Число уязвимостей Ethereum бьет все рекорды

Автор: | 24.02.2018 | Просмотры: 2012

Британские специалисты из лондонского Университетского колледжа провели изучение существующих смарт-контрактов, созданных в сети Ethereum на предмет их безопасности. В результате им удалось выявить более 34,2 тысяч уязвимостей, оставляющих хакерам возможности для взлома программ и подключения к управлению ими. Причем авторы отмечают, что не претендуют на полноту обнаружения всех слабых мест, характерных для смарт-контрактов.

Число уязвимостей бьет все рекорды

В рамках проводимых исследований специалисты создали собственный форк сети, предназначенный для тестирования, после чего запускали разнообразные неблагоприятные сценарии, отслеживая поведение смарт-контрактов и помечая программы, продемонстрировавшие уязвимость.

В общей сложности в ходе исследований проверке подверглось около одного миллиона смарт-контрактов. После того, как было обнаружено большое количество уязвимостей, было проведено отдельное тестирование для трех тысяч смарт-контрактов. В результате в 89% всех случаев были подтверждены первоначальные результаты.

Представители учебного заведения указывают, что в случае наличия у них цели похитить денежные средства, в общей сложности им бы удалось вывести из сети Ethereum не меньше 6 миллионов долларов.

Специалисты отмечают, что проводимая работа по раннему обнаружению смарт-контрактов играет важную роль, позволяя повышать уровень безопасности всего криптовалютного сообщества.

В распространенном релизе указывается, что все изучаемые приложения используются для управления финансовыми средствами пользователей, и внесение в них изменений не представляется возможным. При этом авторы исследования не смогли найти создателей смарт-контрактов, обладающих уязвимостями.

Они указывают, что с учетом небольшой доли небезопасных приложений и засекречивании информации о конкретных проектах, в целом сегмент можно принять условно безопасным. Желающим найти уязвимости предстоит проделать огромный пласт работы, сопоставимый с работой команды Университетского колледжа.

Напомним, что ранее серьезные проблемы с безопасностью были выявлены у кошелька Parity. Еще осенью прошлого года один из пользователей не только обнаружил критическую уязвимость, но и совершенно случайно заблокировал на счетах пользователей около 150 миллионов долларов.

Еще несколько уязвимостей было обнаружено уже в начале нынешнего года. Специалисты Cisco установили, что проблемы с кодом create2 были способны привести к успешным DoS-атакам со стороны хакеров. Кроме того, при желании злоумышленники могли получить доступ к информации, носящей закрытый характер. После этого разработчики Parity выпустили обновления, устраняющие выявленные слабости.

Добавить комментарий