuato. E il linguaggio principale degli smart contract di Ethereum, Solidity, è maturato, quindi ora molti errori vengono corretti a livello di Solidity, ha concluso.

"Sempre preoccupato"

Questo T significa che T ci saranno ancora problemi con gli smart contract in futuro. Quasi ogni discussione sulla sicurezza della giornata si è conclusa con un invito all'azione, un avviso o un elenco di problemi aperti che affliggono il secondo protocollo Criptovaluta per capitalizzazione di mercato.

Lerner di RSK, per ONE, ha detto che smonta i contratti di initial coin offering (ICO) nel suo tempo libero e individua molti bug evidenti. Il fatto che gli emittenti di token stiano ora sollecitando l'aiuto di esperti di sicurezza per verificare il codice del loro smart contract è un buon segno, ha detto.

Anche i ricercatori di alcune università stanno cercando di modificare i sistemi di incentivazione dei bug, nel tentativo di incoraggiare gli hacker a segnalare le vulnerabilità invece di sfruttarle.

Come riportatodi CoinDesk ieriHydra si ispira al tradizionale modello di bug bounty: offre programmaticamente agli hacker ricompense più consistenti per informare gli sviluppatori di un bug rispetto a quelle che otterrebbero sfruttando il bug stesso.

Ma molti di questi progetti sono ancora nelle fasi iniziali.

Ethereum , e le criptovalute in generale, rimangono una sorta di paradiso per gli hacker.

"La scena dell'hacking è cambiata enormemente. Il flusso di entrate per gli hacker era costituito da botnet per attacchi denial of service; è piuttosto difficile da costruire. Ora, dopo le Cripto, è così monetizzabile e ci sono bassi rischi", ha affermato Swende della Ethereum Foundation.

Ciò comporta nuove sfide per gli sviluppatori di blockchain, che devono prepararsi e il primo passo, secondo Swende, è restare vigili.

Ha affermato:

"Sono sempre preoccupato."

Dichiarazione informativa: CoinDesk è una sussidiaria di Digital Currency Group, che detiene una quota di proprietà in RSK Labs e Zeppelin.

Immagine Devcon3 tramite Rachel Rose O'Leary