Vienas iš Ethereum ankstyviausių Smart sutarčių kalbų yra skirtas pensijoms | LT.democraziakmzero.org

Vienas iš Ethereum ankstyviausių Smart sutarčių kalbų yra skirtas pensijoms

Vienas iš Ethereum ankstyviausių Smart sutarčių kalbų yra skirtas pensijoms

Gyvatė, vienas iš ethereum ankstesnių išmaniųjų perkančiųjų kalbomis nebėra saugus naudoti.

Tai gali būti didžiausia Takeaway nuo iš ethereum anketa Gyvatė kompiliavimo kalba audito, išleistas praėjusią savaitę blockchain apsaugos firma Zeppelin sprendimai. Išvados rodo, kad dešimtys problemų su sudarytojas, įskaitant aštuonis kritinį pažeidžiamumą.

Zeppelin "buvo pasamdytas Nusimato, An ethereum pagrindu prognozavimo rinka, atlikti auditą prieš du mėnesius. Su beveik 2 $ milijonų vertės jo simbolinį (REP) sėdinčios sutartį parašyta gyvatę, Augur turėjo gerą priežastį būti susirūpinęs dėl vyresnės kalba saugumą.

Nusimato buvo viena iš ankstesnių ethereumprojects, ir tuo metu, kai buvo parašytas jo raktas sutartis, Gyvatė buvo pagrindinis protingas sutartis prieinama kalba. Tačiau netrukus po to, kai, efektyvumo buvo įvesta ir perėmė ethereum flagmanas protingas sutartis programavimo kalba, stumia Gyvatę į kelio.

Nepaisant to, Augur Vadovas Joey Apskritimas teigė, kad yra keletas viešojo įspėjimai apie galimus klausimus, kad būtų užkirstas kelias Gyvatę iš vykdančiosios kodą taip, kaip tikėtasi.

Jis papasakojo CoinDesk:

"Niekas sakė Gyvatė buvo nesaugus arba nusidėvėjusi. Jis tiesiog buvo ne toks populiarus, [kaip tvirtumas]."

Nors Augur buvo planuojama perkelti į kitą pažangų sutarties kalba tam tikru momentu, rezultatai sudarytojas audito esmės priversti projekto ranką. Kuo greičiau Zeppelin pranešta Nusimato dalyvaujančių saugumo klausimais, Augur persikėlė quicklyto migruoti savo RESPUBLIKA žetonų į saugią EMTT-20token sutarties parašytas tvirtumą.

"Prastesnė kokybė" ir "ydinga"

Kitiems įdomu, jei jie turėtų sekti jų pavyzdžiu, Zeppelin Solutions išdėstyti visą rezultatus savo auditą yra 36 puslapių ataskaitoje.

Dienoraštyje, Zeppelin "vadinamas Žalčio projektą" žemos kokybės "ir" ydinga ", ir įspėjo kūrėjams susilaikyti nuo naudojant kalbą, kol jos daug kritinių problemų buvo išspręsta.

Naujienos paskatino ethereum įkūrėjas Vitalik Buterin išsiųsti Čivināšana, paskambinus programavimo kalbą "pasenusi technologijų" ir įspėjimas ji neturėjo tinkamos "saugos apsaugą."

Kaip Nusimato, svarbiausias Gyvatė pažeidžiamumas buvo vienas, kad leistų įsilaužėlis pakeisti datą, kuri buvo sukurta RESPUBLIKA raktas sutartis, iš esmės įšaldymo iki simbolinis pasiūlą.

"Galima padaryti sutartį, kad tai iš tikrųjų nebuvo oficialiai sukurta dar, kad iš esmės nė vienas iš pervedimų veiktų, sakė Apskritimas.

Jei Gyvatė turėjo tik tą vieną problemą, Apskritimas sakė jis būtų laimingai fiksuoto kodą ir toliau naudojant šiuo metu kalba. Bet problemų audito metu atskleistos skaičius buvo tiesiog per didele.

Taigi vietoj to, po atnaujinimo keliu išdėstė Zeppelin, Augur persikėlė perrašyti savo senas RESPUBLIKA tokenin tvirtumą ir dislokuoti naują EMTT-20 sutartį ethereum. Tai tada efektyviai nulaužė savo serpent protingas sutartį, šaldymo rep raktą, prieš migruojant iš užšaldyto REP balansą naują sutartį.

Atskirame bloge, Zeppelin "paragino visus ethereum projektus vis dar naudojate Gyvatė sekti panašų migracijos kelią perkelti savo žetonus į saugesnę tvirtumą sutartį.

Daugiau akis reikia

Gyvatė programavimo kalba ir sudarytojas tiek buvo parašyta Buterin. Bet faktas tik vienas žmogus rašė kodas gali gulėti kai gyvatės problemas.

Zeppelin "rašė savo pranešime:

"Mažiau akys kodas reiškia, kad mažiau klaidų yra pastebėjau."

