Questo esperto di sicurezza informatica viene pagato per hackerare Ethereum , per il bene della rete

Una giornata tipo per David Theodore, ricercatore in sicurezza presso la Ethereum Foundation, inizia spesso verificando se si sono verificati crash su Ethereum, la più grande blockchain di smart contract al mondo.

Dopodiché, lui e i suoi colleghi si misero a cercare di romperlo da soli.

"Il nostro obiettivo è rompere le cose, si spera, prima che lo faccia qualcun altro, in modo che non ci sia più niente da rompere", ha detto Theodore a CoinDesk in un'intervista.

Questo articolo è presente nell'ultimo numero diIl Protocollo, la nostra newsletter settimanale che esplora la tecnologia alla base Cripto, ONE blocco alla volta. Iscriviti quiper riceverlo nella tua casella di posta ogni mercoledì.

Theodore, 33 anni, è ONE dei circa 10 ingegneri informatici e professionisti della sicurezza informatica del team di ricerca sulla sicurezza della Ethereum Foundation, in base a una presentazione di diapositive di giugno. Si sono presentati come i massimi manutentori (e guardiani) della rete in rapida crescita, vista da alcuni esperti di blockchain come il fondamento di un futuro sistema finanziario globale, digitale e decentralizzato.

La Ethereum Foundation, creata dal famoso fondatore della blockchain, Vitalik Buterin, e istituita per supportare lo sviluppo della rete, vanta una forza lavoro di circa 150 persone, secondo la presentazione in slide. La maggior parte dell'attenzione è rivolta a costanti aggiornamenti della programmazione, iniziative di crescita, sponsorizzazione di conferenze per sviluppatori e fornitura di sovvenzioni.

Quindi questa squadra di ricercatori di sicurezza rappresenta solo una piccola parte delle operazioni complessive della fondazione. Ma in un settore Cripto rinomato per aver lanciato nuovi protocolli e applicazioni che in seguito si rivelano vulnerabili a costosi exploit, il ruolo del team non potrebbe essere più cruciale: gli hacker sono sempre alla ricerca di nuovi punti di attacco e un singolo errore potrebbe causare un colpo devastante alla reputazione di una blockchain come luogo sicuro in cui effettuare transazioni.

"Sempre confuso"

I membri del team provengono da un'ampia gamma di background e specializzazioni: molti di loro hanno lauree in informatica, ma hanno esperienza nella risposta agli exploit, negli attacchi ai sistemi distribuiti e nell'applicazione della crittografia.

ONE delle tecniche che il team di sicurezza implementa per proteggere la blockchain è “sfumatura,” un termine preso in prestito dal settore dello sviluppo software che è diventato un modo comune per verificare che un sistema sia sicuro e resiliente.

Tradotto nel contesto del lavoro su Ethereum, i membri del team di sicurezza inseriscono input non validi nei nodi di rete per rivelare bug o vulnerabilità nel software. Lo scopo del fuzzing è vedere se ci sono reazioni negative al sistema.

"Stiamo sempre fuzzing. Abbiamo grandi supercomputer che stanno fuzzing tutto il tempo", ha detto Theodore a CoinDesk. "Stanno fuzzing tutto, mentre lavori, mentre dormi".

La vita di un ricercatore sulla sicurezza Ethereum

Nel Cripto 24/7, una giornata nella vita di Theodore LOOKS sempre un BIT' diversa.

"Se vedi panici o errori di qualsiasi tipo, qualsiasi cosa che LOOKS a un fallimento", dice, "vai a guardarli e dici: 'Questo è un problema dovuto al mio fuzzer o è un problema che un aggressore potrebbe creare?'"

Di base ad Austin, in Texas, Theodore a volte porta il suo ufficio in viaggio, a bordo di un camper Airstream con un ufficio dedicato che gli consente di KEEP a lavorare anche quando è parcheggiato in luoghi remoti.

