Adam Back obwinia projekt EVM za włamanie do Bybit i może mieć rację

Adam Back obwinia projekt EVM za włamanie do Bybit i może mieć rację

Adam Back zauważa, że ​​wady EVM są w dużej mierze przyczyną nie tylko ataku na Bybit, ale także wszystkich luk w zabezpieczeniach ekosystemu Ethereum.

Adam Back, znany twórca kryptowaluty Bitcoin i współzałożyciel Blockstream, wskazał bezpośrednio na Twoje konto X, projekt maszyny wirtualnej Ethereum (EVM) jako głównego winowajcy ataku na Bybit, wśród innych podobnych luk w zabezpieczeniach ekosystemu Ethereum.

Back, który jest ważną postacią w ekosystemie Bitcoin, otwarcie krytykował słabości EVM i jego języka programowania, Solidity. Jego zdaniem konstrukcja EVM, która jest niezbędna do realizacji inteligentnych kontraktów w Ethereum i innych kompatybilnych blockchainach, ma wady strukturalne, które ułatwiają tego typu ataki.

Ale czy Adam Back ma rację? Czy problemy EVM są tak poważne, jak twierdzą? W tym artykule przeanalizujemy ich argumenty, omówimy historyczne luki w zabezpieczeniach maszyn do druku elektronicznego i zastanowimy się, dlaczego te problemy nadal występują w branży.

Kim jest Adam Back i dlaczego jego opinia jest ważna?

Adam Back jest ikoniczną postacią w świecie kryptowalut. Jako współzałożyciel Blockstream, wiodącej firmy zajmującej się technologią blockchain i jeden z pionierów rozwoju Bitcoina, jego opinia ma znaczenie w społeczności. Back jest zagorzałym zwolennikiem bezpieczeństwa i prostoty w projektowaniu technologii blockchain, a jego zdaniem brakuje tych funkcji w architekturze EVM.

I tu właśnie pojawia się włamanie do serwisu Bybit, w wyniku którego utracono ponad 1.400 miliarda dolarów. To właśnie to wydarzenie skłoniło Backa do wyrażenia swojej krytyki. Według niego takie incydenty nie są wyłącznie wynikiem błędów operacyjnych, ale mają swoje źródło w niebezpiecznej konstrukcji maszyny do e-papierosów.

«EVM to ogień, który podważa wiarygodność ekosystemu»– stwierdził w niedawnym poście. Według Backa złożoność EVM i jej języka, Solidity, stanowią doskonałe podłoże dla luk w zabezpieczeniach, które narażają użytkowników i platformy na ryzyko.

Ale czym właściwie jest EVM? Maszyna wirtualna Ethereum to środowisko wykonawcze, które przetwarza inteligentne kontrakty w sieci Ethereum. Zaprojektowano go tak, aby był kompletny w sensie Turinga, co oznacza, że ​​można na nim uruchomić każdy możliwy algorytm. Choć takie rozwiązanie zapewnia elastyczność, wprowadza również złożoność, która według Backa jest poważnym problemem.

KUP BITCOINA

Pogląd Adama Backa: Jakie są strukturalne wady EVM?

Adam Back zidentyfikował kilka kluczowych problemów w projekcie maszyny EVM i jej języku programowania, Solidity, które jego zdaniem ułatwiają ataki takie jak atak Bybit. Do jego najważniejszych zarzutów należą:

  1. Złożoność EVMBack twierdzi, że EVM jest zbyt skomplikowana, przez co jest podatna na błędy i luki w zabezpieczeniach. „EVM to ogień, którego nie da się opanować” stwierdził w niedawnym poście. Według niego ta złożoność nie tylko wpływa na bezpieczeństwo, ale również utrudnia weryfikację i utrzymanie inteligentnych kontraktów.
  2. Problemy z inteligentnymi kontraktamiInteligentne kontrakty, które są podstawą EVM, były przedmiotem dużej krytyki. W artykule z tyłu zaznaczono, że kontrakty te, napisane w środowisku Solidity, często zawierają błędy, ponieważ brakuje odpowiednich narzędzi do weryfikacji ich bezpieczeństwa. Co więcej, zdolność maszyny EVM do wykonywania złożonego kodu otwiera drzwi wektorom ataków, którym trudno zapobiec.
  3. Ponowne wejście i inne rodzaje ataków:Jednym z najwyraźniejszych przykładów podatności EVM jest atak typu reentrance. Do tego typu ataku dochodzi, gdy kontrakt wywołuje kontrakt zewnętrzny, który z kolei wywołuje kontrakt oryginalny przed zakończeniem początkowego wykonywania. Ataki tego typu były przyczyną największych strat w historii kryptowalut, w tym ataku na Bybit. Back podkreślił, że ataki te są możliwe ze względu na brak solidnych mechanizmów zapobiegających ponownemu wejściu w środowisko. „EVM umożliwia niezabezpieczoną komunikację kontraktów, co otwiera drzwi tego typu atakom” wyjaśnione.
  4. Niepowodzenia w zarządzaniu państwem:Krytyce poddano także sposób zarządzania państwem w wyborach powszechnych. Back twierdzi, że sposób, w jaki EVM obsługuje stany, może prowadzić do niespójności i nieoczekiwanego zachowania, zwłaszcza w złożonych środowiskach.
  5. Solidność: język niepewnyJęzyk programowania Solidity, używany do pisania inteligentnych kontraktów na EVM, również był krytykowany za brak bezpieczeństwa. Back twierdzi, że Solidity nie oferuje narzędzi i mechanizmów niezbędnych do zapobiegania typowym błędom, takim jak przepełnienia liczb całkowitych, reentrancy i inne rodzaje luk w zabezpieczeniach.

