Фонд Ethereum опубликовал первый отчет о «Программе безопасности на триллион долларов»: анализ смарт-контрактов, инфраструктуры и облачной безопасности... шесть основных экологических вызовов
Вчера Ethereum Foundation официально выпустила первый отчет о «Плане безопасности на один триллион долларов США» (10) через платформу X, охватывающий шесть аспектов: пользовательский опыт, смарт-контракты, безопасность инфраструктуры и облака, протокол консенсуса, мониторинг, реагирование на инциденты и смягчение их последствий, а также социальный уровень и управление. (Синопсис: Новое предложение Ethereum: модульная архитектура + повышение конфиденциальности в соответствии со спецификацией данных GDPR ЕС, каковы функции? (Дополнение к предыстории: Виталик выпалил «Годовой план Большого скачка Ethereum»: пропускная способность увеличится в 10 раз после расширения L1) Ethereum Foundation объявила в прошлом месяце о запуске инициативы «Trillion Dollar Security (1TS)», которая направлена на то, чтобы Ethereum мог поддерживать миллиарды пользователей для безопасного хранения активов в цепочке на сумму более 1 триллиона долларов, а также дать предприятиям, учреждениям и правительствам уверенность в хранении и совершении транзакций более чем 1 в одном смарт-контракте или приложении Стоимость триллионов долларов привела к тому, что Ethereum стал «инфраструктурой цивилизационного уровня» мировой экономики. Буквально вчера (10 числа) Ethereum Foundation официально выпустил первый отчет о проекте «Обзор проблем безопасности» через платформу X. В отчете рассматриваются шесть ключевых проблем безопасности для экосистемы Ethereum и закладывается основа для решения последующих приоритетных проблем. Публикация отчета знаменует собой важный шаг в стремлении Ethereum к более высоким стандартам безопасности. 0. В прошлом месяце мы объявили об инициативе Trillion Dollar Security (1TS): это усилия по повышению безопасности Ethereum в масштабах всей экосистемы. Сегодня мы выпускаем первый отчет 1TS: обзор существующих проблем безопасности в экосистеме Ethereum. pic.twitter.com/R1dhY34pDT — Ethereum Foundation (@ethereumfndn) 10 июня 2025 г. Подробный анализ шести проблем безопасности Ethereum Согласно отчету «Обзор существующих проблем безопасности в экосистеме Ethereum», Ethereum Foundation работает с пользователями, разработчиками и На основе обширных отзывов экспертов и учреждений по безопасности были определены проблемы в следующих шести ключевых областях: 1. Пользовательский опыт (UX) Интерфейс, с помощью которого пользователи взаимодействуют с Ethereum, является основным источником проблем безопасности, и одна ошибка из-за атомарности (необратимости) транзакций может нанести значительный ущерб. 1.1 Управление закрытыми ключами: Пользователям сложно безопасно управлять закрытыми ключами, мнемоники программных кошельков легко хранятся небезопасно, а аппаратные кошельки подвержены риску потери, повреждения или атак на цепочку поставок. Из-за кадровых изменений и требований корпоративных пользователей к соответствию требованиям управление закрытыми ключами становится более сложным. 1.2 Слепое подписание и неопределенность транзакций: Пользователи часто слепо одобряют транзакции, потому что их кошельки отображают неизвестные данные и уязвимы для вредоносных контрактов, фишинга, мошенничества или внешних атак. 1.3 Одобрение и управление разрешениями: Кошелек по умолчанию имеет неограниченное одобрение и не имеет даты истечения срока действия, а также не имеет функций управления разрешениями, что увеличивает риск того, что вредоносные приложения исчерпают средства. 1.4 Атакованный веб-интерфейс: веб-интерфейс уязвим для перехвата DNS, вредоносного внедрения JavaScript и т. д., что приводит пользователей к вредоносным контрактам или подписанию вводящих в заблуждение транзакций. 1.5 Конфиденциальность: Слабая защита конфиденциальности подвергает пользователей риску фишинга, мошенничества или физических атак. Институциональные пользователи нуждаются в усиленной защите конфиденциальности в связи с соблюдением нормативных требований или потребностями бизнеса. 1.6 Фрагментация: В разных кошельках отсутствует согласованность в отображении транзакций, обработке одобрения и т. д., что увеличивает сложность обучения пользователей и риски безопасности. 2. Безопасность смарт-контрактов Смарт-контракты являются основной поверхностью атаки из-за прозрачности, и, несмотря на достижения в области аудита и инструментов, все еще существуют уязвимости и проблемы разработки. 