ETH

Более 3% смарт-контрактов Ethereum содержат критические уязвимости.

В ноябре прошлого года пользователей абсолютно случайно нашел уязвимость в коде библиотеки Ethereum-кошелька Parity и ненароком заблокировал $150 млн. на кошельках других пользователей. Сегодня существуют сотни тысяч подобных смарт-контрактов на Ethereum, которые управляют кошельками, токенами и приложениями, свидетельствует масштабное исследование сотрудников Университетского колледжа Лондона.

После исследования около одного миллиона смарт-контрактов на блокчейне Ethereum, исследователи Университетского колледжа Лондона выявили, что как минимум 34 200 из них содержат критические уязвимости. Более того, исследователи провели найденные уязвимости на 3000 смарт-контрактах, и в 89% случаев вызвали прогнозируемые нежелательные последствия. В теории это могло бы позволить им украсть $6 млн в Ethereum.

«Мы имеем дело с приложениями, которые имеют две очень неприятные черты: они управляют вашими деньгами, и они не могут быть изменены» , - сказал Илья Сергей (Ilya Sergey), доцент кафедры информатики Университетского колледжа Лондона и соавтор работы в интервью изданию Motherboard.

Для проведения этого исследования команда разработчиков, по сути, сделал свой частный хардфорк Ethereum и запустили её локально. После чего запускались разнообразные сценарии, с целью добиться нежелательных последствий. Когда эти последствия наступали, разработчики помечали смарт-контракт «с отслеженной уязвимостью».

Проанализировав почти миллион смарт-контрактов, исследователи обнаружили 34 200, которые были крайне уязвимы, включая контракт, который по ошибке юзера DevOps199 заблокировал $150 млн. на кошельках Parity.