Przykładowo, w przypadku włamania do Bybit, atakujący wykorzystali słabość w zarządzaniu podpisami w portfelach multisig. Choć tego typu ataki nie są charakterystyczne wyłącznie dla EVM, Back twierdzi, że złożoność EVM i Solidity utrudnia identyfikację i naprawę tych problemów.

Problemy z maszynami do pisania nie są niczym nowym

Co zaskakujące, Adam Back nie jest jedyną osobą, która wskazuje na słabości EVM. W rzeczywistości wiele ze zidentyfikowanych przez niego problemów jest znanych społeczności od lat. Na przykład atak na The DAO w 2016 r., jeden z najbardziej niesławnych ataków w historii Ethereum, był możliwy dzięki luce w zabezpieczeniach logiki inteligentnego kontraktu. Atak, przed którym ostrzegano już kilka dni wcześniej, ostrzeżenia, których nie usłyszano, ostatecznie zakończył się wycofaniem Ethereum. To właśnie to wydarzenie podzieliło Ethereum na dwie części: Ethereum Classic (oryginalny łańcuch) i Ethereum (z wycofaniem The DAO w celu odzyskania funduszy i wsparciem Vitalika Buterina).

Atak na DAO: precedens historyczny

DAO (Decentralized Autonomous Organization) była jednym z najbardziej ambitnych projektów w historii Ethereum. Fundacja DAO, założona w 2016 r., została zaprojektowana jako zdecentralizowana, autonomiczna organizacja umożliwiająca inwestorom wspieranie projektów poprzez głosowanie. Uznano to za kamień milowy w realizacji inteligentnych kontraktów i dowód potencjału EVM.

Jednak DAO stało się również doskonałym przykładem tego, jak podatności inteligentnych kontraktów mogą mieć katastrofalne skutki. W czerwcu 2016 r. atakujący wykorzystał słabość w logice inteligentnego kontraktu The DAO, umożliwiając nieautoryzowany transfer ponad 3.6 miliona etherów, których wartość szacowano wówczas na ponad 70 milionów dolarów.

Atak ten był możliwy ze względu na kilka czynników, m.in.:

  1. Ponowne wejście: Kontrakt DAO umożliwiał atakującemu wielokrotne wywołanie funkcji przed ukończeniem jej początkowego wykonania, co pozwalało na nieautoryzowane wykradanie środków.
  2. Brak właściwej walidacji: W umowie nie przewidziano niezbędnych mechanizmów zapobiegających tego typu atakom, chociaż eksperci już na kilka dni przed incydentem zwrócili uwagę na możliwość ponownego wejścia w atmosferę.
  3. Złożoność projektu: Umowa DAO była niezwykle skomplikowana, co utrudniało przeprowadzenie audytu i analizy przed wdrożeniem.

Zatem włamanie do The DAO było decydującym momentem w historii Ethereum. Nie tylko pokazało słabości EVM i jego języka programowania, Solidity, ale także podkreśliło potrzebę poświęcenia większej uwagi kwestiom bezpieczeństwa przy opracowywaniu inteligentnych kontraktów.

