Фонд Ethereum опублікував перший звіт про «план безпеки на один трильйон доларів»: аналіз смартконтрактів, інфраструктури та хмарної безпеки... шість основних екосистемних викликів
Вчора Ethereum Foundation офіційно опублікував перший звіт «Плану безпеки на один трильйон доларів США» «Огляд проблем безпеки» через платформу X, що охоплює шість аспектів: користувацький досвід, смарт-контракти, інфраструктура та хмарна безпека, протокол консенсусу, моніторинг, реагування на інциденти та пом'якшення наслідків, а також соціальний рівень та управління. (Синопсис: нова пропозиція Ethereum: модульна архітектура + покращення конфіденційності для відповідності специфікації даних EU GDPR, які особливості? (Довідкове доповнення: Віталік випалив "Однорічний план Великого стрибка Ethereum": пропускна здатність збільшиться в 10 разів після розширення L1) Минулого місяця Ethereum Foundation оголосив про запуск ініціативи «Trillion Dollar Security (1TS)», яка спрямована на те, щоб Ethereum міг підтримувати мільярди користувачів для безпечного зберігання активів у ланцюжку на суму понад 1 трильйон доларів, а також надавати підприємствам, установам та урядам впевненість у зберіганні та транзакціях більше 1 в одному смарт-контракті або додатку Вартість трильйонів доларів підштовхнула Ethereum до того, щоб стати «інфраструктурою цивілізаційного рівня» світової економіки. Буквально вчора (10 число) Ethereum Foundation офіційно випустив перший звіт проекту «Огляд проблем безпеки» через платформу X. У звіті розглядаються шість ключових проблем безпеки для екосистеми Ethereum і закладається основа для вирішення наступних пріоритетних питань. Випуск звіту знаменує собою важливий крок у прагненні Ethereum до більш високих стандартів безпеки. 0. Минулого місяця ми оголосили про ініціативу Triillion Dollar Security (1TS) – зусилля всієї екосистеми щодо підвищення безпеки Ethereum. Сьогодні ми випускаємо перший звіт 1TS: огляд існуючих проблем безпеки в екосистемі Ethereum. pic.twitter.com/R1dhY34pDT — Ethereum Foundation (@ethereumfndn) 10 червня 2025 р. Детальний аналіз шести викликів безпеці Ethereum Згідно зі звітом «Огляд існуючих проблем безпеки в екосистемі Ethereum», Ethereum Foundation співпрацює з користувачами, розробниками та На основі детального зворотного зв'язку від експертів з безпеки та установ було визначено виклики в наступних шести ключових сферах: 1. Користувацький досвід (UX) Інтерфейс, з яким користувачі взаємодіють з Ethereum, є основним джерелом проблем із безпекою, і одна помилка через атомарність (незворотність) транзакцій може завдати значної шкоди. 1.1 Керування приватними ключами: користувачам важко безпечно керувати приватними ключами, мнемоніка програмних гаманців легко зберігається ненадійно, а апаратні гаманці піддаються ризику втрати, пошкодження або атак на ланцюжок поставок. У зв'язку зі змінами персоналу та відповідністю вимог корпоративних користувачів, управління закритими ключами стає більш складним. 1.2 Сліпе підписання та невизначеність транзакцій: користувачі часто сліпо схвалюють транзакції, оскільки їхні гаманці відображають невідомі дані та вразливі до шкідливих контрактів, фішингу, шахрайства або зовнішніх атак. 1.3 Затвердження та керування дозволами: Гаманець має необмежену кількість схвалень і не має терміну дії за замовчуванням, а також не має функцій керування дозволами, що збільшує ризик того, що у шкідливих програм закінчаться кошти. 1.4 Атакований веб-інтерфейс: веб-інтерфейс вразливий до викрадення DNS, зловмисної ін'єкції JavaScript тощо, що спонукає користувачів до шкідливих контрактів або підписує оманливі транзакції. 1.5 Конфіденційність: Слабкий захист конфіденційності наражає користувачів на ризик фішингу, шахрайства або фізичних атак. Інституційні користувачі потребують посиленого захисту конфіденційності у зв'язку з відповідністю вимогам або потребами бізнесу. 1.6 Фрагментація: Різним гаманцям не вистачає послідовності у відображенні транзакцій, обробці схвалень тощо, що збільшує складність навчання користувачів та ризики безпеки. 2. Безпека смарт-контрактів Смарт-контракти є основною поверхнею атак через прозорість, і, незважаючи на прогрес у аудиті та інструментах, все ще існують вразливості та проблеми з розробкою. 