Una dintre cele mai timpurii limbi contractuale ale lui Ethereum este direcționată spre pensionare | RO.democraziakmzero.org

Una dintre cele mai timpurii limbi contractuale ale lui Ethereum este direcționată spre pensionare

Una dintre cele mai timpurii limbi contractuale ale lui Ethereum este direcționată spre pensionare

Șarpele, una dintre limbile anterioare ethereum lui contractante inteligente nu mai este sigur de utilizat.

Asta ar putea fi cea mai mare takeaway dintr-un audit al limbii șarpelui Compilare ethereum, a lansat saptamana trecuta de firma de securitate blockchain Zeppelin Solutions. Constatarile punct la zeci de probleme cu compilator, inclusiv opt vulnerabilități critice.

Zeppelin a fost angajat de Augur, o piață de predicție bazată pe ethereum, să efectueze auditul în urmă cu două luni. Cu aproape 2 milioane $-in valoare de jeton sale (REP), așezat într-un contract scris în Serpent, Augur aveau motive să fie preocupat de securitatea limbii mai vechi.

Augur a fost una dintre ethereumprojects anterioare, iar la momentul contractului său jeton a fost scris, Șarpele a fost principala limbă de contract inteligent disponibile. Dar, la scurt timp după, Soliditatea a fost introdus și a preluat ca limbaj de programare pilot inteligent contractul lui ethereum, împingând Serpent la marginea drumului.

Chiar și așa, CEO-ul Augur Joey Krug a spus că au fost puține avertismente publice cu privire la posibilele probleme care ar împiedica serpuit din executarea codului cum era de așteptat.

El a spus CoinDesk:

„Nimeni nu a spus vreodată Șarpele era nesigur sau depreciat. Pur și simplu nu a fost la fel de popular [ca Soliditatea].“

În timp ce Augur a planificat să se mute în altă limbă de contract inteligent la un moment dat, rezultatele auditului compilator forțat, în esență, mâna proiectului. De îndată ce Zeppelin notificat Augur a problemelor de securitate implicate, Augur mutat quicklyto migra indicativele sale REP unui contract de CEC-20token securizat scris în Soliditate.

„Calitate scăzută“ și „viciate“

Pentru alții întrebându-se dacă acestea ar trebui să urmeze acest exemplu, Zeppelin Solutions a precizat rezultatele complete ale auditului într-un raport de 36 de pagini.

Intr-un post pe blog, numit Zeppelin proiectul șarpelui „calitate scăzută“ și „lacune“, și a avertizat dezvoltatorii să se abțină de la folosirea limbii până când au fost stabilite numeroasele sale probleme critice.

Vestea a determinat fondatorul ethereum Vitalik Buterin pentru a trimite un tweet, de asteptare limbajul de programare „tech învechite“, și de avertizare îi lipsea adecvat „protecție de siguranță.“

În ceea ce privește Augur, vulnerabilitatea cea mai critică șarpelui a fost una care ar permite unui hacker să schimbe data în care a fost creat contractul jeton REP, în esență, înghețarea ofertei de jetoane.

„Ai putea face contractul cred că nu a fost creat de fapt, în mod oficial încă, astfel încât, practic, nici unul dintre transferurile ar funcționa“, a spus Krug.

Dacă Șarpele a avut doar că o singură problemă, Krug a spus că ar fi fixat fericit codul și au continuat să folosească limba pentru moment. Dar numărul de probleme relevate de audit au fost pur și simplu prea copleșitoare.

Deci, în loc, în urma o cale de actualizare descrisă de Zeppelin, Augur sa mutat pentru a rescrie vechea REP tokenin Soliditatea și implementa noul CEC-20 contractul pe ethereum. Apoi hacked efectiv contractul său inteligent propria Șarpelui, înghețarea token-ul REP, înainte de a migra soldul REP congelate la noul contract.

Într-un post pe blog-ul separat, Zeppelin a cerut proiecte ethereum inca folosind Șarpelui urmeze o cale de migrare similară pentru a muta token-uri de la un contract Soliditatea mai sigur.

Mai multe ochi nevoie

Limbajul de programare Șarpelui și compilatorul au fost ambele scrise de Buterin. Dar de fapt, doar o singură persoană a scris codul poate sta la baza unora dintre problemele Șarpelui.

Zeppelin a scris în raportul său:

„Mai puțin ochii pe codul înseamnă mai puține bug-uri fiind observat.“

Zeppelin, de asemenea, a subliniat că Șarpelui are o vechime de doi ani, cu puține comiterilor din octombrie 2015. In plus, permite, cu aproape nimeni folosind Șarpelui acum, există puține posibilități de probleme cineva spotting în codul sau ale acestor probleme fiind solidara.

