Исследователи нашли уязвимости в смарт-контрактах Ethereum

Исследователи из Лондона и Сингапура выяснили, что около 34 200 смарт-контрактов Ethereum уязвимо для хакеров. Поиск незащищенных контрактов проводился на копии блокчейна, поэтому активы пользователей остались на месте.

Ход исследования

Чтобы обнаружить уязвимости, исследователи скачали копию блокчейна Ethereum и выполняли разнообразные действия с находящимися в ней смарт-контрактами. Это было похоже на взлом торгового автомата со сладостями: они кинули в приемник несколько монет и нажимали на случайные кнопки, ожидая «конфетки».

Из миллиона смарт-контрактов уязвимыми оказались 34 200. Из этого числа исследователи взяли 3000 и успешно взломали 89 %. Если бы это был настоящий блокчейн, а не копия, они смогли бы украсть 6 млн долларов.

Относительная безопасность

Исследователи не раскрыли список уязвимых смарт-контрактов, поэтому содержащиеся в них активы находятся в условной безопасности. Сотрудник Университетского колледжа Лондона Илья Сергей (Ilya Sergey) объявил, что если кто-то захочет найти уязвимые контракты, им придется выполнить тот же объем работы.

Смарт-контракты — это самоисполняемые программы блокчейна Ethereum. С их помощью можно передавать деньги, а также устраивать аукционы и финансовые пирамиды.

В ноябре 2017 года пользователь DevOps199 нашел уязвимость в кошельке Parity, через которую заморозил Ethereum-активы на 285 млн долларов.