Atualmente, centenas de milhares de contratos inteligentes que gerenciam carteiras, tokens, aplicativos ou são utilizados para armazenar fundos estão funcionando na Blockchain do Ethereum. Um grupo de pesquisadores britânicos conseguiu identificar cerca de 34,2 mil vulnerabilidades nesses contratos, escreve a Motherboard.
O professor adjunto da University College of London, Ilya Sergey, e seus colegas realizaram uma pesquisa em grande escala para detectar todas as possíveis vulnerabilidades de contratos inteligentes baseados na Blockchain do Ethereum. Para fazer isso, eles baixaram a Blockchain do Ethereum, criando um fork para uso pessoal, e começaram a lançar uma variedade de cenários, tentando alcançar consequências indesejáveis. Quando essas consequências vinham, eles marcavam seu contrato de origem como possuindo “uma vulnerabilidade rastreada”.
Tendo analisado cerca de um milhão de contratos inteligentes desta forma, os pesquisadores descobriram que 34,2 mil deles continham vulnerabilidades críticas. Eles testaram suas pressuposisões em 3 mil contratos inteligentes, sendo que em 89% dos casos, conseqüências indesejáveis foram causadas. Em teoria, isso poderia permitir-lhes roubar US$6 milhões em Ethereum.
De acordo com especialistas, a detecção precoce de vulnerabilidades permite impedir
possíveis cenários negativos. Para exemplificar um desses cenários, vale ressaltar que em novembro de 2017, um usuário sob o pseudónimo DevOps19 encontrou uma vulnerabilidade no código da biblioteca da carteira Parity do Ethereum e acidentalmente bloqueou cerca de US$150 milhões.
“Estamos trabalhando com aplicativos que possuem duas características muito desagradáveis: eles são usados para gerenciar seu dinheiro e não podem ser consertados”, explicou Ilya Sergey.
As tentativas de encontrar os criadores de contratos inteligentes vulneráveis não trouxeram nenhum resultado. Mas como os pesquisadores não dizem quais contratos inteligentes contêm as vulnerabilidades encontradas, eles ainda podem ser considerados condicionalmente seguros.
“Se alguém quiser tirar proveito de nossa idéia, esse alguém, pelo menos, terá que fazer o mesmo trabalho que fizemos”, resumiu o pesquisador
Note que em janeiro, uma unidade da Cisco detectou uma série de vulnerabilidades no cliente Parity para o Ethereum: em primeiro lugar, tratava-se do código operacional create2, cuja operação incorreta poderia levar a um ataque DoS em grande escala em seus nós de suporte. Além disso, uma série de “lacunas” no software da carteira facilitava o acesso a informações privadas.
Alguns dias depois, representantes da Parity Technologies afirmaram que as vulnerabilidades foram corrigidas em novas versões do software do cliente Ethereum.
Chrys é fundadora e escritora ativa do BTCSoul. Desde que ouviu falar sobre Bitcoin e criptomoedas ela não parou mais de descobrir novidades. Atualmente ela se dedica para trazer o melhor conteúdo sobre as tecnologias disruptivas para o website.