Muhtasari wa Changamoto za Usalama

Sifa moja ya kipekee ya blockchain ni asili ya atomiki ya miamala: mara tu sasisho linaporekodiwa kwenye blockchain, hakuna nafasi ya kuingilia au kurudisha nyuma. Hii inatoa dhamana thabiti ya uthabiti na usalama wa kiwango cha itifaki, lakini inawafichua watumiaji hatari za uendeshaji zilizoinuliwa: kosa moja, ufunguo ulioathirika, au idhini ya haraka inaweza kusababisha hasara isiyoweza kurejeshwa.

Kwa sababu hiyo, mzigo mkubwa wa usalama unawaangukia watumiaji. Ili kutumia Ethereum kwa usalama, watu binafsi na mashirika lazima washikilie na kusimamia funguo kwa usalama, kuingiliana na programu za chaini, na kutumia funguo zao kusaini miamala ili kuhamisha mali au kusasisha hali ya Ethereum.

Kila moja ya mahitaji haya huleta hatari kama vile kuathirika au kupoteza funguo, idhini za haraka au zisizo na taarifa, au kuathirika kwa programu ya pochi ambayo watumiaji wanategemea kuwaelekeza na kuwaongoza katika kuingiliana na Ethereum.

1.1 Usimamizi wa Funguo

Watumiaji wengi hawana vifaa vya kusimamia funguo za kriptografia kwa usalama.

Pochi nyingi za programu zinazotumiwa sana hutegemea watumiaji kuhifadhi maneno ya mbegu yanayowakilisha funguo zao za faragha za kriptografia kwa usalama, ambayo mara nyingi huwapelekea kutumia njia zisizo salama kama kuhifadhi maneno ya mbegu kwa maandishi wazi, kwenye huduma za wingu, au kuyaandika kwenye karatasi.

Pochi za vifaa ni mbadala, ambazo huwawezesha watumiaji kusimamia funguo za kriptografia zilizohifadhiwa ndani ya kifaa cha kimwili cha kusudi maalum. Hata hivyo, pochi za vifaa zina dosari zao na eneo la kushambulia. Pochi za vifaa zinaweza kupotea, kuharibiwa, au kuibiwa. Pochi nyingi za vifaa sio za chanzo wazi na zinaweza kuwa na minyororo ya ugavi isiyo wazi, ikiongeza hatari ya shambulio la mnyororo wa ugavi ambapo vifaa vilivyoathirika vinauzwa sokoni.

Iwe funguo zinasimamiwa katika pochi ya programu au ya vifaa, watumiaji wengi wana wasiwasi wa kawaida kuhusu uhifadhi wa kibinafsi wakati unaweza kuathirika kupitia wizi wa kimwili au shambulio.

Watumiaji wa biashara na taasisi wanakabiliwa na changamoto za ziada katika usimamizi wa ufunguo. Ikiwa wafanyakazi binafsi wanashikilia funguo (k.m., kama sehemu ya mkoba wa multisig), shirika lazima liweze kuzibadilisha na kuunda mpya kutokana na mabadiliko ya wafanyakazi baada ya muda. Mahitaji ya kufuata katika sekta na mamlaka tofauti yanaweza kuhitaji mtiririko maalum wa kazi au njia za ukaguzi ambazo hazitumiki na programu zilizopo za mkoba. Katika baadhi ya matukio, watumiaji wa biashara hugeukia wahifadhi wa wahusika wengine kwa ajili ya mali za kidijitali, jambo ambalo linaweza kuleta safu nyingine ya hatari za usalama za kuzingatia.

1.2 Kusaini kwa Kipofu na Ukosefu wa Uhakika wa Miamala

Watumiaji mara kwa mara huidhinisha miamala "kwa kipofu" bila kuelewa wanachofanya. Pochi mara nyingi huwasilisha data ghafi ya heksadesimali, anwani ya mkataba iliyopunguzwa, au taarifa nyingine ambayo haitoshi kwa mtumiaji kuelewa matokeo ya miamala fulani. Hii inawaacha watumiaji wa kila aina katika hatari ya mikataba ya akili yenye nia mbaya, hadaa, ulaghai, violesura vilivyodanganywa, maelewano ya mbele, na makosa ya msingi ya watumiaji.

1.3 Usimamizi wa Idhini na Ruhusa

Katika programu nyingi za Ethereum, ni kawaida kwa watumiaji kutoa ruhusa fulani kwa programu ya msingi kama sehemu ya matumizi ya kawaida. Kwa mfano, mtumiaji anaweza kutoa ruhusa kwa soko la kubadilishana lisilogatishwa kama Uniswap kuhamisha tokeni zao ili kuzibadilisha na ETH.

