Share this article
Huwag Magtiwala sa ONE: Ang Ethereum Smart Contract Security ay Sumusulong
Ang seguridad ay isang alalahanin para sa Ethereum habang ito ay patuloy na lumalaki, at marami ang nag-iisip na ang pinakamahusay na paraan upang manatiling nangunguna ay ang palaging pagbabantay.
Updated Sep 13, 2021, 7:07 a.m. Published Nov 3, 2017, 9:00 p.m.
Gawin kaming preferred sa Google
"Lahat ng tao dito ay target ng atake. Maging paranoid."
Ganyan tinapos ng pinuno ng seguridad ng Ethereum Foundation na si Martin Swende ang kanyang malalim na panayam tungkol sa seguridad ng matalinong kontrata sa Devcon3 kahapon. Sa puntong ito, nasaksihan niya ang kanyang patas na bahagi ng mga pag-atake sa Ethereum at gusto niyang malaman ng komunidad kung ano ang kanilang pinapasok.
Ipagpatuloy Ang Kwento Sa Baba
Don't miss another story.Subscribe to the Crypto Daybook Americas Newsletter today. See all newsletters
nagkaroon Ang DAO hack, kung saan ninakaw ang milyun-milyong dolyar sa ether dahil sa isang smart contract bug. Nagkaroon ng oras na mga transaksyon sa Ethereumbumagal dahil sa isang hindi kilalang umaatake – ito sa ONE sa mga unang araw ng Swende na nagtatrabaho sa protocol, hindi kukulangin. At pagkatapos lamang ng ilang buwan ang nakalipas, Ethereum client Nawala ang parity $30 milyon matapos ma-hack.
At hindi iyon banggitin ang lahat ng mga hack na nauugnay sa bitcoin.
Sa pamamagitan nito, itinuro ng mga developer na – bilang rebolusyonaryo ng Ethereum at maaaring mangyari – marami pa ring problemang dapat ayusin, ONE sa mga dahilan kung bakit nakita ng flagship conference ng open-source na projet ang pagtutok sa seguridad sa ikalawang araw nito, kung saan ang mga developer at akademya ay parehong naglalabas ng mga bagong tool upang mapasulong ang seguridad ng smart contract.
Gayunpaman, sa kabila ng mga pangunahing pag-atake na ito, umaasa ang mga developer tungkol sa kung saan patungo ang seguridad ng matalinong kontrata.
Sinabi ng punong siyentipiko ng RSK Labs at consultant ng seguridad ng Cryptocurrency na si Sergio Demian Lerner sa CoinDesk:
"Ang buong ecosystem ay naghihinog sa mga tuntunin ng seguridad."
Ang mga tamang kasangkapan
Bagama't may iba't ibang piraso ng Ethereum na kailangang i-secure, ang ikalawang araw ng Devcon ay nakatuon sa mga matalinong kontrata, malamang dahil ang mga kahinaan sa code ng mekanismong ito ay ang pinagmulan ng mga taong nalulugi.
Si Manuel Aráoz, CTO ng blockchain security company na Zeppelin, ay tinawag ang 2016 na "dark ages" ng Ethereum security, ngunit, tulad ng iba, nabanggit na ang mga bagay ay bumubuti.
Para sa ONE, ang "pag-upgrade" ng mga smart contract kapag live na sila sa Ethereum ay isang malaking bukas na problema. Hindi tulad ng mas tradisyunal na software, kung mayroong isang bug sa isang piraso ng smart contract code, at ito ay nakasulat nang walang mga pananggalang, walang paraan na maa-update lang ng mga developer ang code.
Ngunit si Araoz at ang kanyang koponan sa Zeppelin ay gumagawa ng isang kapaki-pakinabang na tool, kamakailan ay nag-unveil ng isang bagong proyekto sa OS na LOOKS ginagawang mas madali ang pag-ikot sa code na gumagana na at tumatakbo na.
"Kung mayroon kaming isang bug o kailangan upang mapabuti ang programa, maaari naming gawin ito. Maaari itong magamit upang ayusin ang code ng produksyon," sabi niya.
Bagama't T nito lubusang nalulutas ang problema sa pag-upgrade, ang proyekto ay nagbibigay ng bagong tool - at ang mga pagdaragdag na ito sa toolbox ng developer ng Ethereum ay malawak na kinikilala bilang pagpapasulong ng seguridad ng matalinong kontrata.
Isa pang proyekto ang inihayag sa kaganapan, ang Securify ay ipinagmamalaki bilang isang "push-button security auditing tool." Inihayag sa isang session na pinamagatang "Not Your Lola's Smart Contract Verification," nag-aalok ito ng madaling interface para sa mga developer na magsaksak ng mga smart contract at suriin kung may ilang uri ng bug.
