A Fundação Ethereum publica o primeiro relatório do "Programa de Segurança de Um Trilhão de Dólares": abordando contratos inteligentes, infraestrutura e segurança na nuvem… seis grandes desafios ecológicos
A Fundação Ethereum divulgou oficialmente o primeiro relatório do "One Trillion US Dollar Security Plan" "Security Challenges Overview" através da plataforma X ontem (10), cobrindo seis aspetos: experiência do usuário, contratos inteligentes, infraestrutura e segurança na nuvem, protocolo de consenso, monitoramento, resposta e mitigação de incidentes, e camada social e governança. (Sinopse: Nova proposta do Ethereum: arquitetura modular + aprimoramento de privacidade para cumprir com a especificação de dados GDPR da UE, quais são os recursos? (Suplemento de fundo: Vitalik borrou "Plano de Grande Salto de um ano do Ethereum": a taxa de transferência aumentará 10 vezes após a expansão L1) A Fundação Ethereum anunciou no mês passado o lançamento da iniciativa "Trillion Dollar Security (1TS)", que visa garantir que o Ethereum possa suportar bilhões de usuários para manter com segurança mais de US$ 1 trilhão em ativos on-chain, e dar às empresas, instituições e governos a confiança para armazenar e transacionar mais de 1 em um único contrato inteligente ou aplicativo O valor de trilhões de dólares impulsionou o Ethereum a se tornar a "infraestrutura de nível civilizacional" da economia global. Ainda ontem (10), a Fundação Ethereum divulgou oficialmente o primeiro relatório do projeto, "Security Challenges Overview" através da plataforma X. O relatório classifica seis principais desafios de segurança para o ecossistema Ethereum e estabelece as bases para soluções para problemas prioritários subsequentes. O lançamento do relatório marca um passo importante na busca do Ethereum por padrões de segurança mais altos. 0. No mês passado, anunciamos a iniciativa Trillion Dollar Security (1TS): um esforço em todo o ecossistema para atualizar a segurança do Ethereum. Hoje estamos lançando o primeiro relatório 1TS: uma visão geral dos desafios de segurança existentes no ecossistema Ethereum. pic.twitter.com/R1dhY34pDT — Fundação Ethereum (@ethereumfndn) 10 de junho de 2025 Análise detalhada dos seis desafios de segurança do Ethereum De acordo com o relatório "Visão Geral dos Desafios de Segurança Existentes no Ecossistema Ethereum", a Fundação Ethereum está trabalhando com usuários, desenvolvedores e Com base no feedback exaustivo de especialistas e instituições de segurança, foram identificados desafios nas seguintes seis áreas principais: 1. Experiência do Usuário (UX) A interface com a qual os usuários interagem com o Ethereum é uma fonte central de desafios de segurança, e um único erro devido à atomicidade (irreversibilidade) das transações pode causar danos significativos. 1.1 Gestão de chaves privadas: É difícil para os utilizadores gerir chaves privadas de forma segura, os mnemónicos de carteiras de software são facilmente armazenados de forma insegura e as carteiras de hardware correm o risco de perdas, danos ou ataques à cadeia de abastecimento. Devido às mudanças de pessoal e aos requisitos de conformidade dos usuários corporativos, o gerenciamento de chaves privadas é mais desafiador. 1.2 Assinatura cega e incerteza de transações: Os usuários geralmente aprovam transações cegamente porque suas carteiras exibem dados desconhecidos e são vulneráveis a contratos maliciosos, phishing, fraude ou ataques front-end. 1.3 Gestão de aprovação e permissão: A carteira tem aprovação ilimitada e sem data de expiração por defeito, e não tem funções de gestão de permissões, o que aumenta o risco de aplicações maliciosas ficarem sem fundos. 1.4 Interface web atacada: A interface web é vulnerável a sequestro de DNS, injeção de JavaScript malicioso, etc., levando os utilizadores a contratos maliciosos ou assinatura de transações enganosas. 1.5 Privacidade: A fraca proteção de privacidade expõe os utilizadores ao risco de phishing, fraude ou ataques físicos. Os utilizadores institucionais necessitam de uma maior proteção da privacidade devido a necessidades comerciais ou de conformidade. 1.6 Fragmentação: Diferentes carteiras carecem de consistência na exibição de transações, processamento de aprovação, etc., o que aumenta a dificuldade de aprendizagem do usuário e os riscos de segurança. 2. Segurança de contratos inteligentes Os contratos inteligentes são uma grande superfície de ataque devido à transparência e, apesar dos avanços em auditoria e ferramentas, ainda existem vulnerabilidades e desafios de desenvolvimento. 