2.1 Вразливості контрактів: включаючи ризики оновлення, атаки повторного входу, неаудовані компоненти, збої контролю доступу, складність крос-чейн протоколів і нові ризики генерації коду штучного інтелекту. 2.2 Досвід розробника, інструменти та мови програмування: Інструменти не мають пресетів безпеки, нерівномірного покриття тестів, низького рівня формального прийняття верифікації, дефектів компілятора та мовних обмежень, що ускладнює розгортання безпечних контрактів. 2.3 Оцінка ризиків у ланцюжку коду: Існуючу систему оцінки ризиків важко застосувати до смарт-контрактів, і інституційним користувачам важко керувати ризиками через припущення, що код може бути змінений і централізований. 3. Інфраструктура та хмарна безпека Інфраструктура, залежна від Ethereum (наприклад, L2-ланцюги, RPC, хмарні сервіси) є поверхнею атаки, а централізація збільшує ризик збоїв і цензури. 3.1 Ланцюжок другого рівня: подолання складності активів L2, доведення системних помилок і ризики змови з боку комітету з безпеки можуть призвести до втрати коштів або заморожування активів. 3.2 RPC та інфраструктура вузлів: Покладаючись на невелику кількість RPC та хмарних провайдерів, вони можуть блокувати доступ користувачів, якщо вони перебувають в автономному режимі або під цензурою. 3.3 Вразливості на рівні DNS: викрадення DNS, захоплення доменного імені та фішинг подібних доменних імен загрожують безпеці доступу користувачів. 3.4 Ланцюжок поставок програмного забезпечення та бібліотеки: Бібліотеки з відкритим вихідним кодом вразливі до ін'єкції шкідливих пакетів або викрадення залежностей, а також є векторами атак. 3.5 Front-end служби доставки та пов'язані з ними ризики: Якщо CDN та хмарні хостингові платформи зазнають атаки, вони можуть надавати шкідливі інтерфейси та впливати на безпеку користувачів. 3.6 Огляд рівня інтернет-провайдера: Інтернет-провайдери або країни можуть отримати доступ до Ethereum за допомогою блокування трафіку, фільтрації DNS тощо. 4. Протокол консенсусу Протокол консенсусу Ethereum стабільний, але для покращення опору необхідно покращити довгострокові ризики. 4.1 Уразливість консенсусу та ризик відновлення: Крайові випадки (такі як розбіжність валідатора або розбиття мережі) можуть призвести до стагнації консенсусу або втрати коштів валідатора. 4.2 Різноманітність клієнтів: Різноманітність клієнтів захищає мережу, але рівень прийняття невеликої кількості клієнтів низький і потребує подальшого вдосконалення. 4.3 Концентрація стейкінгу та домінування пулу: Концентрація угод про ліквідний стейкінг та великих операторів може призвести до ризиків захоплення або гомогенізації управління. 4.4 Невизначені прогалини в соціальній редукції та координації: Бракує чіткого механізму боротьби зі зловмисниками валідаторів, а процес соціального скорочення ще не є зрілим. 4.5 Вектори атак в економічній теорії та теорії ігор: економічні атаки, такі як атаки на виснаження, стратегічні виходи та маніпуляції MEV, не були повністю вивчені. 4.6 Квантовий ризик: Квантові обчислення можуть зламати існуючу технологію шифрування, тому схеми квантового опору повинні бути розроблені заздалегідь. 5. Моніторинг, реагування на інциденти та пом'якшення наслідків Вразливості безпеки потребують ефективного моніторингу та реагування на них, але існуючі проблеми обмежують ефективність. Контактні команди, яких це стосується: важко зв'язатися з атакованими командами, що призводить до затримки відновлення фінансування. Ескалація проблеми: труднощі з міжорганізаційною координацією та відсутність попереднього контакту. Координація реагування: Співпраця в кількох командах може призвести до плутанини та знизити ефективність. Недостатні можливості моніторингу: Моніторинг у мережі та поза мережею є недостатнім, що ускладнює раннє попередження. Доступ до страхування: У криптоекосистемі відсутні традиційні варіанти страхування, що ускладнює пом'якшення збитків. 6. Соціальний рівень і управління Спільнота та управління Ethereum стикаються з довгостроковими ризиками, які впливають на загальну безпеку. 6.1 Централізація стейкінгу: Велика кількість концентрацій стейкінгу може призвести до захоплення управління, що вплине на форки або перегляд транзакцій. 6.2 Концентрація активів поза ланцюгом: власники активів поза ланцюгом...
