Исследователи определили главные угрозы для экосистемы Ethereum

logotip-efira-plavyashhii-sya-na-zhare-ethereum-logo-melting-in-heat-2.webp
Команда Ethereum Foundation опубликовала первый отчет в рамках инициативы Trillion Dollar Security. Исследователи выделили шесть ключевых областей, требующих значительных улучшений для обеспечения безопасности сети в будущем.

https://twitter.com/i/web/status/1932442830271856682
По словам авторов, текущая экосистема Ethereum уже поддерживает капитал свыше $600 млрд. Однако для достижения амбиций сообщества этого недостаточно. Планка — создать среду, где миллиарды людей смогут комфортно хранить на блокчейне суммы свыше $1000, а компании и институты — доверять отдельным смарт-контрактам активы на триллионы долларов.

Проблемы пользовательского опытаБезопасность начинается с интерфейса, с которым взаимодействует пользователь. Основная проблема заключается в том, что вся ответственность ложится на плечи человека. Из-за необратимости транзакций любая ошибка, компрометация ключа или поспешное подтверждение могут привести к потере средств.

Исследователи выделили несколько слабых мест. Пользователи плохо справляются с хранением сид-фраз, записывая их в виде простого текста или сохраняя в облаке. Аппаратные кошельки тоже не решают проблему полностью: их можно потерять, сломать или украсть.

Другая серьезная уязвимость — «слепая подпись» транзакций. Кошельки часто показывают непонятные данные, из-за чего пользователи подтверждают действия, последствий которых не понимают. Это открывает дорогу фишингу и мошенничеству. Также проблемой остаются неограниченные разрешения для DeFi-приложений, которые не имеют срока действия и могут быть использованы для кражи активов даже спустя долгое время.

Безопасность смарт-контрактовНесмотря на значительный прогресс в этой области, уязвимости в коде остаются серьезной угрозой. Основные риски связаны с возможностью обновления контрактов после их развертывания. Злонамеренное или ошибочное обновление может привести к потере средств пользователей.

К другим проблемам эксперты относят атаки повторного входа (re-entrancy), использование непроверенных внешних библиотек и ошибки в контроле доступа.

По словам исследователей, разработчики не всегда используют безопасные практики по умолчанию, а формальная верификация кода — сложный и дорогой процесс, который применяется редко. В отчете отдельно выделили новый риск — баги, вносимые инструментами для автоматической генерации кода на базе искусственного интеллекта.

Инфраструктура и облачная безопасностьЭкосистема Ethereum сильно зависит от централизованных провайдеров. Речь идет как о специфических сервисах вроде RPC-узлов и L2-сетей, так и о традиционных облачных хостингах вроде AWS и CloudFlare.

Сбой или цензура со стороны этих провайдеров может отрезать многих пользователей от доступа к сети. Решения второго уровня также добавляют новые векторы атак, связанные со сложностью мостов, возможными ошибками в системах доказательств и рисками централизации через «советы безопасности».

Риски на уровне консенсусаПротокол консенсуса Ethereum доказал свою надежность, но долгосрочные угрозы остаются. Среди них — концентрация стейкинга у нескольких крупных провайдеров, таких как Lido. Это создает риск централизации управления и цензуры транзакций.

Другая проблема — недостаточная проработанность механизма «социального слэшинга». Это крайняя мера наказания для валидаторов, атакующих сеть, но в сообществе нет четких правил и инструментов для ее применения. В долгосрочной перспективе главной угрозой остается появление квантовых компьютеров, способных взломать существующие криптографические алгоритмы.

Мониторинг и реагирование на инцидентыКогда атака все же происходит, экосистема сталкивается с проблемами координации. Часто бывает сложно связаться с командой взломанного проекта или достучаться до служб безопасности крупных платформ, что затягивает реагирование и снижает шансы на возврат средств. Кроме того, в индустрии практически отсутствуют инструменты страхования, привычные для традиционных финансов.

Социальный уровень и управлениеПод «социальным слоем» понимают людей, организации и процессы, которые влияют на развитие Ethereum. Здесь риски носят долгосрочный характер. Централизация стейкинга и активов, обеспеченных реальным миром (например, стейблкоинов), дает их эмитентам и держателям рычаги влияния на сеть.

Также существует угроза регуляторного давления на ключевых разработчиков и компании, что может сместить приоритеты развития протокола в сторону коммерческих или государственных интересов, подрывая его нейтральность.

Публикация отчета — это только первый шаг. Далее Ethereum Foundation совместно с сообществом намерена выбрать самые приоритетные проблемы и приступить к поиску решений. Проект призвал всех желающих делиться своими идеями и отзывами.

Напомним, в марте Ethereum Foundation произвела значительные изменения в руководстве.

После перестановок в менеджменте организация сместила акцент на пользовательский опыт и проблемы масштабирования L1.

В июне Ethereum Foundation сократила часть команды исследований и разработок, сосредоточившись на ключевых вызовах и основных проблемах протокола.