На сайте криптор есть множество статей, посвященных технологии беспарольной авторизации emcSSL. К сожалению эта технология до сих пор не нашла массового применения. На то есть множество причин, основная из которых - сложность настройки для владельца сайта.
Если последние пару лет вы следите за проектом Эфириум, то должно быть уже хорошо знакомы с огромным количеством беззастенчивой рекламы, порой граничащей с откровенным надувательством, окружающим этот проект и его основателей.
После успешной реализации хард-форка Ethereum самое время критически оценить сложившуюся ситуацию.
По моему прогнозу около 40 % инвесторов TheDAO выведут свои деньги, тихо сожалея и обещая себе никогда не вкладываться в подобные проекты.
Из оставшихся 60 % некоторая весомая часть скажет что-то вроде «Это было забавно! Попробуем еще раз!»
Это письмо я отправил своим клиентам по безопасности/аудиту. Я публикую его, так как оно содержит информацию, важную для многих участников Ethereum.
xETHeREALx опубликовал на reddit сообщение об атаках с повторным воспроизведением, которые стали возможны благодаря хард-форку. Некоторые из его опасений могут показаться несколько преувеличенными, но существует несколько опасных направлений атаки, которые требуют всеобщего обсуждения.
Это была тяжелая неделя для Ethereum. Пока драма с TheDAO продолжает развиваться, несколько дней назад команда Ethereum сообщила об уязвимости кошелька.
В принципе текст сообщения был корректным. Но разработчикам приложений оказалось не так просто понять направление атаки. Давайте разберемся в ситуации.
17 июня 2016 года была совершена атака на TheDAO: атакующий увел 3,5 млн. эфиров (на момент написания текста — более 45 млн. долл.). Использовалась уязвимость «гонка на опустошение» или атака, основанная на рекурсивном вызове.
Вероятно, мы будем писать об этой ситуации и далее, но я хотел бы рассказать о том, что известно к данному моменту, и отследить эту атаку, чтобы всем было понятно, как она выглядит в жизни.
Chriseth на github мимоходом обозначил чрезвычайно опасную атаку на контракты кошельков, которую я не рассматривал ранее. Если бы для разработчиков контрактов Ethereum существовал способ ответственного раскрытия, я бы использовал его, но, по всей видимости, его нет. Мало того, этот код был выпущен и опубликован на github достаточно давно, так что я решил быстро рассказать новости.
Ethereum обещает, что по умолчанию контракты будут «вечными». Кроме того, если контракт не содержит пункт о самоуничтожении, фактически он не может быть аннулирован.
В последнее время власти пытаются бороться с нежелательной информацией в интернете. Делают они это крайне неточно: доступ закрывают не к конкретному материалу, а к сайту целиком. Благо, технический гений не стоит на месте и возможностей для обхода блокировок становится все больше.