Idhini hizi zinaweza kuwa na mipaka ya kiasi, lakini pochi nyingi hukosa kutoa idhini zisizo na kikomo bila tarehe ya mwisho wa matumizi. Hakuna njia ya watumiaji kusimamia au kukagua idhini zao zilizobaki kutoka ndani ya pochi nyingi.

Hii inaweza kuwafichua watumiaji kwa programu za nia mbaya au violesura vya mbele vilivyoathirika, kwa sababu mtindo wa msingi wa watumiaji wengi ni kutoa idhini zisizo na kikomo ambazo zinaweza kutumiwa kumudu fedha zao. Hata kama mtumiaji atatoa idhini kwa mkataba wa akili wa halali, ikiwa mkataba huo utaathirika baadaye wakati idhini inabaki, basi mkataba ulioathirika unaweza kumudu fedha za mtumiaji.

Hii ni hatari sawa kwa watumiaji wa shirika. Kwa mfano, shirika linaweza kuchagua kutoa idhini isiyo na kikomo ya USDC kwa router ya DEX kwa urahisi wa uendeshaji, ambayo inawafichua hatari ikiwa mkataba wa router utaboreshwa.

1.4 Violesura vya Wavuti Vilivyoathirika

Watumiaji wengi hawaingiliani moja kwa moja na mkataba wa akili, bali kupitia kiolesura cha wavuti kupitia kifaa chao cha mkononi au kivinjari cha wavuti.

Mbele hizi zinaweza kuathirika na mashambulizi kupitia njia zinazojulikana kama utekaji nyara wa DNS, uingizaji wa javascript yenye nia mbaya, upangishaji usio salama, au tegemezi za wahusika wa tatu. UX ya programu iliyoathirika inaweza kuelekeza watumiaji wa kila aina kwenye mikataba ya akili yenye nia mbaya au kuwafanya wasaini miamala inayopotosha.

1.5 Faragha

Faragha inaweza kupunguza au kuongeza hatari za usalama kwa watumiaji wa kila aina.

Ulinzi dhaifu wa faragha hufanya watumiaji binafsi wako wazi kwa vitisho mbalimbali vya kulengwa kama ulaghai wa mtandaoni, unyonyaji, ulaghai, au mashambulizi ya kimwili. Mifumo mingi ya kawaida ya UX hufanya watumiaji wako wazi, k.m., kurudia anwani, data ya KYC, na uvujaji wa metadata nyingine.

Kwa taasisi na makampuni, faragha mara nyingi ni hitaji la msingi la Biashara kwa sababu za kufuata kanuni au matumizi fulani. Mbali na masuala hayo, inaweza kuunda hatari za usalama za pekee. Kwa mfano, mtumiaji wa mfumo wa ugavi uliojengwa kwenye Ethereum anaweza kuhitaji dhamana kali za faragha ili kulinda mali za akili ambazo zinaweza kuathirika ikiwa mfumo huo ulikuwa wazi.

1.6 Mgawanyiko

Kuna ukosefu wa uthabiti katika jinsi pochi tofauti zinavyoshughulikia tabia za msingi kama kuonyesha miamala, kushughulikia idhini, au kuweka lebo kwenye mikataba. Mgawanyiko huu wa uzoefu wa mtumiaji unaongeza msuguano kwa uwezo wa mtumiaji kujifunza jinsi ya kutumia pochi kwa usalama, na huongeza hatari.

Kwa mfano, watumiaji hawawezi kutegemea dalili za UX za uthabiti ili kujilinda dhidi ya ulaghai wa mtandaoni na upotoshaji kwani zinatofautiana kati ya pochi. Watumiaji hawawezi kuunda matarajio ya kuaminika kuhusu jinsi Ethereum inavyofanya kazi ikiwa kila chombo kinatendeka tofauti.

Usalama wa mikataba ya akili umeboresha sana katika historia ya Ethereum. Matukio ya mapema ya usalama kama hack ya DAO yalichochea mfumo wa ikolojia kujipanga kitaaluma na kuboresha ulinzi katika mzunguko wa maisha wa programu unaopelekea msimbo kuwekwa onchain. Maendeleo muhimu ni pamoja na:

• Ukaguzi wa usalama umekuwa mazoezi ya kawaida, na kampuni kadhaa za usalama zikiingia katika mfumo wa ikolojia na kukuza utaalamu.
• Zana, majaribio, na mifumo ya uchanganuzi wa tuli yamekomaa na kuwa mazoezi ya kawaida.
• Maktaba za vipengele vya kawaida vilivyokaguliwa mapema vimewapa wasanidi vitalu vya ujenzi vilivyo salama kwa chaguo-msingi.
• Mbinu za uthibitisho rasmi zimechukuliwa, hasa kwa madaraja, mifumo ya staking, na mikataba ya thamani ya juu.
• Utamaduni wa usalama wa mfumo wa ikolojia na mazoezi bora yameboresha.
• Uundaji wa programu za zawadi za thamani ambazo zimeimarisha safu ya programu.