Sa panahon ng session, sinabi ng researcher ng ETH Zurich Software Reliability Lab na si Quentin Hibon na ang Securify ay isang malakas na garantiya sa seguridad.
Sa mga pag-unlad na tulad nito, ayon kay Lerner, ang lahat ay patungo sa tamang direksyon.
Ang virtual machine ng Ethereum ay napabuti sa mga tuntunin ng seguridad, aniya. Idinagdag ang pormal na pag-verify, na gumagamit ng mga patunay sa matematika upang makita kung gumagana nang maayos ang mga smart contract, patuloy niya. At ang pangunahing matalinong wika ng kontrata ng ethereum, ang Solidity ay nag-mature na, kaya ngayon maraming mga pagkakamali ang naitama sa antas ng Solidity, pagtatapos niya.
'Laging nag-aalala'
T ito nangangahulugan na T pa rin magkakaroon ng mga problema sa mga susunod na smart contract. Halos lahat ng pag-uusap sa seguridad ng araw ay nagtatapos sa isang call to action, isang babala o isang listahan ng mga bukas na problema na kinakaharap ng pangalawang pinakamalaking Cryptocurrency protocol ayon sa market cap.
Binanggit ni Lerner ng RSK, para sa ONE, na inaalis niya ang mga kontrata ng initial coin offering (ICO) sa kanyang bakanteng oras at nakikita ang maraming halatang bug. Ang katotohanan na ang mga tagapagbigay ng token ay humihingi na ngayon ng tulong sa mga eksperto sa seguridad upang i-audit ang kanilang smart contract code ay isang magandang senyales, aniya.
At sinusubukan din ng mga mananaliksik mula sa ilang mga unibersidad na i-tweak ang mga istruktura ng insentibo sa paligid ng mga bug, sa pagsisikap na hikayatin ang mga hacker na mag-ulat ng mga kahinaan sa halip na pagsasamantalahan ang mga ito.
Tulad ng iniulat ng CoinDesk kahapon, Hydra riffs off ang tradisyonal na bug bounty modelo: programmatically nag-aalok ng mga hacker ng higit pa sa paraan ng mga gantimpala upang ipaalam sa mga developer tungkol sa isang bug kaysa sa pagsasamantala sa bug ay magbabayad.
Ngunit marami sa mga proyektong ito ay nasa mga unang yugto pa rin.
Ang Ethereum – at mga cryptocurrencies sa pangkalahatan – ay nananatiling isang uri ng paraiso ng hacker.
"Ang eksena sa pag-hack ay lubhang nagbago. Ang stream ng kita para sa mga hacker ay may mga botnet para sa pagtanggi sa mga pag-atake ng serbisyo; iyon ay medyo mahirap na buuin. Ngayon, pagkatapos ng Crypto, ito ay napaka-monetize, at may mga mababang panganib," sabi ng Swende ng Ethereum Foundation.
Nagdudulot ito ng mga bagong hamon na dapat paghandaan ng mga developer ng blockchain, at ang unang hakbang, ayon kay Swende, ay ang manatiling mapagbantay.
Sinabi niya:
"Lagi akong nag-aalala."
Disclosure: Ang CoinDesk ay isang subsidiary ng Digital Currency Group, na mayroong stake ng pagmamay-ari sa RSK Labs at Zeppelin.
Larawan ng Devcon3 sa pamamagitan ni Rachel Rose O'Leary
More For You
Pudgy Penguins is building a multi-vertical consumer IP platform — combining phygital products, games, NFTs and PENGU to monetize culture at scale.
What to know:
Pudgy Penguins is emerging as one of the strongest NFT-native brands of this cycle, shifting from speculative “digital luxury goods” into a multi-vertical consumer IP platform. Its strategy is to acquire users through mainstream channels first; toys, retail partnerships and viral media, then onboard them into Web3 through games, NFTs and the PENGU token.
The ecosystem now spans phygital products (> $13M retail sales and >1M units sold), games and experiences (Pudgy Party surpassed 500k downloads in two weeks), and a widely distributed token (airdropped to 6M+ wallets). While the market is currently pricing Pudgy at a premium relative to traditional IP peers, sustained success depends on execution across retail expansion, gaming adoption and deeper token utility.
More For You
Number of wallets with 1 million XRP is rising again
On-chain data points to underlying demand for XRP as ETFs pull in over $90 million.
What to know:
- XRP has fallen about 4 percent so far this month, even as on-chain data point to strengthening underlying investor interest.
- U.S.-listed spot XRP ETFs have attracted a net $91.72 million in inflows this month, bucking the trend of sustained outflows from bitcoin ETFs.
