Smart Contract Ethereum vulnerabili oltre 34.000 sono a rischio furto hacker

Smart Contract Ethereum vulnerabili: oltre 34.000 sono a rischio furto hacker secondo il report

4 Marzo 2018

Una scansione di quasi un milione di contratti smart di Ethereum ha identificato 34.200 contratti vulnerabili che possono essere sfruttati per rubare Ether, e persino congelare o eliminare asset in contratti che gli hacker non possiedono.

Per l’utente medio che non ha familiarità con il mondo delle criptovalute, i contratti intelligenti sono un insieme di operazioni codificate che vengono eseguite automaticamente quando qualcuno invia un input al contratto. Ecco un esempio di base di come può essere un contratto intelligente:

Considera un contratto intelligente Ethereum che viene utilizzato per mettere all’asta un oggetto [digitale]. Il contratto ha una variabile “x” che conta il numero di offerte fatte su [oggetto]. Il proprietario potrebbe voler prolungare le offerte sull’oggetto e potrebbe impostare una condizione di contratto di “x> 100” prima di consentire la vendita dell’oggetto al miglior offerente. Una volta soddisfatta questa condizione, il contratto intelligente avvia automaticamente una transazione Ether con il vincitore e rilascia un ordine di vendita per [oggetto].

I contratti intelligenti sono uno dei motivi per cui la rete Ethereum e la sua criptovaluta -Ether- sono così popolari. I contratti intelligenti sono ciò che alimenta la maggior parte degli ICO odierni, ma gestiscono anche altri servizi e strumenti basati su Ethereum.

BOTTONE COMPRA BRANDED CONTENT SU ASSODIGITALE SMALL

I contratti intelligenti sono solo codice

Ma i contratti intelligenti e sono proprio come qualsiasi altro pezzo di codice, e a volte possono contenere vulnerabilità e bug che possono essere sfruttati.

Un hacker ha sfruttato uno di questi bug nell’estate 2016 per rubare oltre 50 milioni di dollari di Ether dall’organizzazione TheDAO.

Questo bug ha spinto i ricercatori della National University of Singapore (NUS) a iniziare a cercare bug nei contratti intelligenti di Ethereum.

Nel 2016, hanno creato uno strumento chiamato Oyente in grado di analizzare i contratti intelligenti di Ethereum per i bug. Inizialmente hanno usato Oyente per analizzare 19.366 contratti smart di Ethereum, scoprendo che 8.833 erano vulnerabili.

Quella ricerca non suscitò troppa attenzione da parte dei media in quel momento, e l’avvertimento del team di ricerca riguardo al modo in cui venivano codificati i contratti più intelligenti venne snobbato.

L’incidente di parità innesca nuove ricerche, nuovo strumento di scansione

Tuttavia, il team di ricerca ha rivolto la sua attenzione alla scansione dei vulnerabili contratti smart Ethereum lo scorso autunno, quando, ancora una volta, qualcuno ha sfruttato un bug di contratto intelligente per confondere con i fondi Ether degli utenti.

Questo incidente è accaduto lo scorso novembre quando un utente di GitHub ha nominato Devops199 accidentalmente – o intenzionalmente (non lo sappiamo) – bloccato oltre 285 milioni di dollari di Etherall’interno dei portafogli Parity usando un bug che ha scoperto.

Questo incidente ha spinto i ricercatori a creare un nuovo strumento per analizzare i contratti intelligenti. Denominato Maian, questo strumento è in grado di scansionare più difetti ed è anche specializzato nella scansione su scala.

Il team di cinque persone ha utilizzato Maian per analizzare un enorme numero di 970.898 contratti intelligenti, con i seguenti risultati, elencati nella tabella seguente:

Contratti Prodigal: contratti intelligenti che, se attaccati, inviano fondi per mantenere la sicurezza all’indirizzo di Ethereum sbagliato (attaccante o no).  Contratti Suicidal: contratti intelligenti che possono essere uccisi da qualcun altro e non solo dal proprietario (l’errore Parity Devops199 cade qui).  Contratti Greedy: contratti intelligenti che possono essere bloccati da qualcun altro e bloccare i fondi per sempre (anche il bug Parity Devops199 cade qui).

I risultati mostrano che il 3,5% dei contratti scansionati è affetto da una vulnerabilità maggiore che può aiutare gli aggressori a rubare fondi o semplicemente a congelare Ether degli utenti.

Proprio come nel 2016, il team di ricerca sta ora avvertendo gli utenti dei pericoli legati alla fiducia dei contratti intelligenti un po ‘troppo e sollecita gli utenti a implementare un software intelligente di analisi del contratto per individuare i difetti prima di mettere i loro fondi in un contratto intelligente.

A differenza del 2016, quando hanno rilasciato il codice sorgente di Oyente, i ricercatori non hanno ancora rilasciato Maian, temendo che gli aggressori possano usare Maian per cercare contratti vulnerabili e rubare o bloccare i fondi di Ethereum.

Tuttavia, se stai cercando uno strumento per la scansione dei contratti smart di Ethereum, c’è anche Mythril , non correlato al lavoro del team NUS con Maian e Oyente. Ulteriori informazioni sul lavoro del team NUS sono disponibili in questo documento di ricerca .

Redazione Assodigitale Avatar

Redazione Assodigitale

La Redazione di Assodigitale Phd, MBA, CPA

Il team editoriale di Assodigitale coordina la pubblicazione di notizie, analisi e approfondimenti quotidiani dal mondo dell'innovazione, della tecnologia e dei mercati digitali.

Questo account raccoglie i contributi storici della testata, i comunicati stampa certificati e le inchieste collettive curate dai nostri giornalisti e analisti.

Fondata per esplorare l'impatto della trasformazione digitale sulla società e sull'economia, la Redazione di Assodigitale si impegna a fornire un'informazione accurata, indipendente e verificata, seguendo rigorosi standard deontologici e di fact-checking per garantire ai lettori una visione chiara ed esperta del futuro tecnologico."

Per tutte le vostre esigenze editoriali e per proporci progetti speciali di Branded Content oppure per inviare alla redazione prodotti per recensioni e prove tecniche potete contattarci direttamente scrivendo alla redazione : CLICCA QUI

Areas of Expertise: Digital Marketing, SEO, Content Strategy, Crypto, Blockchain, Fintech, Finance, Web3, Metaverse, Digital Content, Journalism, Branded Content, Digital Transformation, AI Strategy, Digital Publishing, DeFi, Tokenomics, Growth Hacking, Online Reputation Management, Emerging Tech Trends, Business Development, Media Relations, Editorial Management.
redazione@assodigitale.it
LinkedIn Instagram YouTube
Fact Checked & Editorial Guidelines

Our Fact Checking Process

We prioritize accuracy and integrity in our content. Here's how we maintain high standards:

  1. Expert Review: All articles are reviewed by subject matter experts.
  2. Source Validation: Information is backed by credible, up-to-date sources.
  3. Transparency: We clearly cite references and disclose potential conflicts.
Reviewed by: Subject Matter Experts

Our Review Board

Our content is carefully reviewed by experienced professionals to ensure accuracy and relevance.

  • Qualified Experts: Each article is assessed by specialists with field-specific knowledge.
  • Up-to-date Insights: We incorporate the latest research, trends, and standards.
  • Commitment to Quality: Reviewers ensure clarity, correctness, and completeness.

Look for the expert-reviewed label to read content you can trust.