2.1 Vulnerabilidades contratuais: incluindo riscos de atualização, ataques de reentrada, componentes não auditados, falhas de controle de acesso, complexidade de protocolo entre cadeias e novos riscos de geração de código de IA. 2.2 Experiência do desenvolvedor, ferramentas e linguagens de programação: As ferramentas não têm predefinições de segurança, cobertura de teste desigual, baixa adoção de verificação formal, defeitos do compilador e limitações de linguagem, dificultando a implantação de contratos seguros. 2.3 Avaliação de risco do código on-chain: O quadro de avaliação de riscos existente é difícil de aplicar aos contratos inteligentes e é difícil para os utilizadores institucionais gerir os riscos devido ao pressuposto de que o código pode ser alterado e centralizado. 3. Infraestrutura e segurança na nuvem A infraestrutura dependente do Ethereum (por exemplo, cadeias L2, RPCs, serviços em nuvem) constitui uma superfície de ataque, e a centralização aumenta o risco de interrupções e censura. 3.1 Cadeia de segunda camada: L2 fazendo a ponte entre a complexidade dos ativos, a comprovação de erros do sistema e os riscos de conluio dos comités de segurança podem resultar na perda de fundos ou no congelamento de ativos. 3.2 Infraestrutura de RPC e nós: Depender de um pequeno número de provedores de RPC e nuvem pode bloquear o acesso do usuário se eles estiverem offline ou censurados. 3.3 Vulnerabilidades ao nível do DNS: sequestro de DNS, apreensão de nomes de domínio e phishing de nomes de domínio semelhantes ameaçam a segurança de acesso do utilizador. 3.4 Cadeia de fornecimento de software e bibliotecas: As bibliotecas de código aberto são vulneráveis à injeção maliciosa de pacotes ou sequestro de dependência, e são vetores de ataque. 3.5 Serviços de entrega front-end e riscos relacionados: Se a CDN e as plataformas de hospedagem em nuvem forem atacadas, elas podem fornecer front-ends mal-intencionados e afetar a segurança do usuário. 3.6 Revisão do Nível do Provedor de Serviços de Internet: ISPs ou países podem acessar Ethereum através de bloqueio de tráfego, filtragem de DNS, etc. 4. Protocolo de consenso O protocolo de consenso Ethereum é estável, mas os riscos de longo prazo precisam ser melhorados para melhorar a resistência. 4.1 Vulnerabilidade de consenso e risco de recuperação: Casos de borda (como divergência do validador ou particionamento de rede) podem levar à estagnação do consenso ou perda de fundos do validador. 4.2 Diversidade de clientes: A diversidade de clientes protege a rede, mas a taxa de adoção de um pequeno número de clientes é baixa e precisa ser melhorada. 4.3 Concentração de participação e posição dominante no agrupamento: A concentração de acordos de participação líquida e de grandes operadores pode conduzir a riscos de captura ou homogeneização da governação. 4.4 Lacunas indefinidas de redução e coordenação social: Falta um mecanismo claro para lidar com validadores maliciosos e o processo de redução social ainda não está maduro. 4.5 Vetores de ataque econômicos e da teoria dos jogos: ataques econômicos como ataques de atrito, saídas estratégicas e manipulação de MEV não foram totalmente estudados. 4.6 Risco quântico: A computação quântica pode quebrar a tecnologia de encriptação existente, e os esquemas de resistência quântica têm de ser concebidos antecipadamente. 5. Monitorização, resposta a incidentes e atenuação As vulnerabilidades de segurança têm de ser eficazmente monitorizadas e respondidas, mas os desafios existentes limitam a eficiência. Contactar as equipas afetadas: Difícil contactar as equipas atacadas, atrasando a recuperação do financiamento. Problema crescente: dificuldade na coordenação interorganizacional e falta de contacto inicial. Coordenação de resposta: A colaboração entre várias equipas pode gerar confusão e reduzir a eficiência. Capacidades de monitorização insuficientes: A monitorização em cadeia e fora da cadeia é insuficiente, dificultando o alerta precoce. Acesso a seguros: O ecossistema cripto carece de opções de seguros tradicionais, dificultando a mitigação de perdas. 6. Camada social e governança A comunidade e a governança do Ethereum enfrentam riscos de longo prazo que afetam a segurança geral. 6.1 Centralização de stakes: Um grande número de concentrações de staking pode levar à captura de governança, afetando forks ou revisão de transações. 6.2 Concentração de ativos fora da cadeia: detentores de ativos fora da cadeia...