L'ufficio portatile contiene due grandi monitor e si collega al mondo esterno tramite il servizio Internet satellitare Starlink di ELON Musk. Lo spazio è abbastanza grande da ospitare comodamente due persone e un cane, dice Theodore.

Verso la fine del 2022, l'Airstream fungeva da base, parcheggiata a Granby, in Colorado, all'ombra del Parco Nazionale delle Montagne Rocciose, mentre gli sviluppatori Ethereum stavano spingendo verso una pietra miliare nota come "Unisci” – quando il progetto è passato a un sistema più efficiente dal punto di vista energetico “prova di partecipazione"rete dal"prova di lavoro"sistema utilizzato da Bitcoin, la blockchain originale.

"Siamo stati lì per un mese prima del Merge", ha ricordato Theodore. Era una posizione comoda, dato che poteva facilmente recarsi a Boulder, Colorado, per incontrare altri membri del team Ethereum Foundation e assistere allo storico evento.

Theodore ha studiato ingegneria elettrica all'Università del Texas ad Arlington, ma dopo la laurea ha puntato sulla sicurezza informatica. Ha trascorso la prima parte della sua carriera nell'unità di sicurezza informatica offensiva presso Raytheon, prima di passare alla società di data forensics SkySafe e poi al gigante della tecnologia Google nel 2020.

Si è unito alla Ethereum Foundation nel 2021 dopo aver appreso che l'organizzazione stava formando un team di sicurezza. Inizialmente, il suo ruolo era quello di ricercare come proteggere la blockchain durante la transizione alla proof-of-stake.

Da allora, il compito si è evoluto fino a comprendere il compito più ampio di preservare l'integrità della rete.

"Volevano creare un team specializzato in questo genere di cose, i dettagli di come gli stati nazionali finanziano queste operazioni informatiche e come le gestiscono", ha detto Theodore a CoinDesk. La fondazione ha reclutato membri che potessero "applicare quella metodologia qui e rimanere un passo avanti e cercare di rendere Ethereum robusto".

A giugno, Theodore ha tenuto una presentazione sul team di ricerca sulla sicurezza Ethereum Foundation a un gruppo di sviluppatori Cripto di Austin, elencando le responsabilità tra cui "sicurezza generale dell'hardfork", "integrità della beaconchain", programmi bug bounty, "coordinamento della sicurezza del cliente" e "difesa della diversità del cliente".

"Il nostro team ha trovato bug in ogni client CL ed EL e altro ancora", secondo ONE delle slide della presentazione. "CL" sta per strato di consenso di Ethereum, dove i validatori della blockchain sono ospitati e verificati, e "EL" sta per strato di esecuzione della blockchain, dove le transazioni vengono completate e lo stato della blockchain viene registrato e gestito.

Il suo lavoro è piuttosto insolito rispetto ad altri responsabili della sicurezza informatica, afferma, in parte perché l'organizzazione aderisce a una struttura di gestione più orizzontale e anche perché il lavoro può essere svolto praticamente ovunque.

Ethereum, rinomato per i suoi "contratti intelligenti" che consentono la programmabilità e l'hosting di applicazioni decentralizzate, si è espanso rapidamente, soprattutto ora che funge da hub di conferma e regolamento, il "livello 1" o "L1", per una serie di blockchain di "livello 2" che funzionano al di sopra di esso, come ARBITRUM, Optimism e la nuova blockchain Base dell'exchange di Cripto Coinbase.

E man mano che aumenta il valore della rete, Theodore ritiene che l’incarico di sicurezza del team diventerà sempre più importante.

La capitalizzazione di mercato totale dei token ether nativi (ETH) di Ethereum ammonta attualmente a circa 212 miliardi di dollari.

"Penso che siamo critici", ha condiviso Theodore. "Il massimo che è sinonimo di sicurezza, se si parla di spazio di blocco, è l' Ethereum L1".