Para cada problema que os contratos inteligentes (smart contracts, no termo em inglês) resolvem, parece que um novo é encontrado. Recentemente, uma empresa de auditoria de código revelou a prevalência de bugs (erros/defeitos) em contratos inteligentes. A empresa de segurança Hosho, que criou uma nova parceria com os gerentes da comunidade Amazix, descobriu que um em cada quatro projetos contém vulnerabilidades críticas.
US$1 bilhão é o valor arrecadado pelos projetos cujos contratos inteligentes foram auditados pela Hosho. A empresa de segurança afirma ter auditado mais contratos inteligentes do que qualquer outro participante do setor fez até hoje. Apesar dos recursos humanos e financeiros significativos à sua disposição, muitos desses projetos teriam sido prejudicados se tivessem negligenciado seu código minuciosamente examinado. 25% dos projetos auditados pela Hosho demonstraram bugs críticos e cerca de 60% de todos os projetos que a empresa analisou tiveram pelo menos um problema de segurança.
Segundo o artigo publicado pela agência de notícias Bitcoin.com, o Ethereum, a plataforma de lançamento da maioria dos smarts contracts e ofertas iniciais de moedas (ICOs, na sigla em inglês), foi o mais afetado, com histórias repletas de exploração de código que levaram centenas ou milhões de dólares a serem roubados ou trancados. Enquanto plataformas de contratos inteligentes, como a Stratis, estão aumentando a disponibilidade de pacotes de implantação de depuração e descompiladores profissionais que vêm com o uso do C #, o sistema Turing-complete do Ethereum deixa uma margem maior para erros. Identificar e eliminar todas as possíveis brechas de segurança é uma tarefa difícil.. Contar com o apoio de uma terceira parte especializada em auditorias de contratos inteligentes, embora não seja infalível, pode ser uma interessante aposta contra o envio de código preenchido com bugs.
Teste de contrato inteligente como um serviço
Embora seja uma prática da indústria ter contratos inteligentes auditados antes de um “tokensale”, os projetos que ainda precisam levantar fundos podem ser tentados a reduzir custos e economizar nessa tarefa. Fazer isso pode ser fatal, no entanto, com os piores bugs que levam com que as carteiras sejam roubadas, por exemplo. Vários projetos baseados no Ethereum foram forçados a realizar trocas de token após estragar sua primeira tentativa de um contrato inteligente.
Na plataforma da EOS esta semana, todas as energias concentraram-se em consertar uma exploração do RAM que foi detectada recentemente. Ela permite que um usuário mal-intencionado “instale o código em sua conta, o que permitirá inserir linhas no nome de outra conta que esteja enviando tokens. Isso permite que eles bloqueiem o RAM inserindo grandes quantidades de lixo em linhas quando os dapps / usuários enviam os tokens”.
A Amazix, empresa proeminente de gestão e consultoria comunitária dentro da economia de tokens, firmou uma parceria com a Hosho para oferecer aos seus clientes uma auditoria inteligente de contratos.
“Na ausência de padrões da indústria, vemos a auditoria inteligente de contratos e testes de penetração como componentes essenciais para a boa segurança de sistemas blockchain”, disse o CMO da Amazix Kenneth Berthelsen. “Em nossa opinião, não há pessoas mais qualificadas para fazer isso do que os engenheiros da Hosho.”
Os proponentes das criptomoedas vêem os contratos inteligentes eventualmente se infiltrando em tudo, desde seguro até resolução de disputas. Antes que isso aconteça, desenvolver a confiança no código que os governa será crucial.
