Não confie em ONE: a segurança do contrato inteligente Ethereum está avançando

"Todos aqui são alvos de ataque. Sejam paranóicos."

Foi assim que o líder de segurança da Ethereum Foundation, Martin Swende, encerrou sua palestra aprofundada sobre segurança de contratos inteligentes na Devcon3 ontem. A essa altura, ele testemunhou sua cota de ataques ao Ethereum e quer que a comunidade saiba no que está se metendo.

HouveO hack do DAO, onde milhões de dólares em ether foram roubados devido a um bug de contrato inteligente. Houve uma época em que as transações de Ethereumdesacelerou por causa de um invasor desconhecido – isso em um dos primeiros dias de Swende trabalhando no protocolo, nada menos. E então, há apenas alguns meses, o cliente Ethereum Paridade perdidaUS$ 30 milhões após ser hackeado.

E isso sem mencionar todos os hacks relacionados ao bitcoin.

Com isso, os desenvolvedores ressaltam que, por mais revolucionário que o Ethereum possa ser, ainda há muitos problemas a serem resolvidos, um dos motivos pelos quais a principal conferência do projeto de código aberto teve tanto foco na segurança em seu segundo dia, com desenvolvedores e acadêmicos lançando novas ferramentas para levar a segurança de contratos inteligentes um passo adiante.

Apesar desses grandes ataques, os desenvolvedores estão otimistas sobre o rumo que a segurança dos contratos inteligentes está tomando.

O cientista-chefe do RSK Labs e consultor de segurança de Criptomoeda , Sergio Demian Lerner, disse ao CoinDesk:

"Todo o ecossistema está amadurecendo em termos de segurança."

As ferramentas certas

Embora existam diferentes partes do Ethereum que precisam ser protegidas, o segundo dia da Devcon se concentrou em contratos inteligentes, provavelmente porque vulnerabilidades no código desses mecanismos são a gênese das perdas de dinheiro das pessoas.

Manuel Aráoz, CTO da empresa de segurança blockchain Zeppelin, chamou 2016 de "era das trevas" da segurança do Ethereum , mas, como outros, observou que as coisas estão melhorando.

Para ONE, "atualizar" contratos inteligentes uma vez que eles estejam ativos no Ethereum é um grande problema em aberto. Ao contrário de softwares mais tradicionais, se houver um bug em um pedaço do código do contrato inteligente, e ele for escrito sem salvaguardas, não há como os desenvolvedores simplesmente atualizarem o código.

Mas Araoz e sua equipe na Zeppelin têm trabalhado em uma ferramenta útil, revelando recentemente um novo projeto de sistema operacional que LOOKS facilitar a manipulação de códigos que já estão em execução.

"Se tivermos um bug ou precisarmos melhorar o programa, podemos fazê-lo. Ele pode ser usado para consertar o código de produção", disse ele.

Embora T resolva completamente o problema de atualização, o projeto fornece uma nova ferramenta – e essas adições à caixa de ferramentas do desenvolvedor Ethereum são amplamente reconhecidas como um avanço na segurança de contratos inteligentes.

Outro projeto revelado no evento, o Securifyé elogiadocomo uma "ferramenta de auditoria de segurança de botão de pressão". Revelado em uma sessão intitulada "Não é a verificação de contrato inteligente da sua avó", ele oferece uma interface fácil para desenvolvedores conectarem contratos inteligentes e verificarem certos tipos de bugs.

Durante a sessão, o pesquisador do ETH Zurich Software Reliability Lab, Quentin Hibon, disse que o Securify é uma forte garantia de segurança.

Com acontecimentos como esse, segundo Lerner, tudo está caminhando na direção certa.

A máquina virtual do Ethereum foi melhorada em termos de segurança, ele disse. A verificação formal foi adicionada, que usa provas matemáticas para detectar se os contratos inteligentes funcionam corretamente, ele continuou. E a principal linguagem de contrato inteligente do ethereum, Solidity, amadureceu, então agora muitos erros são corrigidos no nível do Solidity, ele concluiu.

"Sempre preocupado"

Isso T quer dizer que T haverá problemas com contratos inteligentes daqui para frente. Quase todas as conversas sobre segurança do dia terminaram com um chamado para ação, um aviso ou uma lista de problemas abertos que o segundo maior protocolo de Criptomoeda por capitalização de mercado enfrenta.

Lerner, da RSK, por ONE, mencionou que ele desmonta contratos de oferta inicial de moeda (ICO) em seu tempo livre e identifica muitos bugs óbvios. O fato de que os emissores de tokens agora estão solicitando a ajuda de especialistas em segurança para auditar seu código de contrato inteligente é um bom sinal, ele disse.

E pesquisadores de algumas universidades também estão tentando ajustar as estruturas de incentivo em torno de bugs, em um esforço para encorajar hackers a relatar vulnerabilidades em vez de explorá-las.

Conforme relatadopor CoinDesk ontemO Hydra é uma variação do modelo tradicional de recompensa por bugs: oferece aos hackers, programaticamente, mais recompensas para informar os desenvolvedores sobre um bug do que a exploração do bug pagaria.

Mas muitos desses projetos ainda estão nos estágios iniciais.

Ethereum – e criptomoedas em geral – continuam sendo uma espécie de paraíso para hackers.

"O cenário de hacking mudou tremendamente. O fluxo de receita para hackers era com botnets para ataques de negação de serviço; isso é bem difícil de construir. Agora, depois da Cripto, é tão monetizável, e há riscos baixos", disse Swende, da Ethereum Foundation.

Isso traz novos desafios para os quais os desenvolvedores de blockchain devem se preparar, e o primeiro passo, de acordo com Swende, é permanecer vigilante.

Ele afirmou:

"Estou sempre preocupado."

Aviso Importante: A CoinDesk é uma subsidiária do Digital Currency Group, que possui participação acionária na RSK Labs e na Zeppelin.

Imagem Devcon3 via Rachel Rose O'Leary