МОСКВА, 12 авг — ПРАЙМ. Смарт-контракты, которые пользователи подписывают на платформах блокчейн, могут иметь уязвимости перед атаками хакеров, поэтому участникам таких проектов нужно тщательно взвешивать риски, заявил РИА Новости директор блока экспертных сервисов компании BI.ZONE Евгений Волошин.
На днях блокчейн-платформа Poly Network подверглась хакерской атаке, в рамках которой у ее пользователей украли криптовалюту на рекордную сумму около 600 миллионов долларов. Poly Network также сообщила о том, что выявила уязвимость в своей системе, которой воспользовались хакеры. Позднее хакеры стали возвращать похищенные активы.
"Данный инцидент был тщательно расследован экспертами из компании SlowMist. Они проверили платформу Poly Network, где заметили, как непосредственно перед переводом средств неизвестные хакеры, используя уязвимость в одном из смарт-контрактов, перехватили управление транзакцией и вывели криптовалюту с платформы", — сказал Волошин.
Он напомнил, что уязвимости в смарт-контрактах не являются чем-то новым. "Нам известны похожие атаки с 2016 года, когда был осуществлен первый взлом умного контракта краудфандинговой платформы DAO. Тогда хакеры украли 50 миллионов долларов. Благодаря помощи сообщества, транзакции удалось отменить посредством перехода на альтернативную ветку блокчейна", — отметил он.
Кроме того, по его словам, летом 2017 произошла атака на контракт криптостартапа Parity, в результате которой хакерам удалось похитить 30 миллионов долларов, хотя компания проводила тщательный аудит своего кода на предмет безопасности. Чуть позже в том же году Parity пострадала из-за еще одной уязвимости в смарт-контракте. Некий пользователь этой сети, воспользовавшись уязвимостью, стал владельцем контракта для кошельков с множественной подписью, а затем "случайно" его удалил. В итоге со всех этих кошельков невозможно вывести криптовалюту и по сей день, а сумма замороженных средств составляет 153 миллиона долларов.
"Смарт-контракты пишутся людьми, а люди могут допускать ошибки. Для минимизации рисков крупные проекты проводят тщательный и многократный аудит кода, однако это не гарантирует полное выявление уязвимостей. Также проблему решают с помощью Bug Bounty программ, которые позволяют хакерам, нашедшим уязвимость, легально получить за нее вознаграждение. Пользователям подобных контрактов можно посоветовать взвешивать риски от участия в таких проектах и проводить аудит кода, который написан человеческими руками", — заключил Волошин.
Читайте также:
