«Каждый здесь — потенциальная цель для атаки. Будьте параноиками», — такими словами завершил своё выступление глава службы кибербезопасности Ethereum Мартин Свенде на конференции разработчиков Devcon3. По его словам, несмотря на все преимущества новой технологии, проблема хакеров сейчас актуальна как никогда.

Поэтому неудивительно, что значительная часть презентаций и выступлений на Devcon3 была посвящена смарт-контрактам и вопросам их безопасности. Мануэль Араоз, главный технолог компании Zeppelin, специализирующейся на охране блокчейнов, и вовсе назвал 2016 год «тёмными веками защиты Ethereum», однако добавил, что ситуация улучшается.

Например, «апгрейд» смарт-контрактов после того, как они отправляются в «свободное плавание» по сети, сегодня весьма непростой процесс. В отличие от традиционного программного обеспечения, если в контракте нашлась ошибка или отсутствуют необходимые протоколы безопасности, то у разработчиков просто нет возможности его обновить. По словам Араоза, его компания работает над решением этой проблемы — инструментом, который позволит изменять код уже после запуска.

«Если мы нашли баг или хотим улучшить программу, то можем это сделать. Нашу технологию можно использовать для отладки кода, который уже запущен в производство», — заявил представитель Zeppelin.

Другим проектом, представленным на Devcon3, стал Securify — инструмент для «проверки безопасности одним нажатием кнопки». Он предлагает разработчикам простой интерфейс, с помощью которого они смогут проверить смарт-контракты на различные ошибки.

Именно благодаря таким проектам, уверен сооснователь стартапа RSK Серджио Лернер, в будущем будут решаться проблемы безопасности.

Он отметил, что виртуальная машина Ethereum (EVM) уже получила несколько соответствующих обновлений, в том числе механизм формальной верификации, который использует математический анализ для проверки функциональности смарт-контрактов. От многих багов за последнее время избавился и соответствующий язык программирования — Solidity.

Лернер рассказал, что в свободное время «разбирает на запчасти» токены от первичных предложений монет (ICO) и находит множество очевидных ошибок. По его словам, тот факт, что организаторы ICO всё чаще обращаются за консультацией к экспертам по безопасности, — очень хороший знак.

Накануне Лернер также объявил, что его стартап RSK до конца года добавит аналог смарт-контрактов и в Bitcoin.

Исследователи из различных университетов также пытаются внести свой вклад, используя давнюю тактику — стимулируют хакеров «сдавать» уязвимости, вместо того чтобы пользоваться ими. Так, в Hydra используют проверенную временем модель: предлагают взломщикам награды, которые перевешивают потенциальную выгоду от атаки. Впрочем, Ethereum и другие криптовалюты до сих пор остаются хакерским раем.

«Хакерская сцена невероятно изменилась. Обычный источник дохода для взломщиков — создание ботнетов для DDoS-атак, и их достаточно сложно построить. Теперь, с приходом криптовалют, атаку можно мгновенно монетизировать, а риски при этом малы. Я всегда настороже», — добавил Мартин Свенде.

Глава кибербезопасности Ethereum уже многое повидал на своём веку, в том числе взлом DAO, в ходе которого из-за небольшой ошибки в смарт-контрактах были похищены миллионы долларов в эфире. А в один из первых дней в новой должности Свенде столкнулся с заметным «проседанием» сети — тогда из-за действий неизвестного хакера заметно снизилась скорость транзакций по всему блокчейну. Да и всего несколько месяцев назад клиент Parity потерял из-за взломщиков порядка $30 млн.

Напомним, на прошлой неделе в мексиканском городе Канкун проходила конференция разработчиков Ethereum — Devcon3. Спикерами выступали многие известные разработчики и эксперты в области блокчейн-технологий. Так, сооснователь Ethereum Виталик Бутерин представил план развития блокчейна — «дорожную карту» на ближайшие три или четыре года.

Кроме того, Влад Замфир поделился новыми подробностями о Casper — одном из самых ожидаемых проектов, который должен полностью изменить принципы работы блокчейна. В свою очередь Джейкоб Эберхардт рассказал о преимуществах ZoKrates — языка программирования, который в теории должен помочь решить две ключевые проблемы Ethereum: масштабируемости и конфиденциальности.