不用相信任何人:以太坊的智能合約安全正在進步中

“這裡的每個人都是攻擊的目標,​​是偏執狂。”

這就是以太坊基金會安全負責人Martin Swende昨天在Devcon3結束了關於智能合約安全的深入講座。在這一點上,他目睹了以太網攻擊的公平份額,並希望社區知道他們正在進入什麼。

有DAO黑客,由於一個聰明的合同錯誤,數百萬美元的以太被偷了。由於一個未知的攻擊者,以太坊交易的時間有所減慢 – 這是Swende在協議上工作的第一天,也是如此。而就在幾個月前,以太坊客戶端Parity在被黑客攻擊後損失了3000萬美元。

這還不是所有與比特幣有關的黑客。

有了這個,開發人員指出 – 像以太坊一樣具有革命性,可以解決這個問題,但是還有許多問題需要解決,開源項目的旗艦會議第二天就把重點放在了安全上。開發人員和學者們都紛紛推出新的工具,使智能合約安全更進一步。

儘管發生了這些重大的攻擊,但開發商對於智能合同安全的走向持樂觀態度。

RSK實驗室首席科學家和加密貨幣安全顧問Sergio Demian Lerner說:

“整個生態系統在安全方面正在成熟。”

正確的工具

雖然有不同的以太坊需要保護,Devcon的第二天專注於智能合約,可能是因為這些機制的代碼漏洞是人們賠錢的起源。

區塊鏈安全公司Zeppelin的首席技術官Araoz指出2016年是以太坊安全的“黑暗時代”,但是和其他人一樣,他們注意到情況正在改善。

首先,智能合約“升級”一旦在以太坊生活,是一個巨大的開放問題。與更傳統的軟件不同的是,如果智能合同代碼中存在錯誤,而且沒有安全措施,開發人員無法更新代碼。

但是Zeppelin的Araoz和他的團隊一直在研究一個有用的工具,最近推出了一個新的操作系統項目,它可以更容易地修補已經啟動和運行的代碼。

他說:“如果我們有一個錯誤或需要改進這個程序,我們可以這樣做,它可以用來修復生產代碼。

雖然這並沒有完全解決升級問題,但是該項目提供了一個新工具,而這些對以太坊開發人員工具箱的補充被廣泛認為是將智能合同安全提前。

另一個項目揭曉,Securify被吹捧為“按鈕式安全審計工具”。在一個名為“不是你的奶奶的智能合同驗證”的會議上,它為開發人員提供了一個簡單的界面,以插入智能合同並檢查某些類型的錯誤。

會議期間,蘇黎世聯邦理工學院蘇黎世軟件可靠性實驗室研究員Quentin Hibon說,Securify是一個強有力的安全保證。

隨著這樣的發展,勒納說,一切都朝著正確的方向前進。

他說,以太坊的虛擬機在安全性方面進行了改進。他補充說,正式的驗證已經增加了,它使用數學證明來檢測智能合約是否正常工作。而且,以太坊的主要智能合同語言“固體”已經成熟,所以現在很多錯誤都在“固體”水平上得到糾正。

“總是擔心”

這並不是說未來智能合約不會有問題。幾乎每一天的安全談話都以一個號召行動結束,一個警告或者一個列舉了市值第二大的加密貨幣協議面臨的公開問題。

RSK的勒納(Lerner)提到,他在業餘時間拆分了初始硬幣(ICO)合約,並且出現了許多明顯的錯誤。他表示,令牌發行人現在正在徵求安全專家的幫助,審核他們的智能合同代碼是一個好兆頭。

來自少數幾個大學的研究人員也在試圖調整錯誤的激勵機制,以鼓勵黑客報告漏洞而不是利用漏洞。

Hydra摒棄了傳統的bug獎勵模式:通過程序化方式為黑客提供獎勵方式,告知開發者一個bug,而不是利用這個bug來支付。

但是其中很多項目還處於初期階段。

以太坊 – 加密貨幣一般 – 仍然是黑客的天堂。

以太坊基金會的Swende說:“黑客行為發生了巨大的變化,黑客的收入來源是拒絕服務攻擊的殭屍網絡,這是非常難以建立的。現在,密碼之後,它是如此貨幣化,風險低。

這給區塊鏈開發人員必須做好準備提出了新的挑戰,Swende認為,第一步是保持警惕。

他說:

“我總是很擔心。”