Ethereum rafforza la sicurezza degli smart contract per prevenire gli hack

ethereum sicurezza
Ultimo aggiornamento:
Autore
Autore
Gaia Tommasi
Informazioni sull'autore

Laureata in Scienze dell'Architettura a Firenze ha collaborato con diversi studi famosi del settore prima di immergersi nel mondo della fotografia e dell'illustrazione. Incuriosita dalla tecnologia...

Ultimo aggiornamento:
Perché puoi fidarti di noi
Da oltre dieci anni il team di Cryptonews è al lavoro quotidiano per fornire ai propri lettori approfondimenti e guide su tutte le tematiche del settore delle criptovalute. I nostri esperti ed analisti hanno una vasta esperienza nell’analisi di mercato e sulle tecnologie blockchain. Ci impegniamo a mantenere elevati i nostri standard editoriali, concentrandoci sull'accuratezza dei fatti e su un reporting equilibrato e terzo in tutte le aree, dalle criptovalute alla blockchain, ai nuovi progetti e sviluppi tecnologici. La nostra presenza costante nel settore riflette il nostro impegno nel fornire informazioni rilevanti in un mondo, quello delle risorse digitali, che è sempre più in evoluzione. Scopri di più su Cryptonews.
DisclaimerSiamo fautori di un rapporto basato sulla più totale trasparenza con i nostri lettori. Ed è per questo che teniamo a sottolineare che alcuni dei nostri contenuti potrebbero includere link di affiliazione, da cui poter guadagnare una commissione attraverso queste partnership.

Ethereum

Ethereum, ideata da Vitalik Buterin, è la blockchain per eccellenza per la creazione di smart contracts e applicazioni decentralizzate (DApps).  Non solo è una delle chain più utilizzate a livello globale, ma vanta anche il maggior numero di sviluppatori. Secondo i dati di CoinMarketCap, il 16% di tutti gli sviluppatori attivi nel settore contribuisce al suo ecosistema.

ETH

Fonte: CoinMarketCap

Tuttavia, nonostante il suo successo e la sua vasta adozione, la blockchain di Ethereum non è immune agli attacchi di sicurezza.

Nel recente report “Global Web3 Security Report” dell’azienda di sicurezza blockchain Beosin emerge una situazione preoccupante: nel terzo trimestre di quest’anno, gli investitori hanno perso ben 282,96 milioni di dollari a causa di attacchi hacker.

Inoltre, durante lo stesso periodo, sono stati registrati schemi di phishing che hanno provocato ulteriori perdite, raggiungendo un totale di 66,15 milioni di dollari. Secondo i risultati di Beosin, la blockchain di Ethereum ha subito il maggior numero di perdite e hack in assoluto.

ETH

Fonte: Beosin

Revisione del codice degli smart contract

Chaals Nevile, direttore del programma tecnico dell’Enterprise Ethereum Alliance (EEA, un’organizzazione che mira a promuovere l’uso della chain nelle imprese), ha riferito alla redazione di Cryptonews che sono presenti dei problemi all’interno di Ethereum che hanno un impatto sulla sicurezza dell’ecosistema.

“Il problema più evidente è che il compilatore Solidity, che produce il codice byte e altri artefatti necessari per la distribuzione degli smart contract, presenta dei bug. Man mano che il compilatore si evolve, vengono corretti i vecchi bug, ma ne vengono creati di nuovi”, ha dichiarato Nevile.

Per affrontare questi problemi, l’EEA ha creato il “Gruppo di lavoro sui livelli di sicurezza EthTrust” nel novembre 2020. Nel mese di agosto 2022, il gruppo ha pubblicato il documento “EthTrust Security Levels Specification v1”, che definisce gli standard e le linee guida per la sicurezza degli smart contract.

Da allora, questa specifica ha funzionato come un punto di riferimento per gli sviluppatori, le organizzazioni e i clienti che lavorano con il codice degli smart contract scritti nel linguaggio di programmazione principale di Ethereum, chiamato Solidity.

Tuttavia, dato che la chain continua a crescere, Chaals Nevile ha sottolineato che la EthTrust Security Levels Specification ha richiesto aggiornamenti per riflettere i continui sviluppi in materia di sicurezza.

“Per esempio, la specifica v1 copre i bug fino all’anno 2022 circa, ma sono stati scoperti nuovi bug dopo il rilascio della v1”.

Nevile ha anche condiviso che l’EEA ha annunciato il rilascio della “Versione 2.0” della specifica dei livelli di sicurezza EthTrust. In questa specifica vengono affrontate varie questioni, tra cui nuovi bug scoperti nel compilatore Solidity, il trattamento degli errori di arrotondamento, un approccio più rigoroso alla gestione degli attacchi di reentrancy in sola lettura e molte altre tematiche legate alla sicurezza.

