Üks Ethereumi varaseimatest arukatest lepingulistest keeltest läheb pensionile | EE.democraziakmzero.org

Üks Ethereumi varaseimatest arukatest lepingulistest keeltest läheb pensionile

Üks Ethereumi varaseimatest arukatest lepingulistest keeltest läheb pensionile

Serpent, üks ethereum varasemate smart tellija keeles ei ole enam ohutu kasutada.

See võib olla suurim Buffee alates auditi ethereum on Serpent koostamine keeles, vabastati eelmisel nädalal blockchain turvaettevõtte Zeppelin Solutions. Katse tulemused viitavad kümneid probleeme koostaja, sealhulgas kaheksa kriitilisem turvaauke.

Zeppelin palkas Augur, mis on ethereum põhinev ennustus turul, et viia auditi kaks kuud tagasi. Peaaegu $ 2 miljoni väärtuses oma luba (REP) istub lepingu kirjutatud Serpent, Augur oli hea põhjus olema mures turvalisuse vanemate keel.

Augur oli üks varem ethereumprojects ja ajal oma sümboolne lepingu kirjutatud, madu oli peamine smart lepingu keeleks. Aga varsti pärast, kindlust võeti kasutusele võttis üle ethereum lipulaev smart lepingu programmeerimiskeelt, lükates madu kõrvale.

Isegi nii, Augur tegevjuht Joey Krug ütles oli vähe avalikke hoiatusi võimalike probleeme, mis takistaks Serpent hukkamast kood ootuspäraselt.

Ta ütles CoinDesk:

"Keegi kunagi ütles madu oli ebakindel või amortiseerunud. See lihtsalt ei olnud nii populaarne [nagu tugevus]."

Kuigi Augur oli kavas kolida teise smart lepingu keel mingil hetkel, tulemused koostaja auditi sisuliselt sunnitud projekti poolt. Niipea kui Zeppelin teavitatud Augur turvalisuse küsimuste, Augur kolis quicklyto rännata oma VABARIIK märgid turvalisele ERC-20token lepingu kirjutatud tugevus.

"Madala kvaliteediga" ja "vale"

Teiste jaoks mõtlesin, et kas nad peaksid järgima, Zeppelin Solutions on välja toodud täis tulemused auditi 36-leheküljelises raportis.

Blogi postitus, Zeppelin nimetatakse Serpent projekti "madal kvaliteet" ja "vale" ja hoiatas arendajad hoiduda keel kuni paljude kriitiliste probleemide olid fikseeritud.

Uudised küsitakse ethereum asutaja Vitalik Buterin saata piiksuma, kutsudes programmeerimiskeelt "vananenud tech" ja hoiatus see puudus piisav "ohutuse kaitse."

Nagu Augur, kõige kriitilisem Serpent haavatavust oli üks, mis võimaldaks häkker kuupäeva muutmiseks, milles VABARIIK sümboolne lepingu loodi sisuliselt külmutamine üles sümboolne pakkumise.

"Sa võiksid teha lepingu arvates ei olnud tegelikult ametlikult veel loodud, nii et põhimõtteliselt ükski ülekandeid teeks," ütles Krug.

Kui madu oli ainult, et üks probleem, Krug ütles, et ta on õnnelikult fikseeritud kood ja jätkas kasutades keele praegu. Aga mitmeid probleeme auditi käigus olid lihtsalt liiga suur.

Nii et selle asemel, pärast uuendatud tee visandatud Zeppelin, Augur kolis kirjutada oma vana VABARIIK tokenin tugevus ja juurutada uut ERC-20 lepingu ethereum. Seejärel tõhusalt häkkinud oma Serpent smart lepingu külmutamine VABARIIK sümboolne rändavad tasakaalu külmutatud VABARIIK uue lepingu.

Eraldi blogipostituse Zeppelin kutsus tahes ethereum projektide endiselt kasutades Serpent järgida sarnast üleminekuviise liikuda oma märgid turvalisemale tugevus leping.

Rohkem silmad vaja

Serpent programmeerimiskeelt ja koostaja oli nii kirjutanud Buterin. Aga tegelikult ainult üks inimene kirjutas kood võib aluseks mõned mao probleeme.

Zeppelin kirjutas oma raportis:

"Vähem silmad kood tähendab vähem vigu märgata."

