Un grupo de investigadores de la Universidad de Singapur publicó un documento que muestra que el 44% de los contratos de Ethereum son vulnerables. En el momento de la publicación del periódico en junio de 2016, analizaron los 19,366 existentes en el sistema Ethereum y encontraron que 8,833 contratos (alrededor de $ 62 millones) fueron marcados como defectuosos por su herramienta, OYENTE. Estas vulnerabilidades también fueron popularizadas por los conocidos hacks DAO y Parity Wallet.
El documento documenta varias clases de errores de seguridad en los contratos inteligentes de Ethereum, específicamente la dependencia del orden de las transacciones, la dependencia de la marca de tiempo y las expectativas mal manejadas. A continuación describimos brevemente cada uno:
Error de dependencia de orden de transacciones (TOD) Se encontró en el 15,8% de los contratos inteligentes en Ethereum. Esto sucede cuando el usuario de un contrato inteligente asume un estado particular de un contrato, que puede no existir cuando su transacción se procesa, lo que podría conducir a un comportamiento malicioso.Error de dependencia de marca de tiempo surge de la comprensión imperfecta del cronometraje en los contratos inteligentes.Error de expectativas de mal manejo También es conocido como el envío sin marcar. En los contratos que sufren este error, es posible que un atacante obtenga un comportamiento inesperado de un contrato llamándolo desde una pila de llamadas cuidadosamente construida.
En una publicación de blog de seguimiento, el autor del artículo, Hrishi Olickel, enfatizó que los contratos deben asegurarse antes de que se creen "incluso a costa de una implementación demorada y más costosa". Los investigadores también señalan que una mejor comprensión y caracterización de las vulnerabilidades de los contratos inteligentes es necesario.
Firmo Network utiliza un lenguaje de programación verificado y formal para implementar de forma segura los contratos inteligentes en la cadena de bloques. Dicha tecnología apunta a mitigar las vulnerabilidades actuales de Ethereum, evitando Solidity y compilando directamente a la cadena de bloques.
¡Unirse a la conversación! Haga preguntas, comente y converse directamente con el equipo de Firmo Network aquí en nuestro grupo de Telegram Community.