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Фонд Ethereum опублікував перший звіт про «план безпеки на один трильйон доларів»: аналіз смартконтрактів, інфраструктури та хмарної безпеки... шість основних екосистемних викликів
Вчора Ethereum Foundation офіційно опублікував перший звіт «Плану безпеки на один трильйон доларів США» «Огляд проблем безпеки» через платформу X, що охоплює шість аспектів: користувацький досвід, смарт-контракти, інфраструктура та хмарна безпека, протокол консенсусу, моніторинг, реагування на інциденти та пом'якшення наслідків, а також соціальний рівень та управління. (Синопсис: нова пропозиція Ethereum: модульна архітектура + покращення конфіденційності для відповідності специфікації даних EU GDPR, які особливості? (Довідкове доповнення: Віталік випалив "Однорічний план Великого стрибка Ethereum": пропускна здатність збільшиться в 10 разів після розширення L1) Минулого місяця Ethereum Foundation оголосив про запуск ініціативи «Trillion Dollar Security (1TS)», яка спрямована на те, щоб Ethereum міг підтримувати мільярди користувачів для безпечного зберігання активів у ланцюжку на суму понад 1 трильйон доларів, а також надавати підприємствам, установам та урядам впевненість у зберіганні та транзакціях більше 1 в одному смарт-контракті або додатку Вартість трильйонів доларів підштовхнула Ethereum до того, щоб стати «інфраструктурою цивілізаційного рівня» світової економіки. Буквально вчора (10 число) Ethereum Foundation офіційно випустив перший звіт проекту «Огляд проблем безпеки» через платформу X. У звіті розглядаються шість ключових проблем безпеки для екосистеми Ethereum і закладається основа для вирішення наступних пріоритетних питань. Випуск звіту знаменує собою важливий крок у прагненні Ethereum до більш високих стандартів безпеки. 0. Минулого місяця ми оголосили про ініціативу Triillion Dollar Security (1TS) – зусилля всієї екосистеми щодо підвищення безпеки Ethereum. Сьогодні ми випускаємо перший звіт 1TS: огляд існуючих проблем безпеки в екосистемі Ethereum. pic.twitter.com/R1dhY34pDT — Ethereum Foundation (@ethereumfndn) 10 червня 2025 р. Детальний аналіз шести викликів безпеці Ethereum Згідно зі звітом «Огляд існуючих проблем безпеки в екосистемі Ethereum», Ethereum Foundation співпрацює з користувачами, розробниками та На основі детального зворотного зв'язку від експертів з безпеки та установ було визначено виклики в наступних шести ключових сферах: 1. Користувацький досвід (UX) Інтерфейс, з яким користувачі взаємодіють з Ethereum, є основним джерелом проблем із безпекою, і одна помилка через атомарність (незворотність) транзакцій може завдати значної шкоди. 1.1 Керування приватними ключами: користувачам важко безпечно керувати приватними ключами, мнемоніка програмних гаманців легко зберігається ненадійно, а апаратні гаманці піддаються ризику втрати, пошкодження або атак на ланцюжок поставок. У зв'язку зі змінами персоналу та відповідністю вимог корпоративних користувачів, управління закритими ключами стає більш складним. 1.2 Сліпе підписання та невизначеність транзакцій: користувачі часто сліпо схвалюють транзакції, оскільки їхні гаманці відображають невідомі дані та вразливі до шкідливих контрактів, фішингу, шахрайства або зовнішніх атак. 1.3 Затвердження та керування дозволами: Гаманець має необмежену кількість схвалень і не має терміну дії за замовчуванням, а також не має функцій керування дозволами, що збільшує ризик того, що у шкідливих програм закінчаться кошти. 1.4 Атакований веб-інтерфейс: веб-інтерфейс вразливий до викрадення DNS, зловмисної ін'єкції JavaScript тощо, що спонукає користувачів до шкідливих контрактів або підписує оманливі транзакції. 1.5 Конфіденційність: Слабкий захист конфіденційності наражає користувачів на ризик фішингу, шахрайства або фізичних атак. Інституційні користувачі потребують посиленого захисту конфіденційності у зв'язку з відповідністю вимогам або потребами бізнесу. 1.6 Фрагментація: Різним гаманцям не вистачає послідовності у відображенні транзакцій, обробці схвалень тощо, що збільшує складність навчання користувачів та ризики безпеки. 2. Безпека смарт-контрактів Смарт-контракти є основною поверхнею атак через прозорість, і, незважаючи на прогрес у аудиті та інструментах, все ще існують вразливості та проблеми з розробкою. 