&emoji=&slug=kriptovijesti&button_colour=b532ed&font_colour=ffffff&font_family=Poppins&outline_colour=ffffff&coffee_colour=FFDD00)
Ethereum je jedna od najčešće korištenih blockchain mreža na globalnoj razini. Nedavna otkrića CoinMarketCapa pokazuju da Ethereum ima najveći broj ukupnih programera, što čini 16% svih programera u kripto sektoru.
Nažalost, mreža Ethereum također je postala iznimno sklona sigurnosnim napadima. Tvrtka za sigurnost blokovskih lanaca Beosin otkrila je u svom “Globalnom izvješću o sigurnosti Web3” da su kripto ulagači izgubili 282,96 milijuna dolara zbog povlačenja u trećem kvartalu ove godine. U izvješću se nadalje navodi da su sheme krađe identiteta u istom vremenskom razdoblju generirale 66,15 milijuna dolara. Prema nalazima Beosina, Ethereum blockchain pretrpio je najviše gubitaka i incidenata ukupno.
Ažurirani okvir za pregled koda pametnog ugovora
Chaals Neville, direktor tehničkog programa u Enterprise Ethereum Alliance (EEA) — organizaciji koja ima za cilj potaknuti korištenje poslovnog ethereuma kao otvorenog standarda — rekao je za Cryptonews da postoje poznati problemi unutar Ethereuma koji utječu na sigurnost ekosustava. “Najočitiji problem je da Solidity kompajler – koji ispisuje bajt kod i druge artefakte potrebne za implementaciju pametnih ugovora – ima greške. Kako se prevodilac razvija, stare greške se popravljaju, ali se stvaraju i nove,” rekao je Neville.
Kako bi se uhvatio u koštac s ovim i drugim izazovima, EEA je u studenom 2020. osnovao “Radnu skupinu za sigurnosne razine EthTrust”. U kolovozu 2022. grupa je objavila publikaciju “EthTrust Security Levels Specification v1.” Ova specifikacija je od tada služila kao okvir za razvojne programere, organizacije i klijente koji koriste i pregledavaju kod pametnih ugovora napisan u Solidityju, glavnom programskom jeziku Ethereuma.
Ipak, kako Ethereum mreža nastavlja napredovati, Neville je istaknuo da EthTrust Security Levels Specification zahtijeva ažuriranja kako bi odražavala tekuće i nove sigurnosne razvoje. “Na primjer, v1 specifikacija pokriva bugove do otprilike 2022. godine, no novi bugovi otkriveni su nakon što smo objavili v1”, rekao je.
Imajući to na umu, Neville je podijelio da je danas EEA najavio izdavanje verzije 2.0 svoje specifikacije EthTrust sigurnosnih razina. Neville je primijetio da EthTrust Security Levels Specification v2 rješava probleme kao što su novootkrivene pogreške u Solidity kompajleru, tretiranje pogrešaka zaokruživanja, snažnije tretiranje napada samo za čitanje ponovnim ulaskom i više.
Ažuriranja su ključna jer je Ethereum ekosustav u prošlosti bio žrtva sigurnosnih iskorištavanja zbog ovih specifičnih problema. Na primjer, Michael Lewellen, voditelj arhitekture rješenja u OpenZeppelinu – sigurnosnoj tvrtki koja gradi okvir otvorenog koda za osiguranje pametnih ugovora – rekao je za Cryptonews da je do hakiranja “DAO” došlo zbog ponovnog ulaska. “DAO Hack bio je izvorni veliki hak na Ethereum koji se dogodio 2016. i natjerao sve da više razmišljaju o sigurnosti. Ovo je bio klasičan slučaj ponovnog ulaska”, rekao je Lewellen. Hakiranje DAO-a rezultiralo je gubitkom od 3,64 milijuna dolara u ETH-u.
Neville je objasnio da se ponovni ulazak događa kada programer pokrene pametni ugovor i zatim zatraži od programa da učini nešto drugačije dok je usred izvođenja koda. On je rekao:
“U suštini to znači da je program na pola puta kroz izvršavanje koda, ali onda se od njega traži nešto drugo. Zbog toga bi se dva zahtjeva mogla pomiješati. Programski haker zatim može iskoristiti ovu mješavinu kao priliku da ukrade ljudima novac ili promijeni upute.”
Hoće li industrijski standard biti široko prihvaćen?
Svjestan ozbiljnosti iza takvih incidenata, Lewellen je istaknuo da OpenZeppelin koristi okvir EthTrust Security Levels v1 kako bi spriječio pojavu takvih sigurnosnih propusta. “Ovaj okvir koristimo kao procjenu prije revizije za mnoge naše klijente. To omogućuje klijentima da znaju da provjeravamo određene slučajeve tijekom postupka revizije.”
Čini se da je ovaj industrijski standard od pomoći, budući da je anonimni OpenZeppelin klijent otkrio za Cryptonews da je EthTrust ono što je tvrtki nedostajalo u prošlosti. Izvor je rekao:
“Pali smo u našoj prethodnoj sigurnosnoj reviziji jer nismo imali jasne smjernice o tome koji nam sigurnosni zahtjevi nedostaju. Osjećamo se puno sigurnije u našu sljedeću reviziju nakon pregleda EthTrust zahtjeva i njihove implementacije u našu bazu kodova.”
Ipak, Neville je komentirao da iako su povratne informacije za standard EthTrust v1 pozitivne, i dalje je izazov navesti programere i organizacije da takav otvoreni standard postoji. Također je primijetio da je okvir najprikladniji za novije Ethereum projekte. On je rekao:
“Projekti kao što su Uniswap, Aave i drugi mogu pogledati ove specifikacije i smatrati ih korisnima, ali većinom im je to općepoznato. Projekti koji se upravo sada razvijaju i koji idu u proizvodnju na Ethereumu vjerojatno će ove specifikacije smatrati vrijednima.”
Ipak, ostaje pitanje hoće li takav industrijski standard pomoći u sprječavanju sigurnosnih iskorištavanja na Ethereumu. John Wingate, osnivač i glavni izvršni direktor BankSociala – tvrtke za financijske usluge koja koristi blockchain tehnologiju – rekao je za Cryptonews da je promjenjiva priroda industrijskih standarda problematična. “Standardi se uvijek mijenjaju; jezici uvijek obezvrijeđuju metode, varijable, tipove podataka i tipove objekata,” rekao je.
Imajući ovu zabrinutost na umu, Neville je rekao da je verzija 3 EthTrust specifikacije već u izradi. “Razmak između objavljivanja je otprilike 16 mjeseci. Mislim da je 12 do 18 mjeseci dovoljno česta revizija da osiguramo da ne zastarimo.”
Iako to može biti, Wingate vjeruje da je ponovljivo, automatizirano testiranje jedini način da se uvjerimo da se decentralizirane aplikacije pridržavaju najboljih praksi koje mogu spriječiti sigurnosne napade. On je rekao:
“To znači da svoju platformu možete postaviti tako da ima redovito, automatizirano testiranje koda. Kada se zna da izvorni kod ili kompajler ima grešku, alat za automatizaciju može se ažurirati i tada svi imaju korist od skeniranja u potrazi za eksploatacijama.”
 &emoji=&slug=kriptovijesti&button_colour=b532ed&font_colour=ffffff&font_family=Comic&outline_colour=ffffff&coffee_colour=FFDD00)
