ONE не довіряйте: безпека смарт-контрактів Ethereum розвивається

«Кожен тут є мішенню для нападу. Будьте параноїком».

Ось як вчора керівник відділу безпеки Ethereum Foundation Мартін Свенде завершив свою докладну лекцію про безпеку смарт-контрактів на Devcon3. На даний момент він став свідком неабиякої кількості атак на Ethereum і хоче, щоб спільнота знала, у що вони вплутуються.

Був Злом DAO, де через помилку смарт-контракту було вкрадено ефір на мільйони доларів. Був час транзакцій Ethereumсповільнений через невідомого зловмисника – це ONE із перших днів роботи Свенде над протоколом. А потім лише кілька місяців тому клієнт Ethereum Втрачено паритет 30 мільйонів доларів після злому.

І це не кажучи вже про всі хаки, пов’язані з біткойнами.

При цьому розробники зазначають, що – яким би революційним не міг і міг бути Ethereum – є ще багато недоліків, які потрібно виправити, що ONE з причин того, чому на конференції флагманського проекту з відкритим вихідним кодом другий день було так зосереджено увагу на безпеці, коли розробники та науковці випускають нові інструменти для підвищення безпеки смарт-контрактів.

Незважаючи на ці серйозні атаки, розробники з оптимізмом дивляться на те, куди рухається безпека смарт-контрактів.

Головний науковий співробітник RSK Labs і консультант з безпеки Криптовалюта Серхіо Деміан Лернер сказав CoinDesk:

«Вся екосистема розвивається з точки зору безпеки».

Правильні інструменти

Хоча існують різні частини Ethereum , які потребують захисту, другий день Devcon зосередився на смарт-контрактах, ймовірно, тому, що вразливі місця в коді цих механізмів є джерелом того, що люди втрачають гроші.

Мануель Араоз, технічний директор компанії безпеки блокчейнів Zeppelin, назвав 2016 рік «темними століттями» безпеки Ethereum , але, як і інші, зазначив, що ситуація покращується.

З ONE, «оновлення» смарт-контрактів після того, як вони опубліковані на Ethereum, є величезною відкритою проблемою. На відміну від більш традиційного програмного забезпечення, якщо у фрагменті коду смарт-контракту є помилка, і він написаний без гарантій, розробники не можуть просто оновити код.

Але Араоз і його команда в Zeppelin працювали над корисним інструментом, нещодавно оприлюднивши новий проект ОС, який , як LOOKS , полегшить роботу з кодом, який уже працює.

"Якщо у нас є помилка або потрібно вдосконалити програму, ми можемо це зробити. Її можна використовувати для виправлення робочого коду", - сказав він.

Хоча це T вирішує проблему оновлення повністю, проект надає новий інструмент – і ці доповнення до інструментарію розробника Ethereum широко визнані як просування безпеки смарт-контрактів вперед.

Ще один проект, представлений на заході, Securify рекламується як «кнопковий інструмент аудиту безпеки». Розкритий на сесії під назвою «Перевірка смарт-контракту не вашої бабусі», він пропонує розробникам простий інтерфейс для підключення смарт-контрактів і перевірки певних типів помилок.

Під час сесії дослідник Лабораторії надійності програмного забезпечення ETH Zurich Квентін Хібон сказав, що Securify є надійною гарантією безпеки.

З такими подіями, за словами Лернера, все йде в правильному напрямку.

За його словами, віртуальну машину Ethereum було покращено з точки зору безпеки. Було додано формальну перевірку, яка використовує математичні докази, щоб визначити, чи правильно працюють смарт-контракти, продовжив він. Основна мова смарт-контрактів Ethereum, Solidity, стала дорослішою, тому тепер багато помилок виправляються на рівні Solidity, підсумував він.

«Завжди хвилююся»

Це T означає, що надалі проблем із смарт-контрактами T буде. Майже кожна розмова про безпеку дня закінчувалася закликом до дії, попередженням або списком відкритих проблем, з якими стикається другий за величиною протокол Криптовалюта за ринковою капіталізацією.

Лернер із RSK, ONE, згадав, що у вільний час він розбирає контракти на первинну пропозицію монет (ICO) і виявляє багато очевидних помилок. Той факт, що емітенти токенів зараз звертаються за допомогою до експертів з безпеки для перевірки коду свого смарт-контракту, є хорошим знаком, сказав він.

І дослідники з кількох університетів також намагаються налаштувати стимулюючі структури навколо помилок, намагаючись заохотити хакерів повідомляти про вразливості, а не використовувати їх.

Як повідомляється від CoinDesk вчора, Hydra використовує традиційну модель винагороди за помилку: програмно пропонуючи хакерам більше винагороди за інформування розробників про помилку, ніж використання помилки.

Але багато з цих проектів все ще знаходяться на ранніх стадіях.

Ethereum – і криптовалюти в цілому – залишаються своєрідним раєм для хакерів.

«Сцена хакерства надзвичайно змінилася. Потік доходу для хакерів полягав у ботнетах для атак на відмову в обслуговуванні; це досить важко створити. Тепер, після Крипто, це так монетизується, і є низькі ризики», — сказав Свенде з Ethereum Foundation.

Це приносить нові виклики, до яких розробники блокчейнів повинні підготуватися, і перший крок, за словами Свенде, полягає в тому, щоб залишатися пильними.

Він заявив:

«Я завжди хвилююся».

Повідомлення: CoinDesk є дочірньою компанією Digital Currency Group, яка має частку власності в RSK Labs і Zeppelin.

Зображення Devcon3 від Рейчел Роуз О'Лірі