Displaying items by tag: Смартконтракты

2 апреля 2024 года в журнале Информационная безопасность (в разделе Технологии) были опубликованы материалы круглого стола, в котором принял участие Александра Подобных, главы департамента расследований BitOK, руководителя Санкт-Петербургского РО АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебный эксперт, на тему — Блокчейн в России: взгляд сквозь призму практики.

Кажется, мы стали забывать, что блокчейн как технология обладает многогранным потенциалом и выходит далеко за рамки криптовалют. Практические российские проекты в этой сфере имеют свои особенности, учитывающие не только специфику предметной области и требования законодательства, но и опыт криптовалютных реализаций блокчейна, как позитивный, так и негативный. Эксперты с практическим опытом в области блокчейнов ответили на вопросы журнала «Информационная безопасность».

Участники:

Артем Калихов, генеральный директор Web3 Tech

Владимир Лазарев, со-основатель АМЛ Крипто

Александр Подобных, глава департамента расследований BitOK

Михаил Чеканов, генеральный директор АО «Промышленные криптосистемы»

Востребованы ли в России решения на основе блокчейнов, но не связанные с криптовалютами и цифровыми финансовыми активами?

Михаил Чеканов, Промышленные криптосистемы:

Безусловно, востребованы. На российском рынке представлены разные отраслевые решения, работающие на технологии распределенного реестра. Пример – наша платформа "Контрактиум" для управления цепочками поставок на базе цифровых контрактов с возможностью подключения финансовых и логистических сервисов.

Самым знаковым проектом для нас стала платформа Smart Fuel, спроектированная и разработанная в интересах компании "Газпром нефть". Решение переводит в цифру все операции, связанные с заправкой самолетов, от согласования цен и заказов до формирования отчетов в ФНС и взаиморасчетов через традиционную банковскую инфраструктуру.

Владимир Лазарев, АМЛ Крипто:

В России наблюдается высокий интерес к блокчейн-решениям. Технологии распределенного реестра применяются в различных сферах для повышения прозрачности, безопасности и эффективности бизнес-процессов. Особенно перспективными являются проекты, использующие смарт-контракты и NFT для надежного хранения данных и автоматизации действий.

Развитие этих технологий поддерживается как крупными предприятиями, так и государственными структурами, активно исследующими возможности блокчейна для оптимизации своих процессов. Мы в AML Crypto используем блокчейн для записи данных о результате проверки пользователем того или иного блокчейн-адреса. Это позволяет доказать факт должной осмотрительности при работе с внешними контрагентами.

Артем Калихов, Web3 Tech:

Да, востребованы. Ряд наших крупных блокчейн-проектов вообще не связан с ЦФА. Например, цифровая платформа распределенного реестра ФНС эффективно реализует взаимодействие государственных ведомств и финансовых организаций.

Федеральная блокчейн-платформа ДЭГ 2020 г. успешно используется избирателями по всей стране в единые дни голосования. Растет интерес к решениям для реорганизации трансграничных платежей, благодаря блокчейну здесь возможно множество вариантов реализации.

Александр Подобных, BitOK:

Да. Например, сервис ЕДРИД (Единый депозитарий результатов интеллектуальной деятельности), который работает уже более шести лет и позволяет оформить авторское право.

В онлайн-сервисе писатели, программисты, дизайнеры, фотографы, музыканты и ученые могут защитить свое авторское произведение (разместить на хранение электронную версию произведения) и получить документ в виде бумажного авторского свидетельства с несколькими степенями защиты.

В чем основные практические преимущества решений на основе блокчейна по сравнению с традиционной архитектурой?

Артем Калихов, Web3 Tech:

1. Блокчейн обеспечивает неизменность данных за счет своей архитектуры без необходимости дополнительных средств защиты.

2. В отличие от централизованной инфраструктуры, в рамках экосистемных проектов стоимость интеграции новых участников не растет экспоненциально.

3. Будучи распределенной системой, блокчейн обеспечивает отказоустойчивость, недоступную централизованным решениям.

4. Благодаря смарт-контрактам блокчейн позволяет просто автоматизировать различные договорные и транзакционные процессы.

Александр Подобных, BitOK:

1. Надежная защита на уровне криптографии (депонирование в электронном депозитарии подтверждает существование в определенный момент времени произведения при помощи цифровой подписи, электронного штампа времени и хеш-кода депонирования).

2. Быстрый и оптимальный по стоимости способ фиксации объекта прав (первым в мире реализовал способ фиксации времени депонирования авторского произведения в распределенном реестре).

3. Быстрый поиск аналогов по российским и иностранным базам при регистрации объекта авторских прав (и дальнейшая защита в соответствии с российским и международным законодательством).

4. К примеру, регистрация одного произведения заняла у меня один час и стоила 1200 руб. На следующий день уже поступило свидетельство на электронную почту (в Роспатенте рассматривают 2–3 месяца и стоит 25 тыс. руб.).

Михаил Чеканов, Промышленные криптосистемы: 

1. Математически гарантированное доверие к результатам совместной работы без необходимости в централизованном сервисе (базе данных). Традиционный же подход подразумевает наличие посредника, который всегда создает риски для других участников рынка.

2. Затраты на внедрение и сопровождение сопоставимы c традиционными решениями, а возможности развития и скорость реакции на изменения на основе блокчейна – гораздо выше.

3. Катастрофоустойчивость и доступность. Распределенная архитектура обеспечивает бесперебойное обслуживание сделок, главное, чтобы контрагенты были доступны. То есть каждый участник сам обеспечивает нужный ему SLA.

Владимир Лазарев, АМЛ Крипто:

Блокчейн обеспечивает прозрачность за счет неизменяемости записей, доступных всем участникам. Это усиливает безопасность, защищая данные криптографией и снижая риск мошенничества. Снижение затрат достигается за счет автоматизации и исключения посредников. Блокчейн повышает эффективность, ускоряя транзакции и процессы. Децентрализация снижает риски коррупции, увеличивая доверие.

Но важно отметить, что:

- преимущества блокчейна не всегда реализуются автоматически;

- для достижения желаемых результатов требуется тщательное планирование и реализация;

- блокчейн не является универсальным решением и подходит не для всех задач.

Есть ли технологические особенности реализации систем на основе блокчейна в России?

Владимир Лазарев, АМЛ Крипто:

В России реализация блокчейн-систем имеет свои технологические особенности: строгие нормативные требования, необходимость интеграции с устаревшими системами, высокие стандарты кибербезопасности на фоне геополитической ситуации, политика импортозамещения требует отечественных ИТ-разработок.

Ключевыми факторами являются: кадровый дефицит в области блокчейна, ограничения на использование криптовалют, требования к масштабируемости и энергоэффективности, а также необходимость обеспечения конфиденциальности данных. Кроме того, важно учитывать юридические аспекты, связанные с новизной технологии. При тщательном планировании и реализации блокчейн может стать мощным инструментом для развития различных сфер российской экономики.

Артем Калихов, Web3 Tech:

Технологические особенности реализации блокчейн-систем в России связаны в первую очередь с регуляторной политикой в отношении средств криптографии. Для информационных систем здесь предусмотрен список ГОСТов, охватывающий множество направлений – хеширование, контроль целостности и не только.

Этим требованиям пока соответствуют лишь единичные решения на рынке, в том числе наша платформа "Конфидент", имеющая сертификацию средства криптографической защиты информации КС2.

Александр Подобных, BitOK:

Если говорить об операторах выпуска или обмена ЦФА (регулирует деятельность которых Банк России), то, скорее всего, речь будет идти о приватных (частных) блокчейнах. А так как для финансового сектора есть жесткие требования по защите информации, то потребуется и отечественная криптография.

Михаил Чеканов, Промышленные криптосистемы:

Отечественный рынок выдвигает два основных требования:

- обеспечение юридической значимости операций;

- надлежащая защита данных.

Одним из критичных факторов для большинства заказчиков на нашем рынке является поддержка сертифицированных СКЗИ. Это связано с выросшим уровнем угроз ИБ и ужесточением государственного регулирования. В нашем случае эта задача решена путем встраивания сертифицированных средств криптозащиты линейки ViPNet.

Какие технологические возможности стоит учесть в российских системах, с учетом опыта криптовалютных блокчейнов, каких ошибок лучше избежать?

Артем Калихов, Web3 Tech:

Стоит отметить, что в подавляющем большинстве российских проектов используются приватные блокчейны, а не публичные протоколы, применяющиеся для криптовалют. Они обладают другой моделью безопасности. Особое внимание, как правило, стоит уделять безопасности смарт-контрактов, архитектуре блокчейн-решений, криптографии, защищенности и конфиденциальности данных.

Михаил Чеканов, Промышленные криптосистемы:

Лучшее решение – это избегать одноранговых платформ, выросших из криптовалютных блокчейнов. Они плохо интегрируются с реальным ИТ-ландшафтом, инфраструктурой безопасности и здравым смыслом.

Александр Подобных, BitOK:

Многие проекты в нашей стране начинались из открытых проектов или путем создания форков (новых веток). Важно купировать выявленные за это время уязвимости и учитывать наработки сообщества по совершенствованию алгоритмов этих блокчейнов.

Необходимо соблюдать баланс между уровнем децентрализации и анонимностью. Не нужно забывать про формирование единой экосистемы и унификацию блокчейнов и смарт-контрактов, обращать внимание на формирование инновационной культуры и спроса на инновационную деятельность.

Владимир Лазарев, АМЛ Крипто:

При разработке блокчейнсистем в России стоит учесть опыт криптовалютных блокчейнов, особенно в вопросах масштабируемости, конфиденциальности и регулирования. Важно выбирать технологии, обеспечивающие высокую пропускную способность и анонимность транзакций и при этом соответствующие законодательству.

Необходимо обеспечить безопасность и прозрачность, а также гладкую интеграцию с существующими системами, придерживаясь при этом законодательных требований. Для успешной реализации проекта критически важно избегать таких ошибок, как выбор неподходящей платформы, недооценка сложности проектов, пренебрежение безопасностью, неготовность к изменениям и игнорирование регулятивных требований.

Как применение блокчейнов увязывается с текущим законодательством?

Александр Подобных, BitOK:

В сфере ЦФА важны локализация и суверенитет. Так, операторы должны использовать продукты из реестра отечественного ПО, российскую криптографию и иметь лицензию ЦБ РФ. На практике мы видим скорее применение частных (но иностранных) блокчейнов с достаточно надежным шифрованием, соответствующим международным стандартам защищенности.

Если говорить о перспективах развития 115-ФЗ и его оптимизации, то необходимо создание единого оператора по KYC/AML, который будет хранить информацию о клиентах и рисках во внутреннем блокчейне (и предоставлять доступ операторам ЦФА и банкам, для которых процедуры слишком ресурсоемки). На сегодняшний день техническая возможность для этого уже есть.

Артем Калихов, Web3 Tech: 

Формально использование самих блокчейн-технологий в нашей стране не регулируется. Тем не менее требования законодательства затрагивают целый ряд технологий, необходимых для практического применения блокчейна, – криптографические алгоритмы, TLS, PKI, и не только.

Блокчейн-платформам необходима гибкость, в некотором смысле даже модульность, которая позволит подстраиваться под регуляторные политики – как для ИТ-отрасли в целом, так и для отдельных сфер применения, например для финансового сектора.

Михаил Чеканов, Промышленные криптосистемы:

Грамотно спроектированные прикладные решения на базе распределенных реестров хорошо вписываются в действующее законодательство. На данный момент мы не видим каких-либо непреодолимых барьеров. Отдельные нормы можно было бы оптимизировать, но лучшее – враг хорошего.

Например, ФЗ-259 "О ЦФА" зарегулировал рынок цифровых активов до абсурда. До сих пор непонятно, зачем в нем упомянуты распределенные реестры, если все функции привязаны к централизованной информационной системе оператора (обмена) ЦФА. Примерно с таким же успехом можно было бы "завернуть" Интернет в отдельного оператора связи.

Владимир Лазарев, АМЛ Крипто:

Законодательство может стимулировать развитие блокчейн-технологий и их применение. Но в то же время несвоевременные или недоработанные законы замедляют прогресс.

Эффективное внедрение блокчейн-технологий требует гибких регуляторных рамок, создания множества пилотных зон для стимулирования экспериментов в этой области.

Источник: Информационная безопасность

21 сентября 2022 года, вышел в свет 4-й номер журнала "Информационная безопасность". В нём была опубликована статья члена АРСИБ, CISA, эксперта по кибербезопасности инфраструктуры блокчейнов и противодействию мошенничеству в сфере оборота криптовалют, Александра Подобных — Смарт-контракты и вопросы безопасности (в разделе Технологии \ Безопасная разработка).

Сарт-контракт – это приложение, использующее блокчейн и выступающее в качестве цифрового соглашения, подкрепляемого набором правил. Смарт-контракты не являются договорами в юридическом смысле в большинстве юрисдикций, включая российскую. Это всего лишь приложение, удовлетворяющее формальным требованиям и запущенное в распределенной системе блокчейна. Смарт-контракты делают транзакции отслеживаемыми, прозрачными и необратимыми. Результатом выполнения контракта может быть обмен активами между сторонами.

Смарт - контракты имеют обширную область применения не только в финансовом секторе, но и в иных отраслях экономики, и мировой тренд на цифровизацию является одним из основополагающих драйверов развития этого инструмента. Смарт-контракты позволяют создавать протоколы коммуникации, не требующие априорного доверия между сторонами. Участники процесса могут быть уверены, что контракт будет выполнен только при соблюдении всех условий, в нем предусмотренных.

Кроме того, использование смарт-контрактов избавляет от необходимости в посредниках, значительно снижая расходы на проведение операций. Каждый блокчейн может использовать собственный способ реализации смарт-контрактов. Например, в сети Ethereum для написания смарт-контрактов используется язык Solidity.

С точки зрения разработчика, Solidity легко читается практически любым программистом и на первых шагах обманчиво кажется простым. Кроме кода, смарт-контракты содержат два публичных ключа, один из которых предоставлен создателем контракта, а другой является цифровым идентификатором, уникальным для каждого смарт-контракта.

Неизменность смарт-контрактов

Поскольку смарт-контракты работают в рамках неизменяемой децентрализованной блокчейн-сети, их результаты нельзя подделать ради неправомерного извлечения выгоды. Но неизменность является не только достоинством, но и недостатком. Например, в 2016 г. хакеры взломали децентрализованную автономную организацию The DAO и украли эфиры (валюта сети Ethereum) на миллионы долларов, воспользовавшись уязвимостями в коде смарт-контракта. Поскольку смарт-контракт The DAO был неизменным, разработчики не смогли исправить код.

В результате сеть Ethereum приняла решение откатить ситуацию до момента взлома, вернуть средства законным владельцам, и этот форк является частью текущего блокчейна Ethereum. В то время как оригинальная цепочка, получившая название Ethereum Classic, никак не отреагировала на взлом, руководствуясь тем, что события в блокчейне никогда не должны изменяться.

Высокая зависимость от уровня программистов и подверженность багам

Считается, что взлом злоумышленниками качественно написанных смарт-контрактов практически невозможен, а популярные смарт-контракты в индустрии децентрализованных финансов на сегодняшний день являются самым надежным способом хранения документов в цифровом мире. Но код пишется программистами, а из-за того, что смарт-контракт виден всем пользователям блокчейна, в рамках которого он функционирует, его возможные уязвимости будут видны всей сети, притом что устранить их не всегда возможно из-за неизменности. В идеальном мире разработка смарт-контрактов должна осуществляться только опытными программистами, особенно когда речь идет о конфиденциальной информации, персональных данных или больших суммах денег.

Но в реальности очень большой процент ошибок вызван человеческим фактором и уязвимый код является причиной многочисленных рисков. Одна из причин, провоцирующих уязвимости, заключается в сложности проектирования, разработки и тестирования смарт-контрактов. И если для простых смарт-контрактов вероятность ошибки относительно мала, то в сложных смарт-контрактах ошибки встречаются часто. А последствием может быть хищение средств, их заморозка или даже уничтожение смарт-контракта.

Распространенные уязвимости вызваны давно известными чисто программными ошибками.

1. Рекурсивный вызов: смарт-контракт совершает вызов к другому внешнему контракту до того, как изменения были зафиксированы. После этого внешний контракт может рекурсивно взаимодействовать с исходным смарт-контрактом недопустимым способом, так как его баланс еще не обновлен.

2. Целочисленное переполнение: смарт-контракт выполняет арифметическую операцию, но значение превышает емкость хранилища (обычно 18 знаков после запятой). Это может привести к неправильному расчету сумм.

3. Опережение: плохо структурированный код содержит данные о будущих транзакциях, которые могут быть использованы третьими лицами в своих интересах.

Эффективность смарт-контрактов

Оптимизация производительности смарт-контрактов является показателем мастерства разработчика. Некоторые контракты для выполнения своей функции производят сложные серии транзакций, и комиссия за производимые операции становится высокой. Эффективные контракты могут значительно сократить комиссию за транзакции. 

Вопрос комиссии за вычисления в смарт-контрактах тесно связан с безопасностью, ведь ситуация, когда средства навсегда застряли в контракте, с практической точки зрения мало отличается от ситуации, когда их украли.

Виртуальная машина Ethereum

EVM (Ethereum Virtual Machine) – это единый глобальный 256-битный "компьютер", в котором все транзакции хранятся локально на каждом узле сети и исполняются с относительной синхронностью. EVM может выполнять произвольные команды, и в этом кроется его уязвимость: можно подобрать программный код, который приведет к непредвиденным последствиям. Понятно, что уязвимости в EVM могут привести к сбою в работе смарт-контрактов.

Еще одна проблема заключается в том, что можно практическим либо техническим способом подобрать код смарт-контракта, операции которого нагрузят виртуальную машину и замедлят ее непропорционально той комиссии, которая была оплачена за выполнение этих операций. Исследователи борются с такого рода злоупотреблениями, но проблема по прежнему остается актуальной.

Аудит защищенности смарт-контрактов

В качестве ответной меры на возможные риски довольно распространенной услугой стал аудит смарт-контрактов. Аудит безопасности предоставляет подробный анализ смарт-контрактов проекта для защиты вложенных средств. Так как все транзакции в блокчейне являются конечными, вернуть средства в случае кражи невозможно. Единого подхода к аудиту нет, и каждая аудиторская компания выполняет его по своему усмотрению.

Детерминизм исполнения кода смарт-контракта позволяет тестам работать везде, быть крайне простыми в поддержке и делает расследование инцидентов надежным и неоспоримым.

Аудиторы изучают код смарт-контрактов, составляют отчет и предоставляют его команде проекта. Затем выпускается окончательный отчет с подробным описанием всех оставшихся ошибок и работы, проделанной для решения проблем с производительностью и безопасностью. Помимо общих выводов, отчет обычно содержит рекомендации, примеры избыточного кода и полный анализ ошибок кодирования.

Команде проекта дается время, чтобы исправить ошибки, прежде чем будет выпущен окончательный отчет. Большая часть аудита включает проверку контрактов на наличие уязвимостей в системе безопасности. Хотя некоторые проблемы лежат на поверхности, многие ошибки могут быть устранены только с помощью сложных инструментов и стратегий. Например, слабый смарт-контракт может подвергнуться атаке в сочетании с рыночными манипуляциями. Чтобы обнаружить эти проблемы, аудиторы проводят пентесты.

Аудит безопасности смарт-контрактов широко распространен в экосистеме децентрализованных финансов (DeFi). Решение инвестировать в блокчейн-проект может быть частично основано на результатах проверки кода смарт-контракта.

Заключение

Несомненно, смарт-контракты оказали большое влияние на мир криптовалют и, безусловно, произвели революцию в области блокчейн-технологий. Совместный потенциал смарт-контрактов и блокчейна может оказать значительное влияние практически на все сферы жизни общества. Но только время покажет, смогут ли эти инновационные технологии преодолеть барьеры на пути к широкомасштабному внедрению.

Поскольку транзакции блокчейна необратимы, очень важно убедиться в безопасности кода смарт-контрактов. Особенности технологии "блокчейн" затрудняют возврат средств и решение проблем постфактум, поэтому лучше заранее определить потенциальные уязвимости проектов.

Источник: Информационная безопасность