Viens no Ethereum agrākajiem viedo kontu valodas tiek veltīts pensionēšanās gadījumam | LV.democraziakmzero.org

Viens no Ethereum agrākajiem viedo kontu valodas tiek veltīts pensionēšanās gadījumam

Viens no Ethereum agrākajiem viedo kontu valodas tiek veltīts pensionēšanās gadījumam

Čūska, kas ir viens no ethereum agrākajām viedie Līgumslēdzēju valodu vairs nav droši izmantot.

Tas varētu būt lielākais takeaway no revīzijas ethereum ir Čūskas apkopoja valodā, atbrīvo pagājušajā nedēļā blockchain drošības firma Zeppelin Solutions. Atklājumi norāda uz desmitiem problēmām ar kompilatoru, tostarp astoņi kritisku ievainojamību.

Zeppelin bija nolīgusi gaišreģis, kas ethereum bāzes prognožu tirgū, lai veiktu auditu pirms diviem mēnešiem. Ar gandrīz $ 2 miljonus-vērtu tās marķiera (REP) sēž līgumā rakstīts čūsku, gaišreģis bija labs iemesls būt bažas par vecākās valodas drošību.

Gaišreģis bija viens no agrāk ethereumprojects, un brīdī, kad tās pilnvara līgums tika rakstīts, Čūska bija galvenais gudrs līguma valoda pieejama. Bet drīz pēc tam, izturīgumu tika ieviesta, un pārņēma ethereum flagmanis smart līguma programmēšanas valodu, nospiežot čūsku ceļa malā.

Pat tā, gaišreģis izpilddirektors Joey Krug teica, ka bija maz publiski brīdinājumi par iespējamajām problēmām, kas varētu novērst Serpent no kodu izpildot kā gaidīts.

Viņš pastāstīja CoinDesk:

"Neviens nekad teica čūska bija nedrošs vai nolietojusies. Tas vienkārši nebija tik populārs, [kā izturīgumu]."

Kaut gaišreģis bija plānots pārcelties uz citu viedo līguma valoda kādā brīdī, rezultāti kompilators audita būtībā piespieda projekta roku. Tiklīdz Zeppelin paziņots gaišreģis iesaistīto drošības jautājumiem, gaišreģis pārcēlās quicklyto migrēt savus rep žetonus drošā ERC 20token līgumā rakstīts izturīgumu.

"Zema kvalitāte" un "kļūdains"

Citiem jautājums, ja tie ir sekot, Zeppelin risinājumi ir izklāstīti pilnu rezultātus revīziju 36 lappušu ziņojumu par.

In blog post, Zeppelin sauc Serpent projektu "zemas kvalitātes" un "kļūdains", un brīdināja izstrādātājiem atturēties no valodas, kamēr tās daudzas kritiskas problēmas tika fiksēts.

Ziņas piedāvāts ethereum dibinātāja Vitalik Buterin izsūtīt čivināt, zvanot programmēšanas valodu "novecojis tech" un brīdinājums, ka nebija pietiekamu "drošības aizsardzību."

Attiecībā uz gaišreģis, viskritiskākais Serpent ievainojamība bija viena, kas ļautu hakeris mainīt datumu, kurā tika izveidots REP marķieris līgums, būtībā aizsalšanu token piegādi.

"Jūs varētu padarīt līgums domājat, ka tas nemaz nebija oficiāli izveidots vēl, tā, ka būtībā neviens no pārskaitījumiem varētu strādāt," sacīja Krug.

Ja Čūska bija tikai šī viena problēma, Krug teica, ka viņš būtu laimīgi fiksēto kodu un turpinājis lietot valodu pagaidām. Bet vairākas problēmas revīzijā atklātās bija vienkārši pārāk milzīgs.

Tā vietā, pēc atjaunināšanas ceļu līdz Zeppelin izklāstīto, gaišreģis pārcēlās pārrakstīt savu veco REP tokenin izturīgumu un izvietot jaunu ERC-20 līgumu par ethereum. Pēc tam tas efektīvi ielauzies savs Serpent smart līgumu, iesaldēšanu REP marķiera, pirms migrē uz iesaldēto REP atlikumu uz jauno līgumu.

Atsevišķā blog post, Zeppelin mudināja kādi ethereum projektus joprojām izmanto Čūskas sekot līdzīga migrācijas ceļu pārvietot savus žetonus drošāku izturīgumu līgumu.

Vairāk acis nepieciešams

Serpent programmēšanas valoda un sastādītājs bija gan raksta Buterin. Bet fakts tikai viens cilvēks rakstīja kods, iespējams, pamatā dažas čūskas problēmām.

Zeppelin rakstīja savā ziņojumā:

"Mazāk acis uz kodā nozīmē mazāk bugs ir pamanījuši."

Zeppelin arī norādīja, ka čūska ir divus gadus vecs, ar dažiem apņemas kopš 2015. Oktobris Papildinot, ka ar gandrīz ikviens, kurš lieto Serpent tagad ir maz iespēja ikvienam smērēšanās problēmas kodu vai šo problēmu tiek fiksēta.

Pamatīgums, no otras puses, tika uzrakstīts komanda cilvēku Gavin Wood, viens no dibinātājiem ethereum vadībā. Un tāpēc VIENGABALAINĪBA ir plašāk izmantots un redz daudz vairāk darbību - 30 reizes veicinošie pieprasījumus, 20 reizes atvēl, astoņas reizes tik līdzautoru, atbilstoši Zeppelin - salīdzinot ar čūsku, jaunāku programma ir mazāk iespējams, ir tas pats numurs jautājumus.

Attiecībā uz to izstrādātājiem vajadzētu izmantot, nevis čūskas, tad Zeppelin ziņojums liecina stiprībai ir labākais pieejamais atbilde jau šodien. Tomēr tas arī liecina izstrādātāji uzskata, Viper, kas aizstātu čūsku, norādot, ka Viper "izskatās pārāka" uz čūsku. Bet čivināt, Buterin ieteicams izstrādātāji turēt līdz brīdim, odze iet ārējo auditu pirmās.

Pamatīgums audits?

Bet, iespējams, viens no vairāk satraucošajiem jautājumiem, atklāj Zeppelin Čūskas sastādītājs audita ka izturīgumu pats nav pārbaudījis, vai nu. Un ņemot vērā, ka miljoniem dolāru-vērtu žetonu pašlaik pārvalda viedie līgumi rakstītas izturīgumu, dažiem, ieskaitot Krug, konstatē, ka ziņas satraukumu.

Pievienojot ar bažām par izturīgumu, tad Zeppelin kompilators audits nāk uz papēžiem $ 30 miljoni kapāt paritātes maku, kur ir kļūda paritāti codeessentially atļauts hakeris pārvērst trīs multi-parakstu maki uz nulles parakstu maki, un iztukšo fondi.

In blog post pēc šā uzbrukuma, paritāte norādīja pirkstu pie izturīgumu, norādot, ka "daži vainu šo kļūdu gulstas uz izturīgumu valodā un, tā pašreizējā iemiesojums, grūtības, ar kurām var izprast izpildes atļaujas pār funkcijas."

Bet vēl lielāks ethereum zādzība notika pirms nedaudz vairāk nekā gadu, kad hacker izmantoja nepilnības noturība kodu sifons $ 50 miljonus ēterī no projekta nosaukumu DAO. Bojājums tika uzskatīta par tik plaša, ka izstrādātāji aiz ethereum īstenoja grūti dakšiņu protokolā roll atpakaļ savu darījumu vēsturi.

Programmatūras kods auditi ir prasība daudzās kritiskās nozarēs, un Demian Brener, CEO Zeppelin, domā pats gadījums jābūt gudrai līguma kodu.

"Ņemot skaits ievainojamību atsegts čūsku, mēs uzskatām kompilators auditi, kopā ar kodu auditu, vajadzētu kļūt par labāko praksi," viņš rakstīja e-pastu uz CoinDesk. Viņš piebilda, ka Zeppelin pašlaik runā ar Ethereum fondu, lai tas notiktu.

Tikmēr Krug summē savas domas par šo jautājumu, sakot:

"Kopumā ziņojums ir vairāk sīkumi Jārevidē."

Saistītās ziņas


Post Ethereum

Mērogošana zibens? Kā Revive varētu palielināt Bitcoin vislielāko mērogošanas plānu

Post Ethereum

Rebranding DAO: Contentious Blockchain koncepcija ir Atpakaļ

Post Ethereum

BlockCypher atbrīvo Ethereum API rīkkopu izstrādātājiem

Post Ethereum

Juridiski saistoši saprātīgi līgumi? 10 juridiskās firmas pievienojas Ethereum Alliance

Post Ethereum

Kods ir likums? Ne visai

Post Ethereum

Analītiķi prognozē Ethereum Ether Token cenu par 100 ASV dolāriem

Post Ethereum

9 Ethereum lielā izstrādātāju notikuma Must-Watch sarunas

Post Ethereum

Kapitālieguldītāji palielina Ethereum darījumu jaudu ar gāzes ierobežojumiem

Post Ethereum

Monax pārveido Ethereum Tech par Hyperledger Blockchain Group

Post Ethereum

Bitcoin sadaļā Headlines: Bombers un BitLicenses

Post Ethereum

JP Morgan, Santander saka pievienoties jaunai Ethereum Blockchain Group

Post Ethereum

150 deputāti: Indijas valdība, Mastercard Pievienojieties Ethereum Alliance