Soliditatea, pe de altă parte, a fost scris de către o echipă de oameni condusa de Gavin Wood, unul dintre fondatorii ethereum. Și pentru că Soliditatea este utilizat pe scară mai largă și vede mult mai mult de activitate - 30 de ori cererile de tragere, de 20 de ori se angajează, de opt ori mai mulți care au contribuit, în conformitate cu Zeppelin - în comparație cu Șarpele, programul mai nou este mai puțin probabil să aibă același număr de probleme.

În ceea ce dezvoltatorii ar trebui să folosească în loc de Șarpe, raportul Zeppelin sugerează Soliditatea este cel mai bun răspuns disponibile astăzi. Cu toate acestea, ea sugerează, de asemenea, dezvoltatorii considera Viper, un succesor Serpent, afirmând că Viper „pare superioară“ pentru a șarpelui. Dar într-un tweet, Buterin a recomandat dezvoltatorii dețină în afara până când Viper trece un audit extern mai întâi.

Audit Soliditate?

Dar, poate că una dintre problemele mai alarmante aduse la lumină de audit compilator Șarpelui Zeppelin este ca Soliditatea în sine nu a fost auditate, fie. Și având în vedere că milioane de dolari, în valoare de token-uri sunt gestionate în prezent de contracte inteligente scrise în Soliditate, unele, inclusiv Krug, constată că o veste tulburatoare.

Adăugarea la preocupările legate de soliditate, auditul compilator Zeppelin vine pe urmele unui hack din portofel paritare, în cazul în care un bug în Paritatea codeessentially permis hacker pentru a transforma trei multi-semnătură de 30 de milioane $ portofele în portofele-semnătură la zero, și scurgeti fonduri.

Într-un post pe blog în urma atacului, Paritate aratat cu degetul Soliditate, afirmând că „unele vina pentru acest bug-ul revine cu limba soliditate și, în încarnarea sa actuală, dificultatea cu care se poate înțelege permisiunile de execuție asupra funcțiilor.“

Dar un furt ethereum și mai mare a avut loc în urmă cu puțin mai mult de un an, atunci când un hacker a profitat de o portiță în codul Soliditatea la sifonul 50 de milioane $ în eter dintr-un proiect numit DAO. Prejudiciul a fost considerat atât de mare, dezvoltatorii din spatele ethereum implementat o furculiță greu în protocolul să se rostogolească înapoi istoria sa tranzacție.

Auditurile cod software sunt o cerință în multe industrii critice, și Demian Brener, CEO Zeppelin, crede același caz ar trebui să fie făcută pentru codul de contract inteligent.

„Având în vedere numărul de vulnerabilități descoperite în Serpent, credem audituri compilator, precum și auditurile de cod, ar trebui să devină cea mai bună practică“, a scris el într-un e-mail la CoinDesk. El a adăugat că Zeppelin este în prezent, vorbește cu Fundația Ethereum pentru a face acest lucru.

Între timp, Krug a rezumat propriile sale gânduri în această privință prin a spune:

„În general, mesajul este, mai multe lucruri ar trebui să fie auditate.“

Știri asociate


Post Ethereum

Show of Force: Ethereum Gears Up pentru Conferința dezvoltatorilor Devcon3

Post Ethereum

Testele Bitcoin 2018 Highs ca investitori caută confidențialitate

Post Ethereum

Miners Boost capacitatea de tranzactionare Ethereum cu cresterea limitei de gaz

Post Ethereum

Experiența Spirituală: Summit-ul Hot, Sălbatic Ethereal este Semnul Timpurilor

Post Ethereum

Se pot coexista două piețe Ethereum?

Post Ethereum

BlockCypher lansează kitul de instrumente Ethereum API pentru dezvoltatori

Post Ethereum

Profesorul Cornell solicită mișcarea DAO 2.0

Post Ethereum

Scaling Lightning? Cum ar putea revigora planul de scalare al lui Bitcoin

Post Ethereum

Încrederea nimănui: securitatea inteligentă a contractului Ethereum avansează

Post Ethereum

Bitcoins Messy Push pentru inovație este câștigătoare peste plată dezvoltatori

Post Ethereum

Cele 10 persoane cele mai influente din Bitcoin anul acesta

Post Ethereum

Opinia publică împărțită Ca DAO Greaves în finanțarea lui Ethereum