Zeppelin ", taip pat pažymėjo, kad Gyvatė yra du metai, išskyrus kelias įsipareigoja nuo 2015 m spalis Įrašyta į tai, su vargu ar kas nors naudojate Gyvatę dabar yra mažai galimybė niekam tepimas problemų kodą arba tų problemų yra fiksuotas.

Tvirtumas, kita vertus, buvo parašyta žmonių, vadovaujamų Gavin Mediena, vienas iš ethereum steigėjų komanda. Ir todėl, kad Vientisumo yra plačiai naudojamas ir mato daug daugiau veiklos - 30 kartų patrauklumo prašo, 20 kartų įsipareigoja, aštuonis kartus Daugelis respondentų, pagal Zeppelin - Palyginti su gyvatė, naujesnių programa yra mažiau tikėtina, kad turi tą patį skaičių klausimų.

Kaip už ką kūrėjai turėtų naudoti vietoj gyvatė, Zeppelin ataskaitoje teigiama, Vientisumo yra pats geriausias įmanomas atsakymas šiandien. Tačiau, ji taip pat rodo, kūrėjai mano angis, įpėdinį į gyvatę, kuriame teigiama, kad Viper "atrodo pranašesnis", kad gyvatės. Bet Čivināšana, Buterin rekomenduojama kūrėjai Palaukite, kol angis eina išorinį auditą pirmiausia.

Tvirtumas auditas?

Bet, ko gero viena iš daugiau nerimą keliančių klausimų atskleidė iki Zeppelin "Gyvatė sudarytojas audito yra tai, kad pati Vientisumo nebuvo audituota arba. Ir turint omenyje, kad milijonai dolerių-vertės žetonus dabar valdo išmaniųjų sutarčių parašytų tvirtumą, kai, įskaitant Krug, kad naujienos nerimą.

Įrašyta į susirūpinimą tvirtumą, Zeppelin sudarytojas auditas ateina A $ 30 mln Hack iš paritetų piniginėje, kur į pariteto klaida codeessentially leidžiama įsilaužėlis įjungti tris multi-parašą kulniukai piniginės į nulinės parašo piniginės ir nusausinkite lėšos.

Dienoraštyje po to išpuolio, lyginumas nurodė su tuo tvirtumą pirštu, nurodydama, kad "kai kurie kalti dėl šio klaidą tenka tvirtumą kalba ir jos dabartinio įsikūnijimo, sunkumus, su kuriais galima suprasti vykdymo teises ir funkcijas."

Bet dar didesnis ethereum vagystės įvyko prieš šiek tiek daugiau nei metus, kai įsilaužėlis pasinaudojo į tvirtumą kodas spraga sifono $ 50 milijonų eteryje iš projekto vadinamas dao. Žala buvo laikoma tokia plati, už ethereum kūrėjai įgyvendino sunku šakutė protokole įvirsta savo operacijų istoriją.

Programinė įranga kodas auditai yra reikalavimas daugelyje kritinių pramonės ir Demian Brener, generalinis direktorius Zeppelin, mano turėtų būti tas pats atvejis pažangaus sutartį kodą.

"Atsižvelgiant į pažeidžiamumą atidengta Serpent skaičius, mes manome, sudarytojas auditas, kartu su kodo auditą, turėtų tapti geriausia praktika", jis rašė laišką į CoinDesk. Jis pridūrė, kad Zeppelin "šiuo metu kalbėti su Ethereum fondo padaryti, kad taip atsitiktų.

Tuo tarpu Apskritimas apibendrino savo pačių mintis šiuo klausimu, sakydamas:

"Apskritai, pranešimas yra daugiau dalykų turi būti audituota."

Susiję straipsniai


Post Ethereum

Brazilijos centrinis bankas yra Ramping Up Blockchain MTTP

Post Ethereum

150 narių: Indijos vyriausybė, Mastercard prisijungia prie Enterprise Ethereum Alliance

Post Ethereum

Blockchain procesoriui? Analizuojant Golemo Ethereum Token Sale

Post Ethereum

Kontrahentas uždegia diskusijas su Ethereum integracija

Post Ethereum

2018 m. Crypto 2.0: Bitcoin teorijos įjungimas į didelį verslą

Post Ethereum

TrueBit viduje: Mažiausiai žinomas Ethereum mastelio darbo pastangas

Post Ethereum

Blockchain paleidimas Chronicles paleidžia Ethereum IoT registrą

Post Ethereum

Visą laiką aukštas: Ether kainos kainuoja 440 dolerių kaip pagrindinį lygį Trūksta

Post Ethereum

Pagaliau? Parity Releases pakeitė programinę įrangą prieš Ethereum Hard Fork

Post Ethereum

7 Cool decentralizuotos programos, sukurtos Ethereum

Post Ethereum

Srauto nemokamas lošimas Ethereum? Reguliuotojai gali būti neparuošti

Post Ethereum

Bitcoin prognozės 2018 m.: kaip nusiteikę tarnai