Ethereum под угрозой: анализ шести критических рисков для экосистемы

Команда Ethereum Foundation представила первый отчет в рамках инициативы «Trillion Dollar Security». Исследователи определили шесть ключевых направлений, требующих значительных улучшений для повышения безопасности сети в будущем.

Авторы отчета отмечают, что экосистема Ethereum уже обрабатывает капитал свыше 600 миллиардов долларов, но этого недостаточно для реализации целей сообщества. Задача состоит в создании среды, где миллиарды пользователей смогут безопасно хранить на блокчейне суммы, превышающие 1000 долларов, а компании и организации — доверять отдельным смарт-контрактам миллиарды активов.

Оптимизация безопасности начинается с пользовательского интерфейса. Основная проблема заключается в том, что вся ответственность лежит на плечах пользователя. Необратимость транзакций означает, что любая ошибка, утечка ключа или поспешное подтверждение могут обернуться потерей средств.

Исследователи выделили несколько уязвимостей. Пользователи часто не умеют безопасно хранить свои сид-фразы, записывая их простым текстом или сохраняя в облачных хранилищах. Аппаратные кошельки не решают проблему полностью, так как их можно потерять, сломать или украсть.

Другая серьезная угроза связана с «слепой подписью» транзакций. Кошельки часто отображают непонятные данные, из-за чего пользователи могут подтверждать действия, последствия которых им не ясны, что способствует фишингу и мошенничеству. Также остаются проблемами неограниченные разрешения в DeFi-приложениях, которые могут быть использованы для кражи активов даже спустя значительное время.

Несмотря на достижения в области безопасности, недостатки в коде остаются серьезной угрозой. Риски в основном связаны с возможностью обновления контрактов после их развертывания. Злонамеренное или ошибочное обновление способно привести к потере средств пользователей.

Среди других проблем специалисты упоминают атаки повторного входа (re-entrancy), использование непроверенных внешних библиотек и ошибки в контрольных механизмах доступа.

Как отмечают исследователи, разработчики не всегда принимают безопасные практики по умолчанию, а формальная проверка кода — сложный и затратный процесс, который редко применяется. В отчете также упоминается новая угроза — ошибки, внесенные инструментами автоматической генерации кода на основе искусственного интеллекта.

Экосистема Ethereum имеет обилие зависимостей от централизованных провайдеров, включая специфические сервисы как RPC-узлы и L2-сети, а также традиционные облачные хостинги, такие как AWS и CloudFlare.

Сбой или цензура со стороны этих провайдеров может лишить многих пользователей доступа к сети. Решения второго уровня добавляют новые векторы атак, связанные с мостами, потенциальными ошибками в системах доказательств и рисками централизации через «советы безопасности».

Протокол консенсуса Ethereum зарекомендовал себя как надежный, однако долгосрочные угрозы остались. В их числе концентрация стейкинга у нескольких крупных игроков, таких как Lido, что создает риск централизации управления и цензуры транзакций.

Еще одной проблемой является недостаточная проработанность механизма «социального слэшинга», который предлагает крайние меры против валидаторов, атакующих сеть. В сообществе отсутствуют четкие правила и инструменты для его применения. В долгосрочной перспективе важной угрозой представляются квантовые компьютеры, способные взломать текущие криптографические алгоритмы.

Когда происходит атака, экосистема сталкивается с проблемами координации. Бывает сложно связаться с командой взломанного проекта или безопасности крупных платформ, что замедляет реакцию и уменьшает шансы на возврат средств. Кроме того, в отрасли отсутствуют привычные для традиционных финансов инструменты страхования.

Под «социальным слоем» понимаются люди, организации и процессы, влияющие на развитие Ethereum, где риски имеют долгосрочный характер. Централизация стейкинга и активов, обеспеченных реальным миром (например, стейблкоины), предоставляет эмитентам и держателям влияние на сеть.

Также существует угроза регуляторного давления на ключевых разработчиков и компании, что может изменить приоритеты развития протокола в пользу коммерческих или государственных интересов, подрывая его нейтральность.

Публикация данного отчета — только первый шаг. Ethereum Foundation совместно с сообществом планирует определить наиболее приоритетные проблемы и начать разрабатывать решения. Проект призывает всех заинтересованных обмениваться идеями и мнениями.

Напомним, что в марте Ethereum Foundation внесла значительные изменения в руководство. После этих перестановок организация сосредоточила свои усилия на пользовательском опыте и проблемах масштабирования L1.

В июне Ethereum Foundation сократила часть команды исследований и разработок, чтобы сосредоточиться на ключевых вызовах и основных проблемах протокола.