DApps & Smart Contracts Ethereum News

Ricercatori scovano oltre 34’000 Smart Contracts Ethereum vulnerabili

Vi abbiamo già parlato in passato di Ethereum e degli smart contracts. Gli smart contracts sono uno dei motivi per cui Ethereum sta avendo questo successo. Essi, di fatto, sono proprio come qualsiasi altro pezzo di codice. Più precisamente sono un insieme di operazioni codificate che vengono eseguite automaticamente quando qualcuno invia un input al contratto e a volte possono contenere vulnerabilità o bug che possono essere sfruttati da cybercriminali.

Un check di quasi un milione di contratti smart di Ethereum ha identificato ben 34’200 contratti vulnerabili che possono essere sfruttati per rubare Ether, e persino congelare o eliminare asset in contratti che gli hacker non possiedono.

34’200 Smart Contracts Ethereum vulnerabili

Nell’estate 2016 un hacker ha sfruttato uno di questi bug per sottrarre impropriamente oltre 50 milioni di dollari in Ether dall’organizzazione TheDAO. Questo bug ha spinto i ricercatori della National University of Singapore (NUS) a iniziare a cercare bug nei contratti intelligenti di Ethereum.

Nel 2016 questi ricercatori hanno creato un tool chiamato Oyente in grado di scovare autonomamente i bug negli smart contracts. Inizialmente il loro metodo di ricerca venne snobbato ma ora hanno tutta l’attenzione degli addetti ai lavori.

Il team di ricerca ha continuato le sue ricerche che si sono intensificate quando un utente di GitHub, Devops199, non si sa se intenzionalmente o meno, ha bloccato oltre 285 milioni di dollari in Ether in seguito alla scoperta di un bug. Oyente è stato migliorato ed è nato Maian, strumento in grado di scansionare un maggior numero di difetti e specializzato nella scansione su scala. Maian in realtà era già disponibile da tempo ma non fu diffuso perchè si temeva che potenziali hacker lo usassero per scansionare i contratti per poi attaccarli.

Le analisi

Le analisi svolte con Maian sono riassunte in queste tabella:

ethereum smart contracts

Bigbit

 

Dove:

  1. Prodigal Contracts: sono smart contracts che se attaccati inviano i fondi ad un indirizzo Ethereum errato (che può essere quello dell’attaccante o meno);
  2. Suicidal contracts: contratti che possono essere chiusi da qualcuno che non è l’intestatario del contratto;
  3. Greedy contracts: contratti che possono essere bloccati da terzi (con conseguente freeze dei fondi, vedi il caso di Devops1999).

I risultati mostrano che il 3,5% dei contratti scansionati sono affetti da una grave vulnerabilità che può portare al freeze dei fondi o al furto degli stessi.

Da diverso tempo i team di sviluppatori e ricercatori spingono perchè vi sia un maggior controllo sul codice degli smart contracts ma le loro parole cadono spesso inascoltate.

Se stai cercando uno strumento per la scansione dei contratti smart di Ethereum, c’è anche Mythril , non correlato al lavoro del team NUS con Maian e Oyente. Ulteriori informazioni sul lavoro del team NUS sono disponibili in questo documento di ricerca .

sharing-caring

Vi invitiamo a seguirci sul nostro canale Telegram ed anche sul gruppo ufficiale Telegram, dove sarà possibile discutere insieme delle notizie e dell’andamento del mercato, sulla nostra pagina Facebook e sul nostro account Twitter.

Matteo Gatti

Ingegnere informatico appassionato di tecnologia e di tutto ciò che vi ruota attorno. Seguo con interesse il mondo delle criptovalute e lo sviluppo della tecnologia Blockchain. Scrivo anche di Linux su LFFL.
Follow Me:

Related Posts

Rispondi