2.1 Вразливості контрактів: включаючи ризики оновлення, атаки повторного входу, неаудовані компоненти, збої контролю доступу, складність крос-чейн протоколів і нові ризики генерації коду штучного інтелекту. 2.2 Досвід розробника, інструменти та мови програмування: Інструменти не мають пресетів безпеки, нерівномірного покриття тестів, низького рівня формального прийняття верифікації, дефектів компілятора та мовних обмежень, що ускладнює розгортання безпечних контрактів. 2.3 Оцінка ризиків у ланцюжку коду: Існуючу систему оцінки ризиків важко застосувати до смарт-контрактів, і інституційним користувачам важко керувати ризиками через припущення, що код може бути змінений і централізований. 3. Інфраструктура та хмарна безпека Інфраструктура, залежна від Ethereum (наприклад, L2-ланцюги, RPC, хмарні сервіси) є поверхнею атаки, а централізація збільшує ризик збоїв і цензури. 3.1 Ланцюжок другого рівня: подолання складності активів L2, доведення системних помилок і ризики змови з боку комітету з безпеки можуть призвести до втрати коштів або заморожування активів. 3.2 RPC та інфраструктура вузлів: Покладаючись на невелику кількість RPC та хмарних провайдерів, вони можуть блокувати доступ користувачів, якщо вони перебувають в автономному режимі або під цензурою. 3.3 Вразливості на рівні DNS: викрадення DNS, захоплення доменного імені та фішинг подібних доменних імен загрожують безпеці доступу користувачів. 3.4 Ланцюжок поставок програмного забезпечення та бібліотеки: Бібліотеки з відкритим вихідним кодом вразливі до ін'єкції шкідливих пакетів або викрадення залежностей, а також є векторами атак. 3.5 Front-end служби доставки та пов'язані з ними ризики: Якщо CDN та хмарні хостингові платформи зазнають атаки, вони можуть надавати шкідливі інтерфейси та впливати на безпеку користувачів. 3.6 Огляд рівня інтернет-провайдера: Інтернет-провайдери або країни можуть отримати доступ до Ethereum за допомогою блокування трафіку, фільтрації DNS тощо. 4. Протокол консенсусу Протокол консенсусу Ethereum стабільний, але для покращення опору необхідно покращити довгострокові ризики. 4.1 Уразливість консенсусу та ризик відновлення: Крайові випадки (такі як розбіжність валідатора або розбиття мережі) можуть призвести до стагнації консенсусу або втрати коштів валідатора. 4.2 Різноманітність клієнтів: Різноманітність клієнтів захищає мережу, але рівень прийняття невеликої кількості клієнтів низький і потребує подальшого вдосконалення. 4.3 Концентрація стейкінгу та домінування пулу: Концентрація угод про ліквідний стейкінг та великих операторів може призвести до ризиків захоплення або гомогенізації управління. 4.4 Невизначені прогалини в соціальній редукції та координації: Бракує чіткого механізму боротьби зі зловмисниками валідаторів, а процес соціального скорочення ще не є зрілим. 4.5 Вектори атак в економічній теорії та теорії ігор: економічні атаки, такі як атаки на виснаження, стратегічні виходи та маніпуляції MEV, не були повністю вивчені. 4.6 Квантовий ризик: Квантові обчислення можуть зламати існуючу технологію шифрування, тому схеми квантового опору повинні бути розроблені заздалегідь. 5. Моніторинг, реагування на інциденти та пом'якшення наслідків Вразливості безпеки потребують ефективного моніторингу та реагування на них, але існуючі проблеми обмежують ефективність. Контактні команди, яких це стосується: важко зв'язатися з атакованими командами, що призводить до затримки відновлення фінансування. Ескалація проблеми: труднощі з міжорганізаційною координацією та відсутність попереднього контакту. Координація реагування: Співпраця в кількох командах може призвести до плутанини та знизити ефективність. Недостатні можливості моніторингу: Моніторинг у мережі та поза мережею є недостатнім, що ускладнює раннє попередження. Доступ до страхування: У криптоекосистемі відсутні традиційні варіанти страхування, що ускладнює пом'якшення збитків. 6. Соціальний рівень і управління Спільнота та управління Ethereum стикаються з довгостроковими ризиками, які впливають на загальну безпеку. 6.1 Централізація стейкінгу: Велика кількість концентрацій стейкінгу може призвести до захоплення управління, що вплине на форки або перегляд транзакцій. 6.2 Концентрація активів поза ланцюгом: власники активів поза ланцюгом...