Не доверяйте ONE: безопасность смарт-контрактов Ethereum совершенствуется

«Каждый здесь — мишень для атаки. Будьте параноиком».

Вот как вчера на Devcon3 завершил свою лекцию по безопасности смарт-контрактов руководитель отдела безопасности Ethereum Foundation Мартин Свенде. На данный момент он стал свидетелем своей доли атак на Ethereum и хочет, чтобы сообщество знало, во что они ввязываются.

Там было Взлом DAO, где миллионы долларов в эфире были украдены из-за ошибки смарт-контракта. Было время, когда транзакции Ethereumзамедлился из-за неизвестного злоумышленника – это в ONE из первых дней работы Свенде над протоколом, не меньше. И затем, всего несколько месяцев назад, клиент Ethereum Паритет потерян 30 миллионов долларов после взлома.

И это не говоря уже обо всех взломах, связанных с биткоинами.

При этом разработчики отмечают, что, каким бы революционным ни был Ethereum , в нем еще много нерешенных проблем. ONE из причин, по которой на флагманской конференции проекта с открытым исходным кодом во второй день особое внимание уделялось безопасности: разработчики и ученые выпустили новые инструменты, которые выводят безопасность смарт-контрактов на новый уровень.

Однако, несмотря на эти серьезные атаки, разработчики с оптимизмом смотрят на будущее безопасности смарт-контрактов.

Главный научный сотрудник RSK Labs и консультант по безопасности Криптовалюта Серхио Демиан Лернер рассказал CoinDesk:

«Вся экосистема становится более зрелой с точки зрения безопасности».

Правильные инструменты

Хотя существуют различные части Ethereum , которые нуждаются в защите, второй день Devcon был посвящен смарт-контрактам, вероятно, потому, что уязвимости в коде этих механизмов являются причиной того, что люди теряют деньги.

Мануэль Араос, технический директор компании Zeppelin, занимающейся безопасностью блокчейна, назвал 2016 год «темными веками» безопасности Ethereum , но, как и другие, отметил, что ситуация улучшается.

Во ONE, «обновление» смарт-контрактов после их запуска на Ethereum — это огромная открытая проблема. В отличие от более традиционного программного обеспечения, если в коде смарт-контракта есть ошибка, и он написан без мер безопасности, разработчики не могут просто обновить код.

Но Араоз и его команда в Zeppelin работают над полезным инструментом и недавно представили новый проект ОС, который LOOKS упростить внесение изменений в уже работающий код.

«Если у нас есть ошибка или нам нужно улучшить программу, мы можем это сделать. Ее можно использовать для исправления производственного кода», — сказал он.

Хотя это T решает проблему обновления полностью, проект предоставляет новый инструмент, и эти дополнения к инструментарию разработчика Ethereum широко признаны как шаг вперед в области безопасности смарт-контрактов.

Еще один проект, представленный на мероприятии, Securify.рекламируетсякак «инструмент аудита безопасности с нажатием кнопки». Представленный на сессии под названием «Не проверка смарт-контрактов вашей бабушки», он предлагает разработчикам простой интерфейс для подключения смарт-контрактов и проверки на наличие определенных типов ошибок.

В ходе сессии научный сотрудник Лаборатории надежности программного обеспечения Швейцарской ETH технической школы Цюриха Квентин Хибон заявил, что Securify — это надежная гарантия безопасности.

По словам Лернера, при таком развитии событий все движется в правильном направлении.

Виртуальная машина Ethereum была улучшена с точки зрения безопасности, сказал он. Была добавлена формальная верификация, которая использует математические доказательства для определения того, правильно ли работают смарт-контракты, продолжил он. И основной язык смарт-контрактов Ethereum, Solidity, стал более зрелым, поэтому теперь многие ошибки исправлены на уровне Solidity, заключил он.

«Всегда беспокоюсь»

Это T значит, что в будущем T будет проблем со смарт-контрактами. Почти каждый разговор о безопасности в этот день заканчивался призывом к действию, предупреждением или списком открытых проблем, с которыми сталкивается второй по величине Криптовалюта протокол по рыночной капитализации.

Лернер из RSK, ONE, упомянул, что в свободное время разбирает контракты первичного предложения монет (ICO) и замечает множество очевидных ошибок. Тот факт, что эмитенты токенов теперь обращаются за помощью к экспертам по безопасности для аудита кода своих смарт-контрактов, является хорошим знаком, сказал он.

А исследователи из нескольких университетов также пытаются скорректировать структуру стимулов, связанных с ошибками, чтобы побудить хакеров сообщать об уязвимостях, а не эксплуатировать их.

Как сообщалосьот CoinDesk вчераHydra отходит от традиционной модели вознаграждения за обнаружение ошибок: программно предлагая хакерам больше вознаграждений за информирование разработчиков об ошибке, чем окупилось бы при эксплуатации этой ошибки.

Однако многие из этих проектов все еще находятся на ранних стадиях.

Ethereum и криптовалюты в целом остаются своего рода раем для хакеров.

«Сфера хакерства сильно изменилась. Источником дохода для хакеров стали ботнеты для атак типа «отказ в обслуживании»; их довольно сложно построить. Теперь, после Криптo, это так монетизируемо, и риски низкие», — сказал Свенде из Ethereum Foundation.

Это ставит перед разработчиками блокчейна новые задачи, к которым им следует подготовиться, и, по словам Свенде, первым шагом в этом направлении является сохранение бдительности.

Он заявил:

«Я всегда волнуюсь».

Раскрытие информации: CoinDesk является дочерней компанией Digital Currency Group, которая владеет долями в RSK Labs и Zeppelin.

Изображение Devcon3 предоставлено Рейчел Роуз О'Лири