Các ứng dụng Ethereum được xếp hạng A+ bảo mật như thế nào

Updated: 18/03/2019 at 16:00

Hơn 1,2 triệu ứng dụng ethereum đã sử dụng một công cụ bảo mật ít được biết đến để giúp họ tránh các lỗi tốn kém phát sinh từ các dòng mã tự thực thi được gọi là hợp đồng thông minh.

Ra mắt bởi công ty khởi nghiệp Amberdata công nghệ ethereum vào hồi tháng 10, công cụ miễn phí có sẵn cho bất kỳ ai trong cộng đồng nói chung để giải thích tính bảo mật của các ứng dụng đang hoạt động trên blockchain ethereum. Hợp đồng thông minh với các lỗi đã bị khai thác đã dẫn đến những tổn thất lớn, thậm chí là đến hàng trăm triệu.

Dịch vụ tự động quét các lỗ hổng phổ biến được tìm thấy trong mã hợp đồng thông minh và tạo ra xếp hạng bằng chữ cái (ví dụ: A, B hoặc C) để bảo mật cho ứng dụng phi tập trung (dapp).

Tính năng này là một trong nhiều công cụ khuyến khích thực tiễn tốt nhất và tăng tính minh bạch giữa các nhà phát triển dapp và người dùng cuối trong hệ sinh thái ethereum.

Hơn nữa, đó là một tính năng đã xuất hiện trong không gian web rộng hơn được một thời gian. Trình duyệt quan tâm đến quyền riêng tư DuckDuckGo gần đây đã ra mắt tiện ích mở rộng trình duyệt Chrome được sử dụng để xếp hạng các trang web (không phải dapps) với cấp độ chữ cái, cung cấp cho người dùng cái nhìn sâu sắc hơn về dịch vụ quản trị viên tốt hoặc kém như thế nào để bảo vệ quyền riêng tư của người dùng.

“Tầm nhìn của chúng tôi là nâng cao tiêu chuẩn vào niềm tin trực tuyến”, DuckDuckGo viết trong một bài đăng trên blog từ tháng 1 năm 2017.

Tương tự, tầm nhìn đằng sau công cụ phân loại bảo mật của Amberdata, như được nhấn mạnh bởi Giám đốc điều hành Amberdata, Shawn Doulass trong một thông cáo báo chí, là cung cấp “quyền truy cập lớn hơn và tăng cường khả năng hiển thị trong các hợp đồng thông minh”.

Ông nói thêm:

“Chúng tôi hy vọng rằng bằng cách cung cấp các công cụ này cho cộng đồng, chúng tôi có thể giảm bớt sự phụ thuộc bên ngoài và cho phép cộng đồng phát triển nhanh hơn và an toàn hơn”.

Các xếp hạng

Nhưng chính xác là như thế nào mà những ứng dụng trên ethereum này được xếp hạng trên Amberdata?

Chỉ ra 13 loại lỗ hổng được quét tự động bởi chương trình, Amberdata CTO Joanes Espanol đã ví từng loại này với “đèn báo động cơ trên bảng điều khiển [xe hơi]”.

“Nó chỉ đơn giản là tôi cần kiểm tra những gì xảy ra với chiếc xe. Bất kỳ điều nào trong số lỗi này đều có thể dẫn đến lỗi bảo mật”, Espanol đã giải thích cho CoinDesk.

Và càng nhiều lỗi bảo mật được phát hiện bởi chương trình quét lỗi của Amberdata, thì chữ cái trong bảng chữ cái mà một dapp sẽ nhận được càng thấp. Các xếp hạng này nằm trong khoảng từ A + đến F.

Nhưng họ không phụ thuộc một cách nghiêm khắc vào số lỗi bảo mật. Mỗi lỗi trong số 13 lỗ hổng có mức độ nghiêm trọng khác nhau, Espanol giải thích, điều đó sẽ ảnh hưởng đến lớp cuối cùng của dapp. Hai lỗ hổng mức độ nghiêm trọng thấp và phổ biến được đánh dấu bởi Espanol bao gồm “cuộc gọi ủy nhiệm đến một địa chỉ do người dùng cung cấp” và “cuộc gọi tin nhắn với hợp đồng bên ngoài”.

Trường hợp sau có thể gây ra rủi ro bảo mật tiềm ẩn nếu một dapp, thay vì khép kín trong một hợp đồng thông minh, kêu gọi thêm các hợp đồng bổ sung sở hữu mã lỗi.

Tương tự, một cuộc gọi ủy nhiệm là một hoạt động khác thường được sử dụng để phân chia mã hợp đồng thông minh thành nhiều hợp đồng phụ, do đó, bất kỳ nâng cấp cần thiết nào cho phần mềm đều có thể được thực hiện mà không cần chấm dứt toàn bộ ứng dụng.

“Đó là mặt tốt của các cuộc gọi ủy nhiệm. Nhưng mặt xấu là bây giờ với tư cách là chủ sở hữu của hợp đồng, tôi có thể bắt đầu làm những điều xấu. Vì vậy, tôi có thể bắt đầu thế chỗ các hợp đồng, dẫn đến thay đổi hành vi của [ứng dụng ban đầu]”, Espanol giải thích.

Như vậy, với cả hai lỗi, Espanol đã mô tả kiểm toán bảo mật là gửi đi các “cảnh báo”, thay vì chỉ ra các lỗi mã ngay lập tức.

Thật vậy, có một dapp như trên hiện đang tận dụng cuộc gọi tin nhắn và trước đây đã triển khai nâng cấp hợp đồng thông minh bằng cách sử dụng cuộc gọi ủy quyền vào hồi tháng 1 là TrueUSD. Được tạo ra bởi công ty khởi nghiệp blockchain TrustToken, stablecoin được hỗ trợ bằng USD trên ethereum hiện được xếp hạng với chữ C.

Mặc dù điều đó nghe không có vẻ tốt, nhưng nhìn vào các lỗ hổng giảm đi với TrueUSD, kỹ sư bảo mật của TrustToken William Morriss đã nói với CoinDesk trong một cuộc phỏng vấn trước đây, tất cả các mối lo ngại được xác định là thực sự không “nghiêm trọng”.

“Các lỗ hổng được báo cáo rằng đó không phải là cách mà chúng ta có thể bị tấn công. Chúng tôi nhận thức được chúng và khi mọi người mang lỗ hổng tới cho chúng tôi, chúng tôi giải quyết chúng rất nghiêm túc”, Morriss nói.

Xây dựng cụ thể vấn đề về các cuộc gọi tin nhắn, Morriss nói thêm rằng đối với TrueUSD, tất cả các hợp đồng bên ngoài đều được sở hữu và vận hành bởi chính các công ty, trái ngược với các bên thứ ba có tiêu chuẩn bảo mật thấp hơn.

Làm thế nào để được A+

Các lỗi có mức độ nghiêm trọng “cao” sẽ khiến xếp hạng bảo mật của ứng dụng khó hơn vì chúng cho thấy tiềm năng lớn hơn đối với lỗi mã và khai thác.

Một trong những trường hợp phổ biến nhất trong số này, “tràn số nguyên” (integer overflow), cho thấy các hoạt động được thực hiện trong hợp đồng thông minh có thể tạo ra các giá trị vượt quá giới hạn mã, dẫn đến hành vi lập dị, không thể đoán trước, trong trường hợp xấu hơn, có thể dẫn đến mất tiền.

Flipside là “tràn dưới số nguyên”, một lỗ hổng khác của mức độ nghiêm trọng “cao”, theo đó sự đảo ngược chính xác có thể xảy ra và một giá trị dưới phạm vi được xác định tương tự gây ra lỗi đầu ra.

Ngoài ra còn có một số tính năng trong Solidity mà các nhà phát triển dapp nên tránh, theo hệ thống phân loại của Amberdata, bao gồm “suicide()” và “tx.origin.”. Cái sau được Espanol mô tả là “mã bị loại bỏ” có thể bị xóa khỏi ngôn ngữ Solidity hoàn toàn vào một ngày trong tương lai, trong khi trước đây chúng có nguy cơ bị chiếm đoạt bởi bên ngoài để đóng băng tiền của người dùng – để họ không bao giờ có thể lấy lại.

Vì nó không có bất kỳ lỗ hổng nào trong số bốn lỗ hổng này, nên CryptoKitties ethereum dapp nổi tiếng hiện đang có xếp hạng bảo mật A + trên Amberdata. Kỹ sư phần mềm CryptoKitties – Fabiano Soriani cho là do “thực hiện nhiều thử nghiệm nhất có thể”.

Thêm vào đó, các “tài nguyên thụ động” chẳng hạn như tài liệu bằng văn bản và hướng dẫn bằng video về phát triển dapp là không đủ để xây dựng các ứng dụng an toàn trên ethereum, Soriani nói với CoinDesk:

“Khi ai đó điều hành một cuộc kiểm toán, họ chỉ ra nhiều điều cho bạn. Nó là một nguồn tài nguyên bổ sung rất tốt [cho các tài nguyên thụ động] bởi vì các nhà phát triển đến từ một nền tảng truyền thống hơn, không quen thuộc với blockchain”.

“Nó là một loạt các vấn đề mới”

Thật vậy, khi nói đến việc xây dựng các dapps, tầm quan trọng của mã kín, các mã không thể dò được cần phải nhấn mạnh. Lý do cốt lõi cho điều này nhiều gấp hai lần.

Đầu tiên, không giống như các ứng dụng truyền thống, dapps nói chung là các chương trình máy tính nguồn mở và như Morriss giải thích, “một mức độ thận trọng cao” là bắt buộc khi chạy mã “công khai”.

“Nếu có bất kỳ lỗi nào trong một ứng dụng truyền thống, bạn có thể thoát khỏi nó trong vài năm, nhưng nếu bạn có một lỗi trong hợp đồng thông minh, mọi người sẽ tìm thấy nó một cách nhanh chóng và tận dụng nó để phá hủy bạn hoặc vì lợi ích của họ”, Morriss nói.