Questi aggiornamenti sono essenziali, visto che l’ecosistema di Ethereum ha subito diversi exploit di sicurezza a causa di questi problemi. Ad esempio, Michael Lewellen, responsabile dell’architettura delle soluzioni di OpenZeppelin, una società specializzata nella sicurezza degli smart contract, ha dichiarato alla redazione di Cryptonews che l’hack “The DAO”, che ha causato una perdita di 3,64 milioni di dollari in ETH,  è avvenuto a causa della reentrancy.

“L’hack “The DAO” è stato il primo grande hack su Ethereum, avvenuto nel 2016, che ha fatto riflettere tutti sulla sicurezza. Questo è stato un classico caso di reentrancy“, ha detto Lewellen.

Nevile ha spiegato che la reentrancy si verifica quando uno sviluppatore avvia uno smart contract e successivamente chiede al programma di eseguire un’altra operazione mentre il contratto è ancora impegnato nell’esecuzione del codice. Ha detto:

“Questo vuol dire che mentre un programma sta eseguendo una parte del codice, viene interrotto da una richiesta per svolgere un’altra azione. Di conseguenza, le due richieste potrebbero sovrapporsi e creare confusione. Un hacker potrebbe sfruttare questa confusione per rubare i fondi delle persone”.

Sarà adottato uno standard di settore su larga scala?

Michael Lewellen ha sottolineato quanto sia importante prevenire questi problemi di sicurezza e ha riferito che per questo motivo la sua società OpenZeppelin utilizza il framework EthTrust Security Levels v1.

“Utilizziamo questo framework come valutazione pre-audit per molti dei nostri clienti, in modo che i clienti sappiano che stiamo verificando la presenza di determinate istanze durante il processo di audit”.

Questo standard sembra essere utile, poiché un cliente di OpenZeppelin ha rivelato alla redazione di Cryptonews che EthTrust era ciò che mancava all’azienda in passato.

“Abbiamo fallito il nostro precedente audit di sicurezza perché non avevamo una guida chiara su quali requisiti di sicurezza ci mancavano. Ci sentiamo molto più sicuri nell’affrontare il prossimo audit dopo aver esaminato i requisiti di EthTrust e averli implementati nella nostra base di codice”.

Tuttavia, ci sono delle sfide nell’adozione di questo standard. Nevile ha commentato che, nonostante il feedback positivo su EthTrust v1, è ancora difficile far conoscere questo standard a sviluppatori e organizzazioni. Ha anche notato che il framework è maggiormente adatto ai progetti di Ethereum più recenti, come Uniswap e Aave.

“Progetti consolidati come Uniswap e Aave possono trarre beneficio da queste specifiche, ma per la maggior parte di loro, tali requisiti di sicurezza sono già ben noti e consolidati. Al contrario, i progetti emergenti in fase di sviluppo e avvio su Ethereum potrebbero trovare queste specifiche estremamente preziose.”

Tuttavia, resta da vedere se questo nuovo standard industriale sarà davvero efficace nel prevenire in futuro i problemi di sicurezza sulla chain di Ethereum.

John Wingate, il fondatore e CEO di BankSocial, un’azienda di servizi finanziari che utilizza la tecnologia blockchain, ha condiviso le sue preoccupazioni con la redazione di Cryptonews riguardo i cambiamenti costanti degli standard e nei linguaggi di programmazione, che possono influenzare aspetti cruciali come i metodi, le variabili e i tipi di dati.

“Gli standard cambiano in continuazione; i linguaggi non smettono di svalutare metodi, variabili, tipi di dati e tipi di oggetti”.

Per questo motivo stanno già lavorando alla “Versione 3″ delle specifiche di EthTrust. Inoltre Wingate ha spiegato che tra una pubblicazione e l’altra passano circa 16 mesi, e crede che questa periodicità, compresa tra 12 e 18 mesi, sia sufficiente per mantenere aggiornate le specifiche.

Nonostante possano verificarsi cambiamenti negli standard, Wingate ritiene che il modo migliore per garantire che le applicazioni decentralizzate rispettino le migliori pratiche di sicurezza sia attraverso l’implementazione di test automatizzati e ripetibili del codice.

“Ciò implica la capacità di configurare la propria piattaforma in modo da eseguire test del codice in modo regolare e automatico. Quando si rileva un bug nel codice sorgente o nel compilatore, l’automazione consente di apportare tempestivamente gli aggiornamenti necessari, garantendo che tutti possano trarre vantaggio da una scansione costante per individuare e correggere potenziali vulnerabilità”.

Leggi anche:

Altri articoli in evidenza

Rassegna Stampa
Bitget espande l’ecosistema BGB con l’integrazione di Morph Chain e un pool di liquidità da $1,1 milioni su Bulbaswap
Massimo De Vincenti
Massimo De Vincenti
2025-01-13 17:35:59
News
PEPE sfonda il triangolo simmetrico: potrebbe arrivare a 1 dollaro?
Gaia Tommasi
Gaia Tommasi
2025-01-07 17:00:00
Crypto News in numbers
editors
Elenco degli autori Altri Autori
2M+
Utenti attivi mensili nel mondo
250+
Guide e Recensioni
8
Anni di presenza sul mercato
70
Autori da tutto il mondo