Microsoft lance un groupe de travail sur la sécurité des contrats intelligents

Microsoft lance un groupe de travail sur la sécurité des contrats intelligents

Advertisement

Microsoft lance un groupe de travail sur la sécurité des contrats intelligents

Microsoft lance un groupe de travail sur la sécurité des contrats intelligents

Microsoft a révélé qu'il organise un groupe de travail dédié à l'amélioration de la sécurité des contrats intelligents.

Nommé «Kinakuta», le groupe vise à faciliter le partage d'informations et de conseils sur les contrats intelligents par l'industrie, terme qui renvoie plus ou moins à un code auto-exécutable basé sur la chaîne de blocs.

Même si les opérateurs historiques se montrent de plus en plus intéressés par l'idée que les blockchains pourraient automatiser des transactions complexes, les inquiétudes concernant ce cas d'utilisation se sont amplifiées après une vulnérabilité qui a conduit à l'effondrement de la première implémentation à grande échelle de la technologie.

Depuis lors, on s'est de plus en plus rendu compte que les contrats intelligents sont nouveaux et peuvent parfois être dangereux s'ils ne sont pas utilisés correctement.

Cependant, le directeur du développement des affaires et de la stratégie de Microsoft, Marley Gray, croit que l'information ouverte et de nouveaux outils pourraient aider les développeurs à éviter les erreurs futures.

Gray a déclaré à CoinDesk:

«Nous pensons qu'il y a une grande opportunité ici d'impliquer la communauté Kinakuta est la communauté qui construit autour des meilleures pratiques de Microsoft et ailleurs, pour collecter les meilleures pratiques et les outils et impliquer les développeurs dans la création de ces meilleures pratiques.

En compagnie d'Andrew Keys, responsable du développement des affaires mondiales chez Consensys, Gray a indiqué qu'il a rédigé une liste de 35 développeurs et entreprises que Microsoft souhaite voir dans le groupe. Ceux-ci comprennent des organisations comme la Fondation Ethereum, qui supervise le développement de la chaîne d'éthereum; R3CEV, un consortium bancaire axé sur la blockchain; et démarrage BlockApps.

L'annonce officielle fait suite à des nouvelles plus tôt ce mois-ci que Microsoft avait écrit un nouveau livre blanc avec des chercheurs de Harvard qui décrit un moyen de prouver si les contrats intelligents éthéréum fonctionnera comme prévu.

Les développeurs peuvent potentiellement utiliser ces ressources pour détecter les problèmes avec leur code.

«Nous voulions explorer la possibilité de rédiger des contrats intelligents dans une langue où, dès le début, vos contrats intelligents seraient sécurisés», a déclaré M. Gray.

Vérification formelle

L'article propose une méthode de «vérification formelle», ou le processus de prouver ou de réfuter l'exactitude d'un logiciel, ou dans ce cas, un contrat intelligent.

Ce document est l'un des derniers d'une série d'outils visant à rendre les contrats intelligents plus sûrs, tels que de nouveaux langages de programmation adaptés aux contrats intelligents. Le livre blanc propose deux outils pour aider à vérifier les contrats intelligents de trois façons.

Le premier est Solidity *, qui traduit un morceau de code Solidity en F *, un langage de programmation qui vérifie si les programmes vont agir comme ils le devraient. Ensuite, il y a EVM *, qui décompile la représentation bytecode EVM d'un contrat intelligent en code source Solidity.

Ce deuxième outil est nécessaire car seulement 396 des 112 802 contrats ont rendu la version Solidity du code disponible sur Etherscan au moment du livre blanc, donc l'utilisation du bytecode est la meilleure option suivante.

Malgré le manque de soutien de Solidity * pour les fonctionnalités complexes de Solidity telles que les boucles, l'équipe a pu traduire 46 des 396 contrats écrits dans Solidity. Après l'exécution de ces 46 contrats via Solidity *, ils ont constaté que seuls quelques-uns de ces contrats étaient «valables».

"C'est un signe clair qu'une analyse à grande échelle d'un contrat publié est susceptible de révéler des vulnérabilités étendues, nous laissons une telle analyse aux travaux futurs", conclut le document.

Cependant, il convient de noter que bien que beaucoup soient enthousiasmés par le développement rapide d'outils axés sur la sécurité des contrats intelligents, un leader de l'industrie pense que les développeurs continueront à faire des erreurs à court terme.

Le créateur de l'Ethereum Vitalik Buterin a écrit qu'il ne pense pas que ces nouveaux domaines de recherche arrêteront nécessairement des situations futures comme The DAO.

"Il y aura d'autres bugs", a déclaré M. Buterin dans un billet de blog éthéréum explorant la future sécurité des contrats intelligents, "et nous allons apprendre d'autres leçons."

Laisser une réponse