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
A Fundação Ethereum publica o primeiro relatório do "Programa de Segurança de Um Trilhão de Dólares": abordando contratos inteligentes, infraestrutura e segurança na nuvem… seis grandes desafios ecológicos
A Fundação Ethereum divulgou oficialmente o primeiro relatório do "One Trillion US Dollar Security Plan" "Security Challenges Overview" através da plataforma X ontem (10), cobrindo seis aspetos: experiência do usuário, contratos inteligentes, infraestrutura e segurança na nuvem, protocolo de consenso, monitoramento, resposta e mitigação de incidentes, e camada social e governança. (Sinopse: Nova proposta do Ethereum: arquitetura modular + aprimoramento de privacidade para cumprir com a especificação de dados GDPR da UE, quais são os recursos? (Suplemento de fundo: Vitalik borrou "Plano de Grande Salto de um ano do Ethereum": a taxa de transferência aumentará 10 vezes após a expansão L1) A Fundação Ethereum anunciou no mês passado o lançamento da iniciativa "Trillion Dollar Security (1TS)", que visa garantir que o Ethereum possa suportar bilhões de usuários para manter com segurança mais de US$ 1 trilhão em ativos on-chain, e dar às empresas, instituições e governos a confiança para armazenar e transacionar mais de 1 em um único contrato inteligente ou aplicativo O valor de trilhões de dólares impulsionou o Ethereum a se tornar a "infraestrutura de nível civilizacional" da economia global. Ainda ontem (10), a Fundação Ethereum divulgou oficialmente o primeiro relatório do projeto, "Security Challenges Overview" através da plataforma X. O relatório classifica seis principais desafios de segurança para o ecossistema Ethereum e estabelece as bases para soluções para problemas prioritários subsequentes. O lançamento do relatório marca um passo importante na busca do Ethereum por padrões de segurança mais altos. 0. No mês passado, anunciamos a iniciativa Trillion Dollar Security (1TS): um esforço em todo o ecossistema para atualizar a segurança do Ethereum. Hoje estamos lançando o primeiro relatório 1TS: uma visão geral dos desafios de segurança existentes no ecossistema Ethereum. pic.twitter.com/R1dhY34pDT — Fundação Ethereum (@ethereumfndn) 10 de junho de 2025 Análise detalhada dos seis desafios de segurança do Ethereum De acordo com o relatório "Visão Geral dos Desafios de Segurança Existentes no Ecossistema Ethereum", a Fundação Ethereum está trabalhando com usuários, desenvolvedores e Com base no feedback exaustivo de especialistas e instituições de segurança, foram identificados desafios nas seguintes seis áreas principais: 1. Experiência do Usuário (UX) A interface com a qual os usuários interagem com o Ethereum é uma fonte central de desafios de segurança, e um único erro devido à atomicidade (irreversibilidade) das transações pode causar danos significativos. 1.1 Gestão de chaves privadas: É difícil para os utilizadores gerir chaves privadas de forma segura, os mnemónicos de carteiras de software são facilmente armazenados de forma insegura e as carteiras de hardware correm o risco de perdas, danos ou ataques à cadeia de abastecimento. Devido às mudanças de pessoal e aos requisitos de conformidade dos usuários corporativos, o gerenciamento de chaves privadas é mais desafiador. 1.2 Assinatura cega e incerteza de transações: Os usuários geralmente aprovam transações cegamente porque suas carteiras exibem dados desconhecidos e são vulneráveis a contratos maliciosos, phishing, fraude ou ataques front-end. 1.3 Gestão de aprovação e permissão: A carteira tem aprovação ilimitada e sem data de expiração por defeito, e não tem funções de gestão de permissões, o que aumenta o risco de aplicações maliciosas ficarem sem fundos. 1.4 Interface web atacada: A interface web é vulnerável a sequestro de DNS, injeção de JavaScript malicioso, etc., levando os utilizadores a contratos maliciosos ou assinatura de transações enganosas. 1.5 Privacidade: A fraca proteção de privacidade expõe os utilizadores ao risco de phishing, fraude ou ataques físicos. Os utilizadores institucionais necessitam de uma maior proteção da privacidade devido a necessidades comerciais ou de conformidade. 1.6 Fragmentação: Diferentes carteiras carecem de consistência na exibição de transações, processamento de aprovação, etc., o que aumenta a dificuldade de aprendizagem do usuário e os riscos de segurança. 2. Segurança de contratos inteligentes Os contratos inteligentes são uma grande superfície de ataque devido à transparência e, apesar dos avanços em auditoria e ferramentas, ainda existem vulnerabilidades e desafios de desenvolvimento. 