Thứ hai, dapps trên ethereum chạy độc quyền trên các hợp đồng thông minh. Được mã hóa đặc biệt trong ngôn ngữ lập trình Solidity và được thực thi trong trung tâm thần kinh của blockchain, được gọi là Máy ảo Ethereum (EVM), một điểm mạnh của dapps là chúng có thể thay đổi.

Nhược điểm này là rõ ràng. Các lập trình viên không dễ dàng có thể sửa lỗi hoặc sai sót trong phần mềm một khi được triển khai trên blockchain.

Gọi nó là “lỗi nghiêm trọng” khi bỏ qua kiểm toán bảo mật của bên thứ ba hoặc quét vì lý do này, Morriss nói với CoinDesk, điều quan trọng đối với các nhà phát triển là không để trở thành nạn nhân của “sự ngạo mạn” của chính họ và đảm bảo rằng “các bài kiểm tra đều phải bao trùm mọi mã nhánh của bạn”.

“Với Ethereum, nó là một loạt các vấn đề mới mà mọi người không nhận thấy khi mã hóa trong Solidity”, Espanol nhấn mạnh với CoinDesk.

Thủy Tiên

Theo Tapchibitcoin.vn/ Coindesk

Được đề cập trong bài viết
Bình luận
Đang tải
Mới cập nhật

Michael Saylor đang cực kỳ lạc quan về Bitcoin, khi làn sóng tổ chức đổ xô tham gia, nguồn cung ngày càng khan hiếm và khung pháp lý rõ ràng đang thúc đẩy dự báo táo bạo của ông: Bitcoin tăng trung bình 30% mỗi năm trong suốt 20 năm... ...

Hai tuần vừa qua đã chứng kiến một cú sốc nghiêm trọng đối với Bitcoin (BTC). Thị trường hợp đồng tương lai vĩnh viễn đã bị ngập tràn bởi các lệnh bán, dẫn đến một loạt những lệnh Long bị thanh lý, xóa sổ hàng tỷ đô la và làm... ...

Tron (TRX) đã trải qua đợt tăng trưởng mạnh, đạt mức cao nhất trong 5 tháng. Tuy nhiên, đà tăng gần đây dường như đang mất dần động lực, báo hiệu tiềm năng điều chỉnh. Mặc dù tài sản này hoạt động tốt, nhưng có những dấu hiệu cho thấy... ...

John Deaton, một luật sư nổi bật trong lĩnh vực tiền điện tử và là người ủng hộ nhiệt thành XRP, đang gửi một tín hiệu mạnh mẽ đến các nhà đầu tư: Bitcoin vẫn là một khoản đầu tư – ngay cả khi giá lên tới 106.000 USD. Trên... ...

Kể từ đầu tháng 6, Ethereum (ETH) đã chứng kiến ​​mức sử dụng hệ sinh thái tăng đột biến. Số lượng địa chỉ hoạt động hàng tuần tăng vọt lên 17,4 triệu, đánh dấu mức kỷ lục mới. Điều này bao gồm mức tăng mạnh 18,43% trong tương tác layer-2,... ...

Pi Network (PI) đang phải đối mặt với xu hướng giảm ổn định, với giá giảm khi tâm lý nhà đầu tư suy yếu. Động lực tăng trưởng đang cạn dần cùng với sự tự tin của nhà đầu tư ngày càng giảm đang góp phần vào sự suy giảm.... ...

Tuần này, tiền điện tử đã trở thành chủ đề chính trị. Donald Trump và Elon Musk chiếm trọn tiêu đề tin tức với màn đấu quyền lực đầy kịch tính. Tuy nhiên, thị trường coin lại không mấy ấn tượng. Bitcoin giảm nhẹ, ETH cũng tụt giá và các... ...

Shiba Inu (SHIB) đã thu hút sự chú ý đáng kể khi tỷ lệ đốt token trong 24 giờ qua tăng lên tới 5.762,9%, với hơn 26 triệu token bị tiêu hủy. Sự gia tăng này phản ánh những nỗ lực giảm phát mạnh mẽ từ cộng đồng, thường đi... ...

Bitcoin (BTC) gần đây đã kết thúc xu hướng giảm kéo dài hai tuần, trong đó giá của nó đã giảm xuống mức 100.200 USD trước khi phục hồi. Mặc dù có sự phục hồi này, Bitcoin vẫn đang phải đối mặt với áp lực bán từ các nhà đầu... ...

Theo báo cáo của Messari, hoạt động giao dịch trên các sàn phi tập trung (DEX) của mạng lưới Sui đã đạt mức cao kỷ lục trong quý 1/2025, với khối lượng giao dịch trung bình hàng ngày đạt 304,3 triệu USD, tăng 14,6% so với quý trước. Trong đó,... ...

Xem thêm bài viết
Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode