В умных контрактах на основе Эфира полно дыр

Компьютерные программы, базирующиеся на блокчейне, обещают революцию в цифровой экономике, но новое исследование говорит о том, что они далеко не безопасны

Мы подготовили для вас перевод заметки Майка Оркута, помощника редактора MIT Technology Review о проблемах Эфира.

Компьютерные программы на основе блокчейна будоражат финансовую систему

Но значительная часть хайпа вокруг смарт-контрактов заключается в том, что это абсолютно новая область. Технологи только сейчас начинают понимать, как создавать их таким образом, чтобы на них можно было положиться касаемо сохранения денег людей, и, как свидетельствует новое исследование контрактов на основе Эфира, исследователи безопасности только сейчас начинают приходить к пониманию того, как выглядят уязвимости смарт-контрактов.

Цифровые торговые автоматы

Автором термина “смарт-контракт” является пионер цифровой валюты Ник Сабо, который придумал его более 20 лет назад (и который может быть, а может и не быть создателем биткоина Сатоши Накамото). Основной идеей, как писал Ник, является “встраивание различных видов договорных положений(таких, как залог, связывание, разграничение прав собственности и т. д.) в железо и софт, с которым мы имеем дело таким образом, что взлом контракта был бы очень дорогим (желательно, запретительно дорогим) для нарушителя”. Сабо называл физические торговые автоматы “примитивным предком смарт-контрактов”, так как они принимают монеты и выдают продукт и сдачу в соответствии с указанной ценой.

В дело входит блокчейн

Сегодня, самой распространённой концепцией смарт-контракта является компьютерная программа, сохранённая в блокчейне. Блокчейн, по сути, является общей бухгалтерской книгой, которая использует криптографию и компьютерные сети для того, чтобы отслеживать активы и охранять бухгалтерскую книгу от мошенничества. Касаемо биткоина, это даёт двум сторонам, не знающим друг друга, железную гарантию того, что перевод средств, на который согласны обе стороны, произойдёт должным образом, то есть, никто не будет обманут

В смарт-контрактах всё становится интереснее. Используя смарт-контракт, можно создать систему, которая выводит средства со счёта одного человека, например, родителя. А затем перечисляет их на счёт ребёнка, когда его баланс упадёт ниже определённого уровня. И это лишь самый простой пример: в теории, смарт-контракты могут быть использованы для программирования всех видов финансовых соглашений, от контрактов по деривативам до счетов условного депонирования на основе блокчейна.

Везде ICO

Одним из наиболее популярных видов применения смарт-контрактов является создание криптовалют. Некоторые из них дали нам возможность взглянуть на новый вид экономики, в котором цифровая валюта специального назначения используется для “децентрализованных“ целей, таких как хранение данных или торговля другими цифровыми валютами. Восторг инвесторов по поводу возможности применения смарт-контрактов подобным образом помог безумию вокруг ICO, которые привлекли суммарно более 5 000 000 000 $. (Что такое ICO?).

Попридержите коней

У технологов до сих пор нет чёткого представления относительно того, как выглядят дыры в безопасности смарт-контрактов, говорит Илья Сергей, специалист в области информатики Университетского Колледжа в Лондоне, соавтор статьи на соответствующую тематику, вышедшей на позапрошлой неделе.

Пользователям был преподнесён суровый урок в отношении этого в 2016-м, когда хакер украл 50 000 000 $ у так называемой Децентрализованной Автономной Организации (Decentralized Autonomous Organization), которая базировалась на эфире. А в ноябре прошлого года 150 000 000 $ оказались внезапно недоступны пользователям электронного кошелька Parity, также основанного на эфире

Сергей с коллегами использовали новый инструмент для того, чтобы проанализировать около миллиона смарт-контрактов, основанных на эфире, обозначив около 34 000 из них как уязвимые, включая тот, который привёл к бедам Parity. Сергей сравнивает работу команды с взаимодействием с торговыми автоматами, как если бы исследователи беспорядочно нажимали кнопки и записывали условия, при которых машина вела себя непреднамеренным образом. “Я уверен, что большая часть уязвимостей ещё скрыта и ждёт того, чтобы быть задокументированной”.

Перевод: Иван Радкевич.

Читайте нас в телеграмм(больше мы нигде и не пишем): https://t.me/guide42