Hata hivyo, bado kuna udhaifu na maeneo ya kuboresha katika eneo hili.

2.1 Udhaifu wa mikataba

Licha ya maendeleo katika usalama wa mikataba ya akili, bado kuna udhaifu unaoweza kusababisha masuala makubwa ya usalama, ikiwa ni pamoja na:

• Hatari ya kuboresha mikataba. Mikataba fulani imeundwa ili iweze kubadilishwa baada ya kuwekwa, ili kuwezesha timu ya maendeleo kuendelea kusasisha na kuboresha programu. Hata hivyo, hii inaleta hatari. Maboresho yanaweza kusababisha udhaifu mpya, au upotezaji wa jumla wa fedha za watumiaji katika kesi ya uboreshaji wenye nia mbaya.
• Uingiaji upya, ambapo mkataba A unaita mkataba wa nje B kabla ya kusasisha hali yake ya ndani, na mkataba B unarudi kwa mkataba wa asili A kabla ya simu ya kwanza kukamilika.
• Matumizi yasiyo salama ya maktaba za nje, ambapo mkataba unaita maktaba ya nje ambayo inaweza kuwa haijakaguliwa, yenye nia mbaya, au inayoweza kuboreshwa.
• Vipengele visivyokaguliwa. Ingawa ukaguzi na matumizi ya maktaba za kawaida yameboresha, wasanidi wakati mwingine hutegemea vipengele visivyokaguliwa katika programu zao.
• Kushindwa kwa udhibiti wa upatikanaji, ambapo ruhusa zimesanidiwa vibaya au zimefafanuliwa kwa upana sana, zikiruhusu washambuliaji kuchukua hatua za nia mbaya.
• Upatikanaji usioruhusiwa, ambapo funguo ya siri inayoweza kudhibiti mkataba inapatikana na mwigaji mbaya.
• Madaraja na mwingiliano wa mnyororo-mbili. Madaraja na itifaki za mnyororo-mbili zinaleta ugumu wa ziada, na washambuliaji wanaweza kutumia udhaifu katika jinsi ujumbe wa mnyororo-mbili unavyopitishwa au kuthibitishwa.
• Uteuzi wa Akaunti inayomilikiwa na Mtu wa Nje (EOA) au matumizi mabaya ya sahihi. Programu za nia mbaya zinaweza kuwadanganya watumiaji kusaini uteuzi wa akaunti yao kwa mtu mwingine, zikiwezesha wizi. Programu za nia mbaya pia zinaweza kutumia ujumbe uliosainiwa na mtumiaji kwa njia zisizotarajiwa, k.m., katika shambulio la kurudia.
• Hatari inayoibuka ya hitilafu zinazoletwa na uzalishaji wa msimbo wa AI au zana za urekebishaji wa kiotomatiki.

2.2 Uzoefu wa msanidi, zana, na lugha za programu

Udhaifu huishia kwenye msimbo uliowekwa kutokana na makosa ya msanidi. Zana za msanidi zilizoboreshwa zimefanya iwe rahisi sana kuweka mikataba ya akili salama. Hata hivyo, masuala bado yapo.

