Для начала разберемся с основными понятиями. Что такое DAO и DApp?
DApp (Decentralized Application, распределенное приложение) – один или несколько смарт-контрактов, выполняющих функции доверенного лица между участниками или другими смарт-контрактами. Смарт-контракт – это, по сути, программа. Для того чтобы с ней могли взаимодействовать не только программисты, но и участники распределенного приложения, обычно имеется некий интерфейс, предназначенный для работы из Интернета. Пример DApp – виртуальная рулетка, логика которой целиком описана в смарт-контракте: каждый может «прочитать» условия смарт-контракта и убедиться, что казино его не обманывает.
DAO (Decentralized Autonomous Organization, распределенная автономная организация) – масса контрактов, описывающих участников организации (инвесторы, работники, потребители и т. д.), а также протокол взаимодействия между ними. В отличие от DApp DAO больше похожа на организацию, чем на сервис. И меньше зависит от людей (на это, собственно, указывает слово «автономная»). Пример DAO – децентрализованная биржа на смарт-контрактах: нет единой точки отказа, комиссии и вывод денег с биржи прописаны в неизменяемом смарт-контракте.
Неизменяемость смарт-контрактов следует из неизменяемости самого блокчейна, в котором они хранятся. Это свойство одновременно является и плюсом, и минусом. Положительный момент заключается в том, что невозможность вносить изменения в смарт-контракт обеспечивает доверие участников сделки друг к другу. Никто в здравом уме не подпишется на условия, которые могут в любой момент измениться. Обратное тоже верно: если подпись ничего не гарантирует, ею можно заверить все что угодно.
А в чем минус? Смарт-контракт – это программа. Программы пишут люди, а они могут ошибаться. Например, последняя крупная уязвимость в смарт-контракте MultiSig-кошелька (как раз туда и отправляются все средства инвесторов при ICO, отсюда такие потери) от Parity оставляет замороженными около 300 млн долларов. Хотя средства все еще находятся в кошельках, воспользоваться ими никто не может, поскольку один из разработчиков «убил» контракт-библиотеку, которую все эти кошельки используют, тем самым нарушив логику их работы.
Неужели ничего нельзя сделать? Можно. Вопрос в том, какой ценой. Широкую известность получил прошлогодний инцидент с TheDAO, когда разработчики выпустили новую версию клиента (кошелька) для Сети, в которой, грубо говоря, было прописано, что никто ничего не украл. Это стало прямым нарушением принципа неизменяемости блокчейна. Большой части сообщества это пришлось не по нраву, и была создана альтернативная валюта – Ethereum classic, развивающаяся и поныне.
Взламывая смарт-контракт, злоумышленник получает прямой доступ к средствам. Однако фокусирование внимания только на нем может стать фатальной ошибкой. Здесь есть варианты. Как уже упоминалось, для взаимодействия со смарт-контрактом нужен некий интерфейс. И в этом плане пока нет варианта проще, чем веб-сайт. Поэтому для таких интерфейсов актуальны все те же атаки и уязвимости, что и для обычных веб-сайтов, которые вы посещаете каждый день.
Даже если на сайте нет никаких кнопок для совершения трансакций, а всего лишь записан адрес для ICO, такой веб-сайт также нужно относить к разряду интерфейсов (может быть, даже больше, чем другие).
Вот типичные векторы атак, реально или потенциально используемых с целью подмены адреса для ICO:
Digital Security удалось на практике продемонстрировать наличие опасных проблем в смарт-контрактах через реализацию собственного проекта «хакерского» ICO. Это не совсем обычное ICO прошло перед конференцией по кибербезопасности ZeroNights 2017. Мы не ставили целью привлечение средств, хотя в пересчете на фиатные деньги и собрали 32 тыс. долларов. Основная идея проекта заключалась в том, что в нашем ICO могли принять участие только хакеры, которые должны были его взломать. Чтобы получить возможность покупать HACK-коины, участникам ICO нужно было проэксплуатировать несколько уязвимостей и в самом смарт-контракте, и в интерфейсе. В итоге купить коины смогли как минимум пять человек. Тройка первых за свои коины получила приглашения на конференцию ZeroNights 2017.
Как защититься?
В сущности, обеспечение информационной безопасности приложений, так или иначе использующих технологию блокчейн, ничем не отличается от проектов, с которыми мы сталкиваемся каждый день. Это просто другая предметная область со своими особенностями.
