Trust No One: Ethereum Smart Contract Security er fremme | DK.democraziakmzero.org

Trust No One: Ethereum Smart Contract Security er fremme

Trust No One: Ethereum Smart Contract Security er fremme

"Alle her er et mål for angreb. Vær paranoid."

Det er sådan Ethereum Foundation sikkerhed bly Martin Swende sluttede sin dybe dyk foredrag om Smart kontrakt sikkerhed på Devcon3 i går. På dette tidspunkt har han været vidne til sin rimelige andel af angreb på ethereum og ønsker samfundet til at vide, hvad de får ind.

Der var The DAO hack, hvor millioner af dollars i ether blev stjålet på grund af en smart kontrakt bug. Der var den tid ethereum transaktioner slowedbecause af en ukendt hacker - dette på en af ​​Swende første dage arbejder på protokollen, ikke mindre. Og så bare et par måneder siden, ethereum klient Paritet tabt $ 30 millioner efter at være blevet hacket.

Og det er ikke at nævne alle de Bitcoin-relaterede hacks.

Med denne, udviklere påpege, at - så revolutionerende som ethereum kan og kunne være - der er stadig en masse snoninger at udjævne, en af ​​grundene til den open source-projet flagskib konference oplevede en sådan fokus på sikkerhed på sin anden dag, med udviklere og akademikere både frigive nye værktøjer til at tage smarte kontrakt sikkerhed et skridt videre.

På trods af disse store angreb, selv om, udviklere er optimistiske omkring, hvor smarte kontrakt sikkerhed er på vej.

RSK Labs chefforsker og cryptocurrency sikkerhedskonsulent Sergio Demian Lerner fortalte CoinDesk:

"Hele økosystemet modnes med hensyn til sikkerhed."

De rigtige værktøjer

Mens der er forskellige stykker ethereum, der har brug sikring, den anden dag i Devcon fokuseret på smarte kontrakter, sandsynligvis fordi sårbarheder i disse mekanisme kode er tilblivelsen af ​​mennesker miste penge.

Manuel Araoz, CTO for blockchain sikkerhedsfirma Zeppelin, kaldet 2016 de "mørke middelalder" af ethereum sikkerhed, men ligesom andre, bemærkede, at tingene er blevet bedre.

For én, "opgradering" smart kontrakter, når de er live på ethereum er et stort åbent problem. I modsætning til med mere traditionel software, hvis der er en fejl i et stykke intelligent kontrakt kode, og det er skrevet uden sikkerhedsforanstaltninger, er der ingen måde udviklere kan bare opdatere koden.

Men Araoz og hans team på Zeppelin har arbejdet på et nyttigt værktøj, for nylig afslører en ny OS projekt, der ser ud til at gøre det nemmere at pille med kode, der allerede oppe og køre.

"Hvis vi har en fejl eller har brug for at forbedre programmet, kan vi gøre det. Det kan bruges til at fastsætte produktionen kode," sagde han.

Selv om det ikke løser opgradering problemet helt, projektet giver et nyt redskab - og disse tilføjelser til ethereum udvikler værktøjskassen anerkendes bredt som flytter smarte kontrakt sikkerhed forude.

Et andet projekt afsløret ved arrangementet, Securify er toutedas en "push-knappen sikkerhed revision værktøj." Afsløret i en session med titlen "Not Your bedstemors Smart Contract Verifikation," det giver en nem brugerflade for udviklere at tilslutte smarte kontrakter og tjek for visse typer af fejl.

Under sessionen, ETH Zurich Software Pålidelighed Lab forsker Quentin Hibon sagde Securify er en stærk sikkerhedsgaranti.

Med udviklingen som denne, ifølge Lerner, er alt på vej i den rigtige retning.

Ethereum virtuelle maskine er blevet forbedret på med hensyn til sikkerhed, sagde han. Formel verifikation er blevet tilføjet, som bruger matematiske beviser til at afsløre, om smarte kontrakter arbejde ordentligt, fortsatte han. Og ethereum vigtigste smarte kontrakt sprog, Soliditet er modnet, så nu mange fejl korrigeres på soliditeten niveau, konkluderede han.

'Altid bekymret'

Dette er ikke til at sige, at der ikke vil stadig være problemer med smarte kontrakter fremadrettet. Næsten hver sikkerhed snak om dagen sluttede med en opfordring til handling, en advarsel eller en liste over åbne problemer den næststørste cryptocurrency protokol ved markedsværdi.

RSK s Lerner, for en, nævnte, at han tager fra hinanden indledende mønt udbud (ICO) kontrakter i sin fritid og blev mange åbenlyse fejl. Det faktum, at token udstedere nu hverve hjælp fra sikkerhedseksperter til at revidere deres smarte kontrakt kode er et godt tegn, siger han.

Og forskere fra en håndfuld universiteter forsøger også at nappe de incitamentsstrukturer omkring bugs, i et forsøg på at tilskynde hackere til at rapportere sårbarheder i stedet for at udnytte dem.

Som rapporteret af CoinDesk i går, Hydra riffs fra den traditionelle bug bounty model: programmatisk tilbyde hackere mere i vejen for belønninger til at informere udviklere om en fejl, end at udnytte fejlen ville betale ud.

Men mange af disse projekter er stadig i de tidlige stadier.

Ethereum - og cryptocurrencies generelt - er fortsat en slags hacker paradis.

"Den hacking scenen har ændret sig voldsomt Den indtægtskilde for hackere var med botnets for denial of service-angreb;. Det er temmelig svært at opbygge Nu, efter krypto, det er så indtægtsgivende, og der er lav risiko," sagde Ethereum Fondens Swende.

Dette bringer nye udfordringer blockchain udviklere må forberede sig på, og det første skridt, i henhold til Swende, er at være på vagt.

Han udtalte:

"Jeg er altid bekymret."

Relaterade nyheter


Post Ethereum

Plan B? Ethereum Innovators Genopliver Kampen for Net Neutralitet

Post Ethereum

Kan to etermarkeder eksistere?

Post Ethereum

The Next Wave of Ethereum Applications er næsten her

Post Ethereum

Cornell Professor opfordrer til DAO 2.0-bevægelse

Post Ethereum

Inside TrueBit: Ethereums mindre kendte skalerbarhedsindsats

Post Ethereum

Bitcoin Priser Surge Tidligere $ 770 Men Fall Bare Korte 2018 Høj

Post Ethereum

Bitcoin Tests 2018 Højde som investorer Seek Privacy

Post Ethereum

Ingenmandsland? Ether Prices Approach $ 350, men kamp for at skabe momentum

Post Ethereum

Blockchain Trials Accelerate som Sydamerika ser Ethereum Uptake

Post Ethereum

Miners Boost Ethereums Transaktionskapacitet Med Gas Limit Increase

Post Ethereum

Scaling Lightning? Hvordan Revive kunne øge Bitcoins fedeste skaleringsplan

Post Ethereum

JP Morgan, Santander sagde at blive medlem af New Ethereum Blockchain Group