Microsoft lancia un gruppo di lavoro sulla sicurezza degli smart contract

Microsoft ha rivelato che sta organizzando un gruppo di lavoro dedicato al miglioramento della sicurezza degli smart contract.

Denominato 'Kinakuta', il gruppo mira a rendere più facile per il settore condividere informazioni e suggerimenti sucontratti intelligenti, il termine cheun po' liberamenteè arrivato a riferirsi al codice autoeseguibile basato su blockchain.

Tuttavia, nonostante gli operatori storici esprimano sempre più interesse nell'idea che le blockchain possano automatizzare transazioni complesse, le preoccupazioni su questo caso d'uso sono aumentate dopo che una vulnerabilità ha portato al fallimento della prima implementazione su larga scala della tecnologia, The DAO.

Da allora, ci si è resi conto sempre più che gli smart contract sono una novità e che a volte possono rivelarsi pericolosi se utilizzati in modo improprio.

Tuttavia, Marley Gray, direttore dello sviluppo aziendale e della strategia di Microsoft, ritiene che informazioni aperte e nuovi strumenti potrebbero aiutare gli sviluppatori a evitare errori futuri.

Gray ha detto a CoinDesk:

"Riteniamo che ci sia un'enorme opportunità qui per coinvolgere la comunità. Kinakuta è la comunità che si sta sviluppando attorno alle best practice di Microsoft e altrove, per raccogliere best practice e strumenti e coinvolgere gli sviluppatori nella creazione di queste best practice."

Insieme ad Andrew Keys, responsabile dello sviluppo aziendale globale presso Consensys, Gray ha affermato di aver stilato una lista di 35 sviluppatori e aziende che Microsoft vorrebbe nel gruppo. Tra queste rientrano organizzazioni come la Ethereum Foundation, che supervisiona lo sviluppo della blockchain Ethereum ; R3CEV, un consorzio bancario focalizzato sulla blockchain; e la startup BlockApps.

L'annuncio ufficiale segue la notizia di inizio mese secondo cui Microsoft aveva scritto un nuovocarta biancacon ricercatori di Harvard che delinea un modo per dimostrare se i contratti intelligenti Ethereum funzioneranno come previsto.

Gli sviluppatori possono potenzialmente utilizzare queste risorse per individuare problemi nel loro codice.

"Volevamo esplorare la possibilità di scrivere potenzialmente contratti intelligenti in un linguaggio in cui i contratti intelligenti sarebbero stati sicuri fin dall'inizio", ha affermato Gray.

Verifica formale

L'articolo propone un metodo di "verifica formale", ovvero il processo di dimostrazione o confutazione della correttezza di un programma software o, in questo caso, di uno smart contract.

Questo documento è ONE degli ultimi di un'ondata di strumenti che cercano di rendere più sicuri gli smart contract, come linguaggi di programmazione completamente nuovi, pensati appositamente per gli smart contract. Il white paper propone due strumenti per aiutare a verificare gli smart contract in tre modi.

Il primo è Solidity*, che traduce un pezzo di codice Solidity in F*, un linguaggio di programmazione che verifica se i programmi agiranno come dovrebbero. Poi c'è EVM*, che decompila la rappresentazione in bytecode EVM di uno smart contract nel codice sorgente Solidity.

Questo secondo strumento è necessario perché solo 396 dei 112.802 contratti hanno reso disponibile la versione Solidity del codice suEteri scansionatial momento del white paper, quindi utilizzare il bytecode è la soluzione migliore.

Nonostante l'attuale mancanza di supporto di Solidity* per le complesse funzionalità di Solidity come i loop, il team è riuscito a tradurre 46 dei 396 contratti scritti in Solidity. Dopo aver eseguito questi 46 contratti tramite Solidity*, hanno scoperto che solo alcuni di questi contratti erano "validi".

"Questo è un chiaro segnale che un'analisi su larga scala dei contratti pubblicati probabilmente porterà alla luce vulnerabilità diffuse; lasciamo tale analisi a lavori futuri", ha concluso il documento.

Tuttavia, vale la pena notare che, mentre molti sono entusiasti del rapido sviluppo di strumenti incentrati sulla sicurezza degli smart contract, ONE leader del settore ritiene che gli sviluppatori continueranno a commettere errori nel NEAR termine.

Il creatore Ethereum Vitalik Buterin ha scritto che T pensa che queste nuove aree di ricerca fermeranno necessariamente situazioni future come The DAO.

"Ci saranno altri bug", ha detto Buterin in un Ethereum post del blog esplorando la sicurezza futura degli smart contract, “e Imparare altre lezioni”.

Ingranaggi coloratitramite Shutterstock