• Ukosefu wa chaguo-msingi salama katika mifumo maarufu. Baadhi ya zana zinapendelea unyumbufu au kasi kuliko usalama, zikiweka chaguo-msingi zisizo salama kama idhini za token zisizo na kikomo katika kazi ya approve(), au kushindwa kujumuisha mifumo ya udhibiti wa upatikanaji kwa chaguo-msingi.
• Msimbo wa kipekee kwa udhibiti wa hali ya juu wa uendeshaji. Watumiaji wa taasisi wenye mahitaji tata ya uendeshaji mara nyingi lazima wajenge vipengele vinavyohitajika kutoka mwanzo, wakiongeza hatari ya udhaifu. Kuna ukosefu wa vipengele vya kawaida salama au mifumo ya mtiririko wa kazi wa usalama wa hali ya juu.
• Mgawo wa majaribio usio sawa katika vifurushi vya zana, pamoja na ukosefu wa kanuni za kutumia mbinu zilizothibitishwa kama fuzzing au ukaguzi wa invariant.
• Uchukuzi mdogo wa mbinu za uthibitisho rasmi. Mbinu za uthibitisho rasmi ni za nguvu, lakini ni ngumu, za gharama kubwa, zinahitaji utaalamu wa kipekee wa kikoa, na hazijajumuishwa vizuri katika mtiririko wa kazi wa kawaida wa msanidi, ambapo zingeweza kutumika mapema zaidi katika uzalishaji wa programu kuthibitisha usalama katika hatua ya maelezo.
• Masuala yanayohusiana na uthibitisho wa mkataba. Watumiaji na wasanidi programu hawawezi kutathmini kwa urahisi uaminifu wa mikataba iliyotumwa, kiwango cha uthibitisho wa usalama wake (k.m., ukaguzi wa msimbo), au uwepo wa hatari fiche. Ingawa kuna suluhu kwa lengo hili, matatizo mengi bado yapo. Zana zinazoshughulikia masuala haya hazijatumika sana, viwango ambavyo vingeunganisha mbinu hizi vimegawanyika, na baadhi ya huduma zilizopo ni tegemezi za kati.
• Hatari za Mkompila. Mkompilazi (programu inayobadilisha msimbo unaoweza kusomwa na binadamu kama Solidity kuwa msimbo wa baiti unaotumiwa na EVM yenyewe) inaweza kuwa na dosari zinazoingiza makosa kwenye mikataba ya akili kabla ya kuwekwa. Mfumo wa ikolojia wa Ethereum leo unategemea zaidi mkompilazi wa solc, kumaanisha kuwa hitilafu inaweza kuwa na athari za upana.
• Uanuwai na kina cha lugha za programu. Ingawa Solidity ina mfumo wa zana wa kina uliojengwa juu yake, baadhi ya wasanidi wanataka vipengele vya usalama vya kisasa zaidi vinavyopatikana katika lugha zingine za programu, kama usalama wa kumbukumbu.

2.3 Tathmini ya hatari ya msimbo wa onchain

Taasisi na makampuni yana michakato, viwango, na mahitaji yaliyopo ya kutathmini usalama wa teknolojia na mifumo ambayo wategemea. Hata hivyo, mifumo iliyopo mara nyingi haiendani vizuri na mikataba ya akili, kwa kawaida ikidhani msimbo unaoweza kubadilika, udhibiti wa mabadiliko wa kati, na mistari ya wazi ya uwajibikaji au dhima ya kisheria. Mifumo iliyojengwa juu ya mikataba ya akili wakati mwingine inaweza kuvunja mawazo hayo, na kufanya iwe vigumu kwa mashirika kuchukua Ethereum na kusimamia hatari ipasavyo.

Mifumo hii ni eneo la mashambulizi kwa tabaka la pochi na programu (k.m., ncha za RPC za pochi) na kwa itifaki ya Ethereum yenyewe (k.m., wathibitishaji wengi wamepandishwa kwenye miundombinu ya wingu). Kuathirika kwa funguo za siri, ulaghai wa mtandaoni, na ukosefu wa udhibiti wa upatikanaji wa kina kunaweza kusababisha mapungufu makubwa, wizi, au mabadiliko yasiyoruhusiwa, hata kama itifaki ya msingi ya blockchain inabaki salama.

3.1 Minyororo ya Tabaka la 2

Minyororo ya Tabaka la 2 (L2s) hutumika kama viendelezi vya Ethereum, vikiwezesha mazingira ya haraka na ya ada ya chini huku vikihifadhi baadhi ya dhamana za usalama za tabia za mtandao wa msingi wa Ethereum (kulingana na muundo wao maalum). Hata hivyo, pia zina maeneo yao ya kipekee ya mashambulizi ikiwa ni pamoja na:

• Uchukuzi wa mali za daraja la hatua nyingi. Wakati mali zinaposafiri kati ya L1 na L2 nyingi, zinakabiliwa na seti nyingi za mikataba ambazo zote lazima ziwe salama. Uhasibu usiofanana au mapungufu katika minyororo ya L2 yanaweza kuleta udhaifu ambao unaweza kutumiwa na washambuliaji.
• L2 za Rollup zinategemea mifumo ya uthibitisho ili kulazimisha usahihi wa sasisho za hali. Hitilafu au usanidi mbaya katika mifumo hii unaweza kusimamisha au kuzuia ukamilishaji, au kuruhusu ukamilishaji wa sasisho za hali za uwongo zinazopelekea upotevu wa fedha za watumiaji.
• Mabaraza ya usