Близько 34 200 поточних смарт-контрактів Ethereum на суму 4, 4 мільйони доларів в ефірі є вразливими для злому через погане кодування, яке містить помилки.
Це тривожний висновок, який п’ять дослідників з Великобританії та Сінгапуру висловили у своєму звіті під назвою "Пошук масштабних жадних, блудних та суїцидальних контрактів".
У своїй роботі автори виділили три основні категорії розумних контрактів, які є легкими цілями для злому:
- Жадібні: Ці договори фіксують кошти на невизначений термін. Позиція: Ці витоки коштів довільних користувачів. Суїцидальні: Ці контракти можуть бути вбиті будь-яким користувачем.
Розумні контракти та їх коди існують у децентралізованій блокчейн-мережі. Blockchain - це технологія, яка недооцінює біткойни.
Хоча розумні контракти вітаються за простоту використання та відносно менші витрати, вони є вразливими для кібер-хакерів. У 2017 році 500 мільйонів доларів було втрачено або викрадено через погано кодовані контракти, і половина тих, хто займався ефіріумом, повідомляє Bitcoin.com. Дивіться також: (Другий головний хакер Ethereum за тиждень призводить до крадіжки $ 34 млн.)
"Ми маємо справу з додатками, які мають дві дуже неприємні риси: вони керують вашими грошима, і їх неможливо змінити", - заявив співрозмовник доповіді Ілля Сергій, доцент кафедри інформатики університетського коледжу в Лондоні.
Автори "Пошук жадібних, блудних і суїцидальних контрактів на масштабі" проаналізували 970 898 розумних контрактів і виявили, що 34 200 з них є легкими мішенями для злому, а це означає, що близько 1 з 20 розумних контрактів під загрозою.
"Максимальна кількість ефіру, яку можна було вивести…, становить майже 4 905 ефірів", - написали автори. Використовуючи сьогоднішню ціну близько 894 доларів за маркер ETH, це майже 4, 4 мільйона доларів.
У звіті додається: "Крім того, 6, 239 ефіру (близько 5, 6 мільйонів доларів) є заблокованими в посмертних контрактах, які зараз перебувають у блокчейні, з яких 313 ефіру були відправлені до мертвих контрактів після їх вбивства".
Оскільки дослідники не виявили, які смарт-контракти є вразливими, вони, мабуть, в безпеці від хакерів - поки що. Але співавтор доповіді говорить, що, враховуючи багатомільйонний джекпот, який вони зможуть розкрити, це не здивувало б його нападу на кібератаки. Все, що потрібно для виявлення договорів ризику, - це певна робота. "Якщо хтось захоче скористатися цією ідеєю, йому доведеться провести як мінімум стільки, скільки ми зробили", - сказав Ілля Сергій.