Inne ostrzeżenia zignorowane

Ale włamanie do DAO nie było odosobnionym przypadkiem. Na przestrzeni lat pojawiło się wiele ostrzeżeń o słabościach EVM i Solidity. Na przykład:

  1. Problem „ponownego wejścia”: Ponowne wejście jest jednym z najczęstszych wektorów ataków na inteligentne kontrakty Ethereum. Chociaż opracowano wzorce i biblioteki mające na celu ograniczanie tego typu ataków, np. wzorzec Checks-Effects-Interactions, wielu programistów nie implementuje ich ze względu na ich złożoność i koszty.
  2. Atak z przodu: Tego typu atak, w którym górnik lub osoba o złych zamiarach przechwytuje i zmienia transakcję przed jej potwierdzeniem w blockchain, jest możliwy dzięki przejrzystości pamięci transakcji w EVM. Choć istnieją rozwiązania pozwalające temu zapobiec, takie jak wykorzystanie kanałów państwowych lub warstw prywatności, metody te nie są powszechnie stosowane.
  3. Brak narzędzi do analizy statycznej: Przez długi czas deweloperzy Ethereum nie dysponowali solidnymi narzędziami do analizy i wykrywania luk w zabezpieczeniach inteligentnych kontraktów. Chociaż narzędzia takie jak Etherscan, Mythril i Slither poprawiły sytuację, nadal istnieją ograniczenia w wykrywaniu złożonych błędów.
  4. Problem „sierot” i „utkniętych” transakcji: Niektóre źle zaprojektowane kontrakty mogą skutkować transakcjami „sierotami” lub „utkniętymi” transakcjami, których nie da się wykonać ani cofnąć. Może to powodować problemy ze skalowalnością i przeciążeniem sieci.

Wyzwania związane z bezpieczeństwem maszyn do druku elektronicznego: czy można coś z tym zrobić?

Choć problemy EVM są poważne, nie są nie do pokonania. Możemy podjąć szereg działań w celu zwiększenia bezpieczeństwa inteligentnych kontraktów i ograniczenia ryzyka ataków, takich jak ten na Bybit.

  1. Ulepszone audyty i testy:Jednym z najskuteczniejszych sposobów zapobiegania podatnościom jest przeprowadzanie dokładnych audytów i rygorystycznych testów przed wdrożeniem jakiegokolwiek inteligentnego kontraktu. Wiąże się to z wykorzystaniem zautomatyzowanych narzędzi i ręcznych przeglądów przeprowadzanych przez ekspertów ds. bezpieczeństwa.
  2. Korzystanie z najlepszych praktyk:Programiści powinni przyjąć najlepsze praktyki, aby pisać bezpieczniejsze inteligentne kontrakty. Wiąże się to z wykorzystaniem wzorców, takich jak Kontrole-Efekty-Interakcje, zapobiegających ponownemu wpisywaniu danych oraz wdrożeniem solidnych mechanizmów kontroli dostępu.
  3. Tworzenie ram regulacyjnych:Choć decentralizacja jest podstawową zasadą kryptowalut, stworzenie ram regulacyjnych określających standardy bezpieczeństwa mogłoby pomóc w zmniejszeniu ryzyka ataków. Może to oznaczać wymóg przeprowadzenia audytu bezpieczeństwa przed uruchomieniem jakiegokolwiek inteligentnego kontraktu.
  4. Inwestycje w badania i rozwój:Bezpieczeństwo maszyn elektronicznych wymaga ciągłych inwestycji w badania i rozwój. Wiąże się to z opracowywaniem nowych, bezpieczniejszych języków programowania i udoskonalaniem istniejących narzędzi służących do identyfikowania i usuwania luk w zabezpieczeniach.
KUP ETHEREUM NA BIT2ME

 Czy Adam Back ma rację?

W każdym razie Adam Back podniósł uzasadnioną i konieczną krytykę dotyczącą projektu EVM i jego wpływu na bezpieczeństwo kryptowalut. Zidentyfikowane przez niego problemy nie są nowe, ale są poważne. Złożoność EVM i słabości Solidity stworzyły środowisko, w którym mogą wystąpić ataki takie jak ten na Bybit.

Należy jednak pamiętać, że bezpieczeństwo maszyn EVM nie jest problemem nierozwiązywalnym. Dzięki połączeniu najlepszych praktyk, inwestycji w badania i rozwój oraz solidniejszej kultury bezpieczeństwa możliwe jest ograniczenie wielu z tych zagrożeń.

W międzyczasie społeczność musi zwrócić uwagę na ostrzeżenia ekspertów, takich jak Adam Back, i podjąć proaktywne kroki w celu ochrony zasobów użytkowników. Tylko w ten sposób możemy zmierzać w kierunku bezpieczniejszego i bardziej niezawodnego ekosystemu.

Inwestowanie w kryptoaktywa nie jest w pełni regulowane, może nie być odpowiednie dla inwestorów detalicznych ze względu na wysoką zmienność i istnieje ryzyko utraty wszystkich zainwestowanych kwot.