Никому не доверяйте: Ethereum совершенствует безопасность смарт-контрактов
<p><strong>Никому не доверяйте: Ethereum совершенствует безопасность смарт-контрактов</strong></p> <p> </p> <p

Никому не доверяйте: Ethereum совершенствует безопасность смарт-контрактов

 

«Все здесь - цель атаки. Будьте параноиками».

 

Именно так вчера на конференции разработчиков эфириума Devcon3 главный специалист по безопасности Ethereum Foundation, Мартин Свенде, закончил свою лекцию, посвящённую безопасности смарт-контрактов. Мартин Свенде стал свидетелем атак на эфириум и хочет, чтобы сообщество узнало, как эти атаки совершаются.

 

Не так давно был взломан DAO, и тогда миллионы долларов в эфире были украдены из-за ошибки в смарт-контрактах. Также было время, когда транзакции эфириума замедлились из-за атаки неизвестного хакера – это случилось в один из первых дней работы Свенде над протоколом. И вот всего несколько месяцев назад в результате взлома клиент эфириума Пэрити (Parity) потерял 30 миллионов долларов США.

 

И это мы ещё не говорили обо всех связанных с биткоинами взломах.

 

В данном контексте разработчики отмечают, что – насколько революционным есть и мог бы быть эфириум – всё ещё существует много недоработок, и это является одной из причин того, что во второй день флагманской конференции разработчиков проекта с открытым исходным кодом было уделено столько внимания вопросам безопасности, а разработчики и учёные выпускают всё новые инструменты для обеспечения безопасности смарт-контрактов.

 

Несмотря на эти крупные атаки, разработчики с оптимизмом смотрят на то, как продвигается усовершенствование безопасности смарт-контрактов.

 

Как сообщил информационному агентству CoinDesk главный научный сотрудник и консультант по безопасности криптовалют RSK Labs, Серджио Демьян Лернер:

 

«Вся экосистема становится более зрелой с точки зрения безопасности».

 

Правильные инструменты

 

Так как разные части эфирума нуждаются в защите, второй день конференции разработчиков эфириума Devcon был посвящен смарт-контрактам. Это, вероятно, объясняется тем, что уязвимость в коде этого механизма является основной проблемой, из-за которой люди теряют деньги.

 

Мануал Араос, технический директор блокчейн-компании Zeppelin, назвал 2016 год «темными веками» безопасности эфира, но, как и другие, отметил, что ситуация улучшается.

 

Во-первых, «модернизация» смарт-контрактов является огромной нерешённой проблемой. В отличие от более традиционного программного обеспечения, если есть ошибка в части кода смарт-контракта, и он написан без каких-либо гарантий, разработчики не могут просто обновить код.

 

Араос и его команда разработчиков компании Zeppelin работали над созданием полезного инструмента, а также недавно представили новый проект операционной системы, который, судя по всему, должен упростить работу с уже запущенным и работающим кодом.

 

«Если у нас есть ошибка или нужно улучшить программу, мы можем это сделать. Её можно использовать для исправления кода», - заявил он.

 

Несмотря на то, что это полностью не решает проблему обновления, проект предоставляет новый инструмент, и эти дополнения к панели инструментов разработчика эфириума рассматриваются всеми как значительный прогресс в усовершенствовании безопасности смарт-контрактов.

 

Другой проект, представленный на мероприятии, Securify рекламируется как «инструмент аудита безопасности». Данный проект был опубликован под названием «Не бабушкина верификация смарт-контрактов», он предлагает простой интерфейс для разработчиков, который позволяет пользователям подключать смарт-контракты и проверять определённые типы ошибок.

 

На конференции исследователь лаборатории ETH Zurich Software Reliability, Квентин Гибон, заявил, что Securify является надёжной гарантией безопасности.

 

По сообщению Лернера, такие разработки определят правильное направление.

 

Он заявил, что виртуальная машина эфириума была улучшена с точки зрения безопасности. Была добавлена ​​формальная проверка, в которой используются математические доказательства, чтобы определить, работают ли смарт-контракты должным образом, продолжил он. И основной язык смарт-контрактов эфириума, Solidity, уже достаточно зрелый, поэтому теперь многие ошибки исправляются на уровне Solidity, заключил он.

 

«Всегда волновался»

 

Это не означает, что проблем со смарт-контрактами больше не будет. Почти каждый разговор о безопасности заканчивается призывом к действию, предупреждением или списком нерешённых проблем, стоящих перед второй по величине рыночной капитализации криптовалютой.

 

Лернер, например, упомянул, что в своё свободное время он анализирует контракты первичных предложений монет (ICO) и обнаруживает в них много очевидных ошибок. Тот факт, что эмитенты токенов в настоящее время запрашивают помощь экспертов по безопасности для проверки их кода смарт-контрактов, является хорошим признаком, сказал он.

 

Исследователи из нескольких университетов также пытаются устранить ошибки, пытаясь побудить хакеров сообщать об уязвимостях системы, а не наживаться на них.

 

Как сообщило вчера информационное агентство CoinDesk, Hydra поговаривает о запуске традиционной модели Bug Bounty: предлагая хакерам больше вознаграждений за информирование разработчиков об ошибке, в то время как использование ошибки в личных интересах не будет вознаграждаться.

 

Но многие из этих проектов все ещё находятся на ранней стадии.

 

Эфириум - и криптовалюты в целом - остаются своего рода хакерским раем.

 

«Схема взлома сильно изменилась: поток доходов для хакеров был связан с ботнетами для атак типа «отказ в обслуживании», что является довольно сложной схемой. Теперь, после появления криптовалют, эта схема довольна прибыльная, а риски достаточно низкие», - заявил Свенде из Ethereum Foundation.

 

Это создаёт новые проблемы, к которым разработчики блокчейнов должны быть готовы, и первым шагом, по словам Свенде, должна стать особая бдительность.

 

Он заявил:

 

«Я всегда на чеку».

Новости из мира биткойнов http://coinbits.news/