2.1 Уязвимости контрактов: включая риски обновления, повторные атаки, непроверенные компоненты, сбои в контроле доступа, сложность кроссчейн-протокола и новые риски генерации кода ИИ. 2.2 Опыт разработчиков, инструменты и языки программирования: Инструменты не имеют предустановок безопасности, неравномерное покрытие тестами, низкое внедрение формальной верификации, дефекты компилятора и языковые ограничения, что затрудняет развертывание безопасных контрактов. 2.3 Оценка рисков кода в цепочке: Существующую систему оценки рисков трудно применить к смарт-контрактам, а институциональным пользователям сложно управлять рисками из-за предположения, что код может быть изменен и централизован. 3. Инфраструктура и облачная безопасность Инфраструктура, зависящая от Ethereum (например, цепочки L2, RPC, облачные сервисы) представляет собой поверхность атаки, а централизация увеличивает риск сбоев и цензуры. 3.1 Цепочка второго уровня: L2-преодоление сложности активов, доказательство системных ошибок и рисков сговора с комитетом по безопасности может привести к потере средств или замораживанию активов. 3.2 RPC и инфраструктура узлов: Полагаясь на небольшое количество RPC и облачных провайдеров, можно заблокировать доступ пользователей, если они находятся в автономном режиме или подвергаются цензуре. 3.3 Уязвимости на уровне DNS: перехват DNS, захват доменных имен и фишинг похожих доменных имен угрожают безопасности доступа пользователей. 3.4 Цепочка поставок программного обеспечения и библиотеки: Библиотеки с открытым исходным кодом уязвимы к вредоносному внедрению пакетов или перехвату зависимостей, а также являются векторами атак. 3.5 Услуги фронтенд-доставки и связанные с ними риски: Если CDN и облачные хостинг-платформы подвергаются атаке, они могут предоставить вредоносные интерфейсы и повлиять на безопасность пользователей. 3.6 Обзор уровня интернет-провайдера: интернет-провайдеры или страны могут получить доступ к Ethereum через блокировку трафика, DNS-фильтрацию и т. д. 4. Протокол консенсуса Протокол консенсуса Ethereum стабилен, но долгосрочные риски необходимо улучшить, чтобы повысить устойчивость. 4.1 Уязвимость консенсуса и риск восстановления: Пограничные случаи (такие как расхождение валидаторов или разделение сети) могут привести к стагнации консенсуса или потере средств валидаторов. 4.2 Многообразие клиентов: Многообразие клиентов защищает сеть, но скорость принятия небольшого числа клиентов низка и нуждается в дальнейшем улучшении. 4.3 Концентрация стейкинга и доминирование пула: Концентрация ликвидных стейкинговых соглашений и крупных операторов может привести к рискам захвата или гомогенизации управления. 4.4 Неопределенные пробелы в социальном сокращении и координации: Отсутствует четкий механизм борьбы со злонамеренными валидаторами, а процесс социального сокращения еще не созрел. 4.5 Векторы экономических атак и атак по теории игр: экономические атаки, такие как атаки на истощение, стратегические выходы и манипуляции с MEV, не были полностью изучены. 4.6 Квантовый риск: Квантовые вычисления могут взломать существующую технологию шифрования, поэтому схемы квантового сопротивления должны быть разработаны заранее. 5. Мониторинг, реагирование на инциденты и смягчение последствий Уязвимости системы безопасности нуждаются в эффективном мониторинге и реагировании на них, но существующие проблемы ограничивают эффективность. Обращение к пострадавшим командам: Трудно связаться с пострадавшими командами, что задерживает восстановление финансирования. Обостряющаяся проблема: трудности в межорганизационной координации и отсутствие предварительного контакта. Координация реагирования: Совместная работа нескольких команд может привести к путанице и снижению эффективности. Недостаточные возможности мониторинга: мониторинг в цепочке и вне сети недостаточен, что затрудняет раннее предупреждение. Доступ к страхованию: В криптовалютной экосистеме отсутствуют традиционные варианты страхования, что затрудняет снижение потерь. 6. Социальный слой и управление Сообщество и управление Ethereum сталкиваются с долгосрочными рисками, которые влияют на общую безопасность. 6.1 Централизация стейкинга: Большое количество концентраций стейкинга может привести к захвату управления, что повлияет на форки или проверку транзакций. 6.2 Концентрация активов вне сети: держатели активов вне сети...
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Фонд Ethereum опубликовал первый отчет о «Программе безопасности на триллион долларов»: анализ смарт-контрактов, инфраструктуры и облачной безопасности... шесть основных экологических вызовов
Вчера Ethereum Foundation официально выпустила первый отчет о «Плане безопасности на один триллион долларов США» (10) через платформу X, охватывающий шесть аспектов: пользовательский опыт, смарт-контракты, безопасность инфраструктуры и облака, протокол консенсуса, мониторинг, реагирование на инциденты и смягчение их последствий, а также социальный уровень и управление. (Синопсис: Новое предложение Ethereum: модульная архитектура + повышение конфиденциальности в соответствии со спецификацией данных GDPR ЕС, каковы функции? (Дополнение к предыстории: Виталик выпалил «Годовой план Большого скачка Ethereum»: пропускная способность увеличится в 10 раз после расширения L1) Ethereum Foundation объявила в прошлом месяце о запуске инициативы «Trillion Dollar Security (1TS)», которая направлена на то, чтобы Ethereum мог поддерживать миллиарды пользователей для безопасного хранения активов в цепочке на сумму более 1 триллиона долларов, а также дать предприятиям, учреждениям и правительствам уверенность в хранении и совершении транзакций более чем 1 в одном смарт-контракте или приложении Стоимость триллионов долларов привела к тому, что Ethereum стал «инфраструктурой цивилизационного уровня» мировой экономики. Буквально вчера (10 числа) Ethereum Foundation официально выпустил первый отчет о проекте «Обзор проблем безопасности» через платформу X. В отчете рассматриваются шесть ключевых проблем безопасности для экосистемы Ethereum и закладывается основа для решения последующих приоритетных проблем. Публикация отчета знаменует собой важный шаг в стремлении Ethereum к более высоким стандартам безопасности. 0. В прошлом месяце мы объявили об инициативе Trillion Dollar Security (1TS): это усилия по повышению безопасности Ethereum в масштабах всей экосистемы. Сегодня мы выпускаем первый отчет 1TS: обзор существующих проблем безопасности в экосистеме Ethereum. pic.twitter.com/R1dhY34pDT — Ethereum Foundation (@ethereumfndn) 10 июня 2025 г. Подробный анализ шести проблем безопасности Ethereum Согласно отчету «Обзор существующих проблем безопасности в экосистеме Ethereum», Ethereum Foundation работает с пользователями, разработчиками и На основе обширных отзывов экспертов и учреждений по безопасности были определены проблемы в следующих шести ключевых областях: 1. Пользовательский опыт (UX) Интерфейс, с помощью которого пользователи взаимодействуют с Ethereum, является основным источником проблем безопасности, и одна ошибка из-за атомарности (необратимости) транзакций может нанести значительный ущерб. 1.1 Управление закрытыми ключами: Пользователям сложно безопасно управлять закрытыми ключами, мнемоники программных кошельков легко хранятся небезопасно, а аппаратные кошельки подвержены риску потери, повреждения или атак на цепочку поставок. Из-за кадровых изменений и требований корпоративных пользователей к соответствию требованиям управление закрытыми ключами становится более сложным. 1.2 Слепое подписание и неопределенность транзакций: Пользователи часто слепо одобряют транзакции, потому что их кошельки отображают неизвестные данные и уязвимы для вредоносных контрактов, фишинга, мошенничества или внешних атак. 1.3 Одобрение и управление разрешениями: Кошелек по умолчанию имеет неограниченное одобрение и не имеет даты истечения срока действия, а также не имеет функций управления разрешениями, что увеличивает риск того, что вредоносные приложения исчерпают средства. 1.4 Атакованный веб-интерфейс: веб-интерфейс уязвим для перехвата DNS, вредоносного внедрения JavaScript и т. д., что приводит пользователей к вредоносным контрактам или подписанию вводящих в заблуждение транзакций. 1.5 Конфиденциальность: Слабая защита конфиденциальности подвергает пользователей риску фишинга, мошенничества или физических атак. Институциональные пользователи нуждаются в усиленной защите конфиденциальности в связи с соблюдением нормативных требований или потребностями бизнеса. 1.6 Фрагментация: В разных кошельках отсутствует согласованность в отображении транзакций, обработке одобрения и т. д., что увеличивает сложность обучения пользователей и риски безопасности. 2. Безопасность смарт-контрактов Смарт-контракты являются основной поверхностью атаки из-за прозрачности, и, несмотря на достижения в области аудита и инструментов, все еще существуют уязвимости и проблемы разработки. 2.1 Уязвимости контрактов: включая риски обновления, повторные атаки, непроверенные компоненты, сбои в контроле доступа, сложность кроссчейн-протокола и новые риски генерации кода ИИ. 2.2 Опыт разработчиков, инструменты и языки программирования: Инструменты не имеют предустановок безопасности, неравномерное покрытие тестами, низкое внедрение формальной верификации, дефекты компилятора и языковые ограничения, что затрудняет развертывание безопасных контрактов. 2.3 Оценка рисков кода в цепочке: Существующую систему оценки рисков трудно применить к смарт-контрактам, а институциональным пользователям сложно управлять рисками из-за предположения, что код может быть изменен и централизован. 3. Инфраструктура и облачная безопасность Инфраструктура, зависящая от Ethereum (например, цепочки L2, RPC, облачные сервисы) представляет собой поверхность атаки, а централизация увеличивает риск сбоев и цензуры. 3.1 Цепочка второго уровня: L2-преодоление сложности активов, доказательство системных ошибок и рисков сговора с комитетом по безопасности может привести к потере средств или замораживанию активов. 3.2 RPC и инфраструктура узлов: Полагаясь на небольшое количество RPC и облачных провайдеров, можно заблокировать доступ пользователей, если они находятся в автономном режиме или подвергаются цензуре. 3.3 Уязвимости на уровне DNS: перехват DNS, захват доменных имен и фишинг похожих доменных имен угрожают безопасности доступа пользователей. 3.4 Цепочка поставок программного обеспечения и библиотеки: Библиотеки с открытым исходным кодом уязвимы к вредоносному внедрению пакетов или перехвату зависимостей, а также являются векторами атак. 3.5 Услуги фронтенд-доставки и связанные с ними риски: Если CDN и облачные хостинг-платформы подвергаются атаке, они могут предоставить вредоносные интерфейсы и повлиять на безопасность пользователей. 3.6 Обзор уровня интернет-провайдера: интернет-провайдеры или страны могут получить доступ к Ethereum через блокировку трафика, DNS-фильтрацию и т. д. 4. Протокол консенсуса Протокол консенсуса Ethereum стабилен, но долгосрочные риски необходимо улучшить, чтобы повысить устойчивость. 4.1 Уязвимость консенсуса и риск восстановления: Пограничные случаи (такие как расхождение валидаторов или разделение сети) могут привести к стагнации консенсуса или потере средств валидаторов. 4.2 Многообразие клиентов: Многообразие клиентов защищает сеть, но скорость принятия небольшого числа клиентов низка и нуждается в дальнейшем улучшении. 4.3 Концентрация стейкинга и доминирование пула: Концентрация ликвидных стейкинговых соглашений и крупных операторов может привести к рискам захвата или гомогенизации управления. 4.4 Неопределенные пробелы в социальном сокращении и координации: Отсутствует четкий механизм борьбы со злонамеренными валидаторами, а процесс социального сокращения еще не созрел. 4.5 Векторы экономических атак и атак по теории игр: экономические атаки, такие как атаки на истощение, стратегические выходы и манипуляции с MEV, не были полностью изучены. 4.6 Квантовый риск: Квантовые вычисления могут взломать существующую технологию шифрования, поэтому схемы квантового сопротивления должны быть разработаны заранее. 5. Мониторинг, реагирование на инциденты и смягчение последствий Уязвимости системы безопасности нуждаются в эффективном мониторинге и реагировании на них, но существующие проблемы ограничивают эффективность. Обращение к пострадавшим командам: Трудно связаться с пострадавшими командами, что задерживает восстановление финансирования. Обостряющаяся проблема: трудности в межорганизационной координации и отсутствие предварительного контакта. Координация реагирования: Совместная работа нескольких команд может привести к путанице и снижению эффективности. Недостаточные возможности мониторинга: мониторинг в цепочке и вне сети недостаточен, что затрудняет раннее предупреждение. Доступ к страхованию: В криптовалютной экосистеме отсутствуют традиционные варианты страхования, что затрудняет снижение потерь. 6. Социальный слой и управление Сообщество и управление Ethereum сталкиваются с долгосрочными рисками, которые влияют на общую безопасность. 6.1 Централизация стейкинга: Большое количество концентраций стейкинга может привести к захвату управления, что повлияет на форки или проверку транзакций. 6.2 Концентрация активов вне сети: держатели активов вне сети...