![تصویر مرتبط با مشکلات امنیتی اتریوم و راه حل های اجرایی برای رفع این موانع 1 - صفحه 2023 12 22 005306 مشکلات امنیتی اتریوم و راه حل های اجرایی برای رفع این موانع](https://www.cryptoparseh.com/wp-content/uploads/2023/12/تصویر-صفحه-2023-12-22-005306.webp)
- 6 ay ago
- 19:34
مشکلات امنیتی اتریوم و راه حل های اجرایی برای رفع این موانع مشکلات امنیتی اتریوم و راه حل های اجرایی برای رفع این موانع مشکلات امنیتی اتریوم و راه حل های اجرایی برای رفع این موانع
فهرست مطالب
گفتگو چارلز نویل مدیر برنامه (EEA) با Cryptonews
چارلز نویل، مدیر برنامه فنی اتحادیه اتریوم انترپرایز (EEA) – یک سازمانی که بر اهداف استفاده از اتریوم برای نرمافزار متنباز مبتنی بر استاندارد عمل میکند – به Cryptonews گفت که مشکلات شناختهشده در اتریوم، بر امنیت اکوسیستم تأثیر میگذارد. نویل گفته است: “مشکل بیشتر به نظر میرسد این است که کامپایلر Solidity – که برای تولید بایت کد و دیگر نتایج مورد نیاز برای استقرار قراردادهای هوشمند استفاده میشود – دارای باگها است. با تکامل کامپایلر، باگهای قدیمی رفع میشوند، اما باگهای جدید هم ایجاد میشوند”.
برای رفع این و چالشهای دیگر، EEA گروه کاری سطوح امنیتی EthTrust را در نوامبر ۲۰۲۰ تأسیس کرد. در اوت ۲۰۲۲، گروه انتشار EthTrust مشخصه سطوح امنیتی v1 را منتشر کرد. این مشخصه از آن زمان به عنوان یک چارچوب برای توسعهدهندگان، سازمانها و مشتریانی که از کد قراردادهای هوشمند نوشته شده با Solidity، زبان برنامهنویسی اصلی اتریوم، استفاده میکنند و آن را مورد بررسی قرار میدهند، خدمت کرده است.
اما با پیشرفت شبکه اتریوم، نویل اشاره کرد که مشخصههای سطوح امنیتی EthTrust نیازمند بهروزرسانی برای تمرکز توسعههای امنیتی جدید و پیشرفتهای مستمر هستند. او گفت: “بهعنوان مثال، مشخصه نسخه ۱ تا سال ۲۰۲۲ مشکلاتی را پوشش داده است، اما بعد از انتشار نسخه ۱ باگهای جدیدی کشف شدند.”
با این حال، نویل اعلام کرد که امروز EEA مشخصه سطوح امنیتی EthTrust نسخه ۲.۰ را منتشر کرده است. او توضیح داد که مشخصه سطوح امنیتی EthTrust v2 به مسائلی مانند باگهای جدید کشف شده در کامپایلر Solidity، رفع خطاهای گردش، رفتار محکمتر در برابر حملات reentrancy فقط برای خواندن و موارد دیگر پرداخته است.
بهروزرسانی های اتریوم را جدی بگیرید!
بهروزرسانیها بسیار حائز اهمیت است، زیرا اکوسیستم اتریوم در گذشته به دلیل این مسائل خاص به استفادههای امنیتی دچار آسیب شده است. بهعنوان مثال، مایکل لولن، رئیس معماری راهکارهای OpenZeppelin – یک شرکت امنیتی که یک چارچوب متنباز برای امنسازی قراردادهای هوشمند ساخته است – به Cryptonews گفت که هک “The DAO” به دلیل reentrancy اتفاق افتاد. او گفت: “هک DAO اولین هک بزرگ در اتریوم بود که در سال ۲۰۱۶ اتفاق افتاد و همه را به بیشتر فکر درباره امنیت واداشت. این یک مورد کلاسیک از reentrancy بود”. هک DAO منجر به از دست دادن ۳.۶۴ میلیون دلار اتریوم شد.
نویل توضیح داد که reentrancy وقتی اتفاق میافتد که یک توسعهدهنده قرارداد هوشمند را شروع میکند و سپس در حالی که کد در حال اجرا است، برنامه را برای انجام یک کار متفاوت درخواست میدهد.
آیا اشتباهات استاندارد صنعتی اتریوم به طور گسترده ای پذیرفته خواهد شد؟
از جدیت موارد مشکلات پشت این حوادث آگاه، لولن به این نکته اشاره کرد که OpenZeppelin از چارچوب سطوح امنیتی EthTrust نسخه ۱ به منظور پیشگیری از وقوع آسیبپذیریهای امنیتی استفاده میکند. او گفت: “ما از این چارچوب به عنوان یک ارزیابی پیش از آزمایش برای بسیاری از مشتریانمان استفاده میکنیم. این امکان را به مشتریان میدهد که بدانند ما در طول فرآیند آزمایش، بررسی برخی از موارد خاص را انجام میدهیم.”
این استاندارد صنعتی به نظر میرسد مفید باشد، زیرا یکی از مشتریان ناشناس OpenZeppelin به Cryptonews اعلام کرد که EthTrust آن چیزی بود که شرکت به آن نیاز داشت.
اما نویل اظهار داشت که در حالی که بازخوردها برای استاندارد EthTrust نسخه ۱ مثبت بودهاند، همچنان دشوار است که توسعهدهندگان و سازمانها اطلاع داشته باشند که چنین استانداردی وجود دارد. او همچنین توضیح داد که این چارچوب بیشترین کارایی را در پروژههای جدیدتر Ethereum دارد.
با این حال، سوال این است که آیا چنین استاندارد صنعتی از این پس به جلوگیری از آسیبپذیریهای امنیتی در Ethereum کمک خواهد کرد یا خیر. جان وینگیت، بنیانگذار و مدیر عامل بانک سوشیال – یک شرکت خدمات مالی که از فناوری بلاکچین استفاده میکند – به Cryptonews گفت که طبیعت متغیر استانداردهای صنعتی مشکل ساز است. وی گفت: “استانداردها همیشه در حال تغییر هستند؛ زبانها همیشه روشها، متغیرها، انواع داده و اشیاء را کاهش میدهند.”
در این راستا، نویل گفت که نسخه ۳ مشخصات EthTrust در حال حاضر در حال تدوین است. او گفت: “ما در فاصله حدود ۱۶ ماه بین انتشارات نسخه جدید هستیم. فکر میکنم که بازبینیهای مکرر هر ۱۲ تا ۱۸ ماه، کافی است تا از از دست رفتن اطلاعات جلوگیری کنیم.”
با این حال، وینگیت معتقد است که آزمایشات تکرارپذیر و خودکار تنها راه برای اطمینان از این است که برنامههای کاربردی غیرمتمرکز به بهترین روشها که ممکن است از آسیبپذیریهای امنیتی جلوگیری کنند، پایبند باشند.
There are no comments yet