Залогом успешного ведения проекта, в котором задействованы смарт-контракты, должно быть соблюдение множества пунктов, каждый из которых является значимым. Вот те из них, которые относятся к обеспечению информационной безопасности:
В остальном все как обычно: у компании есть некая инфраструктура, и надо быть уверенным, что, по крайней мере в ней, нет известных уязвимостей, которыми мог бы воспользоваться злоумышленник.
Лучшие новости сегодня
Вы искали сегодня
Другие новости сегодня
Соответственно, в первом квартале 2023 года средняя сумма снятия наличных в банкоматах составлял 31 864 руб. Средняя сумма пополнения банковского счета через банкоматы в первом квартале этого года составила...
До этого ряд Telegram-каналов сообщили, что турецкие банки прекратили открывать счета россиянам, а также появились сведения о закрытии уже имевшихся счетов в банке "Зираат". При этом собеседник агентства...
По его словам, внедрение новой системы потребует времени, ведется работа над техническими деталями, чтобы обеспечить бесперебойный процесс оплаты, пишут "Известия". Издание со ссылкой на доцента кафедры...
srcset=" https://www.zakon.kz/pbi/WEBP/2024-04-19/file-4c8aa875-5d7d-43de-b35c-41529b9b6976/400x225.webp 400w, https://www.zakon.kz/pbi/WEBP/2024-04-19/file-4c8aa875-5d7d-43de-b35c-41529b9b6976/800x450.webp 800w " sizes="(min-width:...
srcset=" https://www.zakon.kz/pbi/WEBP/2024-04-19/file-ce28b869-6c52-4b8c-8967-78d25fafc3dc/400x225.webp 400w, https://www.zakon.kz/pbi/WEBP/2024-04-19/file-ce28b869-6c52-4b8c-8967-78d25fafc3dc/800x450.webp 800w " sizes="(min-width:...
srcset=" https://www.zakon.kz/pbi/WEBP/2024-04-19/file-52bc3805-e19d-4c94-91e0-026494adbfe9/400x225.webp 400w, https://www.zakon.kz/pbi/WEBP/2024-04-19/file-52bc3805-e19d-4c94-91e0-026494adbfe9/800x450.webp 800w " sizes="(min-width:...
«Наши задачи» - предоставлять самую оперативную, достоверную и подробную информацию по банковскому рынку; - помогать клиентам в выборе самых выгодных банковских продуктов; - способствовать банкам в поиске качественных клиентов; - налаживать общение между банками и их клиентами.
Соответственно, в первом квартале 2023 года средняя сумма снятия наличных в
ПодробнееДо этого ряд Telegram-каналов сообщили, что турецкие банки прекратили открывать
ПодробнееПо его словам, внедрение новой системы потребует времени, ведется работа над
ПодробнееПремьер-министр Казахстана Олжас Бектенов встретился с главами крупнейших
ПодробнееС начала 2024 года фьючерсы на золото активно растут и ставят новые рекорды по
ПодробнееПремьер-министр Казахстана Олжас Бектенов посетил павильон ЭКСПО, где осмотрел
ПодробнееЭкономика сегодня
📰 Снижению ключевой ставки препятствует сохранение рисков перегрева экономики из-за высокого спроса, на этом фоне российский ВВП продолжает расти высокими темпами, рассказывает «Коммерсант» о заявлениях главы ЦБ Эльвиры Набиуллиной. Из данных регулятора следует, что, несмотря на высокие ставки, в
Подробнее Банки начали предлагать вклады с плавающей ставкой, которая зависит от ключевой ставки ЦБ РФ — хотя ставки по ним сейчас высокие, в результате вкладчик может получить не ту доходность, на которую рассчитывал, предупреждает главный аналитик финансового маркетплейса Банки Богдан Зварич. Как
Подробнее Пожилые люди в Испании получают самую щедрую пенсию в мире. Выплаты могут доходить до 3060 фунтов стерлингов – 356 000 рублей в месяц, пишет
Подробнее Востребованность новых жилищно-накопительных депозитов будет зависеть от условий, которые предложат банки по таким вкладам, считает главный аналитик Совкомбанка Анна Землянова. Базовые параметры, которые обсуждаются...
Подробнее Пара доллар/рубль в ходе сегодняшних торгов может отступить в район 92 рублей, прогнозирует главный аналитик финансового маркетплейса Банки Богдан Зварич.
Подробнее Российские дачники в 2024 году могут быть оштрафованы за самозахват и захламление земельных участков, возведение незаконных построек, неправильную установку мангала и задолженность по электроэнергии, рассказал...
Подробнее
Комментарии (0)