2.1 Vulnerabilidades contratuais: incluindo riscos de atualização, ataques de reentrada, componentes não auditados, falhas de controle de acesso, complexidade de protocolo entre cadeias e novos riscos de geração de código de IA. 2.2 Experiência do desenvolvedor, ferramentas e linguagens de programação: As ferramentas não têm predefinições de segurança, cobertura de teste desigual, baixa adoção de verificação formal, defeitos do compilador e limitações de linguagem, dificultando a implantação de contratos seguros. 2.3 Avaliação de risco do código on-chain: O quadro de avaliação de riscos existente é difícil de aplicar aos contratos inteligentes e é difícil para os utilizadores institucionais gerir os riscos devido ao pressuposto de que o código pode ser alterado e centralizado. 3. Infraestrutura e segurança na nuvem A infraestrutura dependente do Ethereum (por exemplo, cadeias L2, RPCs, serviços em nuvem) constitui uma superfície de ataque, e a centralização aumenta o risco de interrupções e censura. 3.1 Cadeia de segunda camada: L2 fazendo a ponte entre a complexidade dos ativos, a comprovação de erros do sistema e os riscos de conluio dos comités de segurança podem resultar na perda de fundos ou no congelamento de ativos. 3.2 Infraestrutura de RPC e nós: Depender de um pequeno número de provedores de RPC e nuvem pode bloquear o acesso do usuário se eles estiverem offline ou censurados. 3.3 Vulnerabilidades ao nível do DNS: sequestro de DNS, apreensão de nomes de domínio e phishing de nomes de domínio semelhantes ameaçam a segurança de acesso do utilizador. 3.4 Cadeia de fornecimento de software e bibliotecas: As bibliotecas de código aberto são vulneráveis à injeção maliciosa de pacotes ou sequestro de dependência, e são vetores de ataque. 3.5 Serviços de entrega front-end e riscos relacionados: Se a CDN e as plataformas de hospedagem em nuvem forem atacadas, elas podem fornecer front-ends mal-intencionados e afetar a segurança do usuário. 3.6 Revisão do Nível do Provedor de Serviços de Internet: ISPs ou países podem acessar Ethereum através de bloqueio de tráfego, filtragem de DNS, etc. 4. Protocolo de consenso O protocolo de consenso Ethereum é estável, mas os riscos de longo prazo precisam ser melhorados para melhorar a resistência. 4.1 Vulnerabilidade de consenso e risco de recuperação: Casos de borda (como divergência do validador ou particionamento de rede) podem levar à estagnação do consenso ou perda de fundos do validador. 4.2 Diversidade de clientes: A diversidade de clientes protege a rede, mas a taxa de adoção de um pequeno número de clientes é baixa e precisa ser melhorada. 4.3 Concentração de participação e posição dominante no agrupamento: A concentração de acordos de participação líquida e de grandes operadores pode conduzir a riscos de captura ou homogeneização da governação. 4.4 Lacunas indefinidas de redução e coordenação social: Falta um mecanismo claro para lidar com validadores maliciosos e o processo de redução social ainda não está maduro. 4.5 Vetores de ataque econômicos e da teoria dos jogos: ataques econômicos como ataques de atrito, saídas estratégicas e manipulação de MEV não foram totalmente estudados. 4.6 Risco quântico: A computação quântica pode quebrar a tecnologia de encriptação existente, e os esquemas de resistência quântica têm de ser concebidos antecipadamente. 5. Monitorização, resposta a incidentes e atenuação As vulnerabilidades de segurança têm de ser eficazmente monitorizadas e respondidas, mas os desafios existentes limitam a eficiência. Contactar as equipas afetadas: Difícil contactar as equipas atacadas, atrasando a recuperação do financiamento. Problema crescente: dificuldade na coordenação interorganizacional e falta de contacto inicial. Coordenação de resposta: A colaboração entre várias equipas pode gerar confusão e reduzir a eficiência. Capacidades de monitorização insuficientes: A monitorização em cadeia e fora da cadeia é insuficiente, dificultando o alerta precoce. Acesso a seguros: O ecossistema cripto carece de opções de seguros tradicionais, dificultando a mitigação de perdas. 6. Camada social e governança A comunidade e a governança do Ethereum enfrentam riscos de longo prazo que afetam a segurança geral. 6.1 Centralização de stakes: Um grande número de concentrações de staking pode levar à captura de governança, afetando forks ou revisão de transações. 6.2 Concentração de ativos fora da cadeia: detentores de ativos fora da cadeia...