Британские специалисты из лондонского Университетского колледжа провели изучение существующих смарт-контрактов, созданных в сети Ethereum на предмет их безопасности. В результате им удалось выявить более 34,2 тысяч уязвимостей, оставляющих хакерам возможности для взлома программ и подключения к управлению ими. Причем авторы отмечают, что не претендуют на полноту обнаружения всех слабых мест, характерных для смарт-контрактов.
В рамках проводимых исследований специалисты создали собственный форк сети, предназначенный для тестирования, после чего запускали разнообразные неблагоприятные сценарии, отслеживая поведение смарт-контрактов и помечая программы, продемонстрировавшие уязвимость.
В общей сложности в ходе исследований проверке подверглось около одного миллиона смарт-контрактов. После того, как было обнаружено большое количество уязвимостей, было проведено отдельное тестирование для трех тысяч смарт-контрактов. В результате в 89% всех случаев были подтверждены первоначальные результаты.
Представители учебного заведения указывают, что в случае наличия у них цели похитить денежные средства, в общей сложности им бы удалось вывести из сети Ethereum не меньше 6 миллионов долларов.
Специалисты отмечают, что проводимая работа по раннему обнаружению смарт-контрактов играет важную роль, позволяя повышать уровень безопасности всего криптовалютного сообщества.
В распространенном релизе указывается, что все изучаемые приложения используются для управления финансовыми средствами пользователей, и внесение в них изменений не представляется возможным. При этом авторы исследования не смогли найти создателей смарт-контрактов, обладающих уязвимостями.
Они указывают, что с учетом небольшой доли небезопасных приложений и засекречивании информации о конкретных проектах, в целом сегмент можно принять условно безопасным. Желающим найти уязвимости предстоит проделать огромный пласт работы, сопоставимый с работой команды Университетского колледжа.
Напомним, что ранее серьезные проблемы с безопасностью были выявлены у кошелька Parity. Еще осенью прошлого года один из пользователей не только обнаружил критическую уязвимость, но и совершенно случайно заблокировал на счетах пользователей около 150 миллионов долларов.
Еще несколько уязвимостей было обнаружено уже в начале нынешнего года. Специалисты Cisco установили, что проблемы с кодом create2 были способны привести к успешным DoS-атакам со стороны хакеров. Кроме того, при желании злоумышленники могли получить доступ к информации, носящей закрытый характер. После этого разработчики Parity выпустили обновления, устраняющие выявленные слабости.