Zeppelin märkis ka, et madu on kaks aastat vana, vähe commits alates oktoobrist 2015. Lisamine, et vaevalt keegi kasutab Serpent nüüd on vähe võimalust et keegi määrimine probleeme koodi või nende probleemid on fikseeritud.

Tugevus, teiselt poolt, kirjutas meeskond inimesed juhivad Gavin Puit, üks asutajatest ethereum. Ja kuna tugevus on laiemalt kasutusel ja näeb palju rohkem tegevust - 30 korda tõmmata taotlused, 20 korda commits, kaheksa korda rohkem toetajad, vastavalt Zeppelin - võrreldes Serpent, uuem programm on vähem tõenäoline on sama number küsimusi.

Nagu mida arendajad peaksid kasutama asemel Serpent, Zeppelini aruande kohaselt tugevus on parim võimalik vastus täna. Siiski näitavad ka arendajad leiavad Viper järglane Serpent, märkides, et Viper "näeb parimat" e Serpent. Aga piiksuma, Buterin soovitatav arendajad hoida ära kuni Viper läbib välise auditi esimene.

Tugevus audit?

Aga võib-olla üks kõige murettekitav küsimusi ilmnenud Zeppelini Serpent koostaja audit on sellele tugevuse ise ei ole auditeeritud kas. Ning arvestades, et miljoneid dollareid väärt märke praegu haldab smart lepingute kirjutatud tugevus, mõned, sealhulgas Krug, leiavad, et uudis segadusse.

Lisades muret tugevus, Zeppelini koostaja auditi süttib kontsad $ 30 miljonit hack pariteedi rahakott, kus viga paarsusinformatsioonis codeessentially lubatud häkker pöörduda kolme multi-allkirja rahakotid arvesse null-allkirja rahakotid ja tühjendada vahenditest.

Blogi postitus pärast rünnakut, Võrdsust osutas sõrmega tugevus, märkides, et "mõned süüdistada selles viga lasub tugevus keele ja oma praeguse kehastus, raskus, mis võib mõista täitmise õigused üle funktsioone."

Aga isegi suurem ethereum varguse toimus veidi rohkem kui aasta tagasi, kui häkker võttis ära lünga tugevust kood sifooni $ 50 miljonit eetris alates projekti nimega DAO. Kahju peeti nii ulatuslik, arendajad taga ethereum rakendatakse raske kahvel protokolli rulli tagasi oma tehingute ajalugu.

Tarkvara koodi auditid on nõue paljudes kriitiline tööstusharude ja Demian Breneri tegevdirektor Zeppelin, arvab samas asjas tuleks aruka lepingu koodi.

"Arvestades mitmeid turvaauke katmata Serpent usume koostaja auditeid koos koodiga auditeid, peaks saama parimaid tavasid," kirjutas ta e CoinDesk. Ta lisas, et Zeppelin praegu räägi Ethereum Foundation teha, mis juhtub.

Vahepeal Krug kokku oma mõtted teemal, öeldes:

"Üldiselt sõnum on, rohkem asju tuleks auditeerida."

Seotud uudised


Post Ethereum

Blockchaini käivitamisel pole Šveitsi Crypto Valley New Yorgis

Post Ethereum

2017: kui Ethereum läheb IT-st ettevõttesse

Post Ethereum

Lõpuks? Parity Releases - Ethereum Hard Fork

Post Ethereum

2018 krüpto 2.0: Bitcoini teooria pööramine suurtele ettevõtetele

Post Ethereum

Kasutaja võimsus: Accenture ja Microsoft muudavad Ethereumiga identiteeti

Post Ethereum

Modest Proposal: Vitalik tutvustab Ethereumi mitmeaastast visiooni

Post Ethereum

Vastaspoo paneb arutelu Ethereumi integratsiooniga

Post Ethereum

Kas uus sotsiaalse operatsioonisüsteemi saab määrata DAO?

Post Ethereum

DAO kriis: Või kuidas Vigilantism ja Blockchaini demokraatia on parim põnevus investorite jaoks

Post Ethereum

Bitcoin pealkirjades: pommitajad ja BitLicenses

Post Ethereum

DAO rebrändimine: vaidlustav Blockchaini kontseptsioon on tagasi

Post Ethereum

Avaliku arvamuse jagamine Nagu DAO Rakesi rahastamine Ethereumis