Код с дырами: почему даже гениальные смарт-контракты взрываются — ошибки, которые не замечают

Представьте мир, где блокчейн хранит триллионы долларов, а ошибка в пару строк кода стирает состояния тысяч людей. Ethereum Foundation опубликовала первый отчет в рамках инициативы Trillion Dollar Security, и выводы тревожные: даже при капитализации экосистемы в $600+ млрд, сеть уязвима к атакам, человеческим ошибкам и даже… квантовым компьютерам.

Пользователи в опасности: почему кошельки — слабое звено

Главная проблема Ethereum — человеческий фактор. Большинство взломов происходит не из-за багов в блокчейне, а из-за невнимательности или незнания:

Сид-фразы в облаке. Люди хранят их в заметках или мессенджерах, а злоумышленники легко находят эти данные.

Слепая подпись транзакций. Кошельки часто показывают непонятные данные, и пользователи, не разобравшись, подтверждают мошеннические операции.

Бессрочные разрешения в DeFi. Дав доступ смарт-контракту год назад, можно неожиданно лишиться всех токенов — хакеры этим активно пользуются.

"Безопасность начинается с интерфейса. Если пользователь не понимает, что подписывает, — это провал системы", — говорится в отчете.

Смарт-контракты: где скрыты "бомбы замедленного действия"?

Даже проверенный код может стать угрозой. Основные риски:

Обновляемые контракты. Злоумышленники могут внедрить вредоносный код после релиза.
Re-entrancy атаки. Классическая уязвимость, как в случае с взломом DAO ($60 млн убытка).
ИИ-генерация кода. ChatGPT и аналоги иногда создают код с фатальными ошибками.

Инфраструктура: если отключат AWS — Ethereum "упадет"?

Блокчейн называют децентрализованным, но он зависит от централизованных сервисов:

RPC-узлы (MetaMask использует Infura).
L2-решения (Arbitrum, Optimism) полагаются на "советы безопасности", которые могут цензурировать транзакции.
Облачные провайдеры (AWS, CloudFlare). Их отказ = остановка части сети.