Vertrauen sie Niemandem: Die intelligente Vertragssicherheit von Ethereum schreitet voran

05.11.2017

"Jeder hier ist ein Angriffsziel. Seien Sie paranoid." So hat der Sicherheitsbeauftragte der Ethereum Foundation, Martin Swende, gestern seinen Deep-Dive-Vortrag über Smart Contract Security bei Devcon3 beendet

An diesem Punkt hat er seinen fairen Anteil an Angriffen auf Ethereum miterlebt und möchte, dass die Community weiß, worauf sie sich einlassen.

Da war der DAO-Hack , bei dem Millionen von Dollar an Ether aufgrund eines intelligenten Vertragsfehlers gestohlen wurden. Es gab die Zeit, in der Ethereum-Transaktionen wegen eines unbekannten Angreifers verlangsamt wurden - dies an einem von Swendes ersten Tagen, als er an dem Protokoll arbeitete, nicht weniger. Und dann, vor ein paar Monaten, verlor der Ethereum-Kunde Parity 30 Millionen Dollar, nachdem er gehackt wurde.

Damit weisen die Entwickler darauf hin, dass - so revolutionär wie Ethereum sein kann und sein könnte - immer noch eine Menge Knicke zu überwinden sind, einer der Gründe, warum die Leitmesse des Open-Source-Projekts am zweiten Tag Entwickler und Akademiker veröffentlichen neue Tools, um die Smart-Contract-Sicherheit weiter voranzutreiben.

Trotz dieser großen Angriffe sind die Entwickler optimistisch, wohin die intelligente Vertragssicherheit führt.

RSK Labs Chefwissenschaftler und Kryptowährungssicherheitsberater Sergio Demian Lerner sagte:

"Das gesamte Ökosystem reift im Hinblick auf die Sicherheit."

Die richtigen Werkzeuge

Während es verschiedene Teile von Ethereum gibt , die gesichert werden müssen, konzentrierte sich der zweite Tag von Devcon auf intelligente Verträge, wahrscheinlich weil Schwachstellen im Code dieses Mechanismus die Entstehung von Leuten sind, die Geld verlieren.

Handbuch Araoz, CTO der Blockchain-Sicherheitsfirma Zeppelin, nannte 2016 das "dunkle Zeitalter" der Ethereumsicherheit, aber, wie andere, bemerkte, dass sich die Dinge verbessert haben.

Zum einen ist es ein großes, offenes Problem, intelligente Verträge "aufzurüsten", sobald sie auf ethereum laufen. Im Gegensatz zu herkömmlicherer Software gibt es keine Möglichkeit, dass Entwickler den Code aktualisieren können, wenn ein Fehler in einem Smart-Vertragscode vorliegt und dieser Code ohne Sicherheitsmaßnahmen geschrieben wurde.

Aber Araoz und sein Team bei Zeppelin haben an einem nützlichen Tool gearbeitet. Erst kürzlich wurde ein neues OS-Projekt vorgestellt, das es einfacher machen soll, mit bereits laufendem Code zu basteln.

"Wenn wir einen Fehler haben oder das Programm verbessern müssen, können wir das tun. Es kann verwendet werden, um den Produktionscode zu korrigieren", sagte er.

Das Upgrade-Problem wird zwar nicht vollständig gelöst, das Projekt stellt jedoch ein neues Tool bereit - und diese Erweiterungen der ethereum-Entwickler-Toolbox werden weithin als die fortschrittliche Smart Contract-Sicherheit bezeichnet.

Ein weiteres Projekt auf der Veranstaltung vorgestellt, Securify angepriesen als "Druckknopf Sicherheit Audit - Tool." In einer Sitzung mit dem Titel "Not Your Grandmas Smart Contract Verification" (Intelligente Vertragsüberprüfung) gibt es eine einfache Schnittstelle für Entwickler, um Smart-Verträge zu installieren und nach bestimmten Arten von Fehlern zu suchen.

Während der Sitzung sagte der Forscher des Software-Zuverlässigkeitslabors der ETH Zürich, Quentin Hibon, Securify sei eine starke Sicherheitsgarantie.

Mit solchen Entwicklungen geht es nach Lerner alles in die richtige Richtung.

Die virtuelle Maschine von Ethereum wurde hinsichtlich der Sicherheit verbessert, sagte er. Formale Verifizierung wurde hinzugefügt, die mathematische Beweise verwendet, um zu erkennen, ob intelligente Verträge ordnungsgemäß funktionieren, fuhr er fort. Und die wichtigste intelligente Vertragssprache von ethereum, Solidity, ist gereift, so dass jetzt viele Fehler auf der Solidity-Ebene korrigiert werden, schloss er.

"Immer besorgt"

Das soll nicht heißen, dass es auch in Zukunft keine Probleme mit intelligenten Verträgen geben wird. Fast jedes Sicherheitsgespräch des Tages endete mit einem Call to Action, einer Warnung oder einer Liste offener Probleme, denen das zweitgrößte Kryptowährungs- Protokoll von Market Cap gegenüberstand.

Zum Beispiel erwähnte der Lerner der RSK, dass er in seiner Freizeit erste ICO-Kontrakte zerlegt und viele offensichtliche Fehler entdeckt. Die Tatsache, dass die Token-Emittenten jetzt die Hilfe von Sicherheitsexperten anfordern, um ihren Smart-Contract-Code zu prüfen, ist ein gutes Zeichen, sagte er.

Und Forscher einer Handvoll Universitäten versuchen auch, die Anreizstrukturen für Fehler zu optimieren, um Hacker dazu zu bringen, Schwachstellen zu melden, anstatt sie auszunutzen.

Wie gestern von CoinDesk berichtet wurde, greift Hydra das traditionelle Bug-Bounty-Modell auf: Programmatisch bietet es Hackern mehr Belohnungen, um Entwickler über einen Fehler zu informieren, als sich die Ausnutzung des Fehlers auszuzahlen.

Viele dieser Projekte befinden sich jedoch noch in einem frühen Stadium.

Ethereum - und Kryptowährungen im Allgemeinen - bleiben eine Art Hackerparadies.

"Die Hacking-Szene hat sich gewaltig verändert. Die Einnahmequelle für Hacker war mit Botnets für Denial-of-Service-Angriffe. Das ist ziemlich schwierig aufzubauen. Jetzt, nach Krypto, ist es so monetarisierbar und es gibt geringe Risiken", sagte Swende der Ethereum Foundation.

Dies bringt neue Herausforderungen mit sich, auf die sich die Entwickler von Blockchain vorbereiten müssen, und der erste Schritt ist laut Swende, wachsam zu bleiben.(EnP)

Englische Originalversion