Ethereum Şəbəkəsində 150 ​​Milyon dollar - Özünüzü necə qorumalısınız

Mürəkkəblik təhlükəsizlik düşmənidir

Parite, çox istedadlı Ethereum həmtəsisçisi Gavin Woodun rəhbərlik etdiyi Rustda yazılmış bir Ethereum tətbiqidir. Tətbiq çox siq cüzdan yaratmaq üçün istifadəçi dostu interfeys təmin edir. Bu funksiyanı dəstəkləyən multi-sig müqaviləsinin 19 İyul 2017-ci il tarixində 30 milyon dollar zərərlə nəticələnən bir təhlükəsizlik qüsuru var idi. 7 Noyabr 2017-ci ildə, cüzdan müqaviləsində, Ether-in 150 milyon dollarlıq dondurulması ilə nəticələnən ikinci bir həssaslıq tapıldı. Ethereum yüksək təhlükəsizlik cüzdanları üçün asan bir həll təklif etməsə də, özünüzü belə bir hücuma məruz qalmamaq üçün atacağınız bəzi addımlar var.

Ənənəvi istehsal proqram mühitində, veb sayt kimi ümumi bir səthdə kod yerləşdirə bilərik. Kodun ümid etdiyimiz funksionallığı yoxdursa nə olar? Bəlkə də heç kim fərq etmir, bəlkə də bir neçə nəfər şikayət edir, günün sonunda kodu yeniləyə bilərik və kiçik narahatlıq aradan qaldırılır. Ethereum dünyasında hər kəsin görə biləcəyi və oynaya biləcəyi kod sonsuza qədər var. İdeal bir dünyada bu kodu yalnız sizin əldə edə bilərsiniz; blockchain dünyasında hər kəsin bu kodu əldə etməsi mümkündür. Bu, əksər hallarda Ethereum şəbəkəsində mövcud bir kodun yenilənə bilməməsi deməkdir.

Etherə 1 milyon dollar pulu ağıllı bir müqaviləyə qoyduğumuzda, ağıllı müqavilənin bir həssaslıq içərisində olduğu aşkar edildikdə, bəzi şeylər ola bilər. Diqqətsiz qala bilər, faydalanmağa qərar verən bir hacker tərəfindən fərq edilə bilər və ya müqavilə sahibi tərəfindən ifşa oluna bilər və pulu geri ala bilərlər. Bu vəziyyətdə, əvvəlki paritet hackini "araşdırdığını" iddia edən bir şəxs tərəfindən istismar edildi.

Təcavüzkar

Özümüzü necə qoruya bilərik?

KISS prinsipi - bunu axmaq et

Çox ağıllı müqavilələr künc hallarını və optimallaşdırmaları nəzərə almağa çalışaraq təhlükəsizlik boşluqlarına səbəb olur. İlk bərabərlik zəifliyi, işləyərkən istehlak olunan qaz miqdarını optimallaşdırmağa çalışmaqdan yaranır. Mövcud paritet zəiflik yeni, sınanmamış kitabxana funksiyalarının əlavə edilməsindən yaranır. İdarə edilə bilən bir ağıllı müqavilə, işi bitirmək üçün lazım olan minimum funksiyanı ehtiva edir. Vaxtından əvvəl həllini optimallaşdırmaq üçün kod təqdim etmək müqavilənin mürəkkəbliyini artırır və bununla da təhlükəsizliyi azaldır.

Vahid testləri

Ümumi proqram inkişafında və ağıllı müqavilə inkişafında uyğun vahid testlərini görməməzlikdən gəlmək faydalı ola bilər. Kod istehsalına çatdıqdan sonra geri alınmazsa, daha yüksək səviyyədə bir qayğı tələb olunur. Bir qayda olaraq, ağıllı müqavilənizdə ağıllı müqavilənizin və künc hallarının işləkliyini yoxlamaq üçün müvafiq vahid testləri olmalıdır.

Ağıllı müqavilə yoxlamaları

İstehsala göndərilən hər bir ağıllı müqavilə təhlükəsizlik təhlilindən keçməlidir. Yaxşı bir Ağıllı Müqavilə Təhlükəsizliyi Rəyçisi, bu sahədə ağıllı müqavilələr qurma təcrübəsinə sahibdir, GitHub-da bir çox layihəyə sahibdir və axtardıqları ən ümumi zəifliklərin bir siyahısını paylaşır. Auditorun ağıllı müqavilənizlə əlaqəli müxtəlif hücum vektorları barədə söhbət edə biləcəyinə əmin olun. Bu, rəsmi bir yanaşma kimi görünə bilməz, lakin sənaye hələ çox gəncdir və hazırda bu şəkildə işləyir.

Bu təlimatlara riayət etmək, Ethereum şəbəkəsinə ağıllı müqavilələr göndərməklə əlaqəli risk və qorxunu azaltmağa kömək edə bilər.

Test edin, izləyin, yerləşdirin.