Исследователи определили главные угрозы для экосистемы Ethereum

Команда Ethereum Foundation опубликовала первый отчет в рамках инициативы Trillion Dollar Security. Исследователи выделили шесть ключевых областей, требующих значительных улучшений для обеспечения безопасности сети в будущем.

0. Last month we announced the Trillion Dollar Security (1TS) initiative: an ecosystem-wide effort to upgrade Ethereum’s security.

Today we’re releasing the first 1TS report: an overview of the existing security challenges in the Ethereum ecosystem. pic.twitter.com/R1dhY34pDT

— Ethereum Foundation (@ethereumfndn) June 10, 2025

По словам авторов, текущая экосистема Ethereum уже поддерживает капитал свыше $600 млрд. Однако для достижения амбиций сообщества этого недостаточно. Планка — создать среду, где миллиарды людей смогут комфортно хранить на блокчейне суммы свыше $1000, а компании и институты — доверять отдельным смарт-контрактам активы на триллионы долларов.

В Ethereum анонсировали «безопасность на триллион долларов»

Проблемы пользовательского опыта

Безопасность начинается с интерфейса, с которым взаимодействует пользователь. Основная проблема заключается в том, что вся ответственность ложится на плечи человека. Из-за необратимости транзакций любая ошибка, компрометация ключа или поспешное подтверждение могут привести к потере средств.

Исследователи выделили несколько слабых мест. Пользователи плохо справляются с хранением сид-фраз, записывая их в виде простого текста или сохраняя в облаке. Аппаратные кошельки тоже не решают проблему полностью: их можно потерять, сломать или украсть.

Другая серьезная уязвимость — «слепая подпись» транзакций. Кошельки часто показывают непонятные данные, из-за чего пользователи подтверждают действия, последствий которых не понимают. Это открывает дорогу фишингу и мошенничеству. Также проблемой остаются неограниченные разрешения для DeFi-приложений, которые не имеют срока действия и могут быть использованы для кражи активов даже спустя долгое время.

Безопасность смарт-контрактов

Несмотря на значительный прогресс в этой области, уязвимости в коде остаются серьезной угрозой. Основные риски связаны с возможностью обновления контрактов после их развертывания. Злонамеренное или ошибочное обновление может привести к потере средств пользователей.

К другим проблемам эксперты относят атаки повторного входа (re-entrancy), использование непроверенных внешних библиотек и ошибки в контроле доступа.

По словам исследователей, разработчики не всегда используют безопасные практики по умолчанию, а формальная верификация кода — сложный и дорогой процесс, который применяется редко. В отчете отдельно выделили новый риск — баги, вносимые инструментами для автоматической генерации кода на базе искусственного интеллекта.

Инфраструктура и облачная безопасность

Экосистема Ethereum сильно зависит от централизованных провайдеров. Речь идет как о специфических сервисах вроде RPC-узлов и L2-сетей, так и о традиционных облачных хостингах вроде AWS и CloudFlare.

Сбой или цензура со стороны этих провайдеров может отрезать многих пользователей от доступа к сети. Решения второго уровня также добавляют новые векторы атак, связанные со сложностью мостов, возможными ошибками в системах доказательств и рисками централизации через «советы безопасности».

Риски на уровне консенсуса

Протокол консенсуса Ethereum доказал свою надежность, но долгосрочные угрозы остаются. Среди них — концентрация стейкинга у нескольких крупных провайдеров, таких как Lido. Это создает риск централизации управления и цензуры транзакций.

Другая проблема — недостаточная проработанность механизма «социального слэшинга». Это крайняя мера наказания для валидаторов, атакующих сеть, но в сообществе нет четких правил и инструментов для ее применения. В долгосрочной перспективе главной угрозой остается появление квантовых компьютеров, способных взломать существующие криптографические алгоритмы.

Мониторинг и реагирование на инциденты

Когда атака все же происходит, экосистема сталкивается с проблемами координации. Часто бывает сложно связаться с командой взломанного проекта или достучаться до служб безопасности крупных платформ, что затягивает реагирование и снижает шансы на возврат средств. Кроме того, в индустрии практически отсутствуют инструменты страхования, привычные для традиционных финансов.

Социальный уровень и управление

Под «социальным слоем» понимают людей, организации и процессы, которые влияют на развитие Ethereum. Здесь риски носят долгосрочный характер. Централизация стейкинга и активов, обеспеченных реальным миром (например, стейблкоинов), дает их эмитентам и держателям рычаги влияния на сеть.

Также существует угроза регуляторного давления на ключевых разработчиков и компании, что может сместить приоритеты развития протокола в сторону коммерческих или государственных интересов, подрывая его нейтральность.

Публикация отчета — это только первый шаг. Далее Ethereum Foundation совместно с сообществом намерена выбрать самые приоритетные проблемы и приступить к поиску решений. Проект призвал всех желающих делиться своими идеями и отзывами.

Напомним, в марте Ethereum Foundation произвела значительные изменения в руководстве.

После перестановок в менеджменте организация сместила акцент на пользовательский опыт и проблемы масштабирования L1.

В июне Ethereum Foundation сократила часть команды исследований и разработок, сосредоточившись на ключевых вызовах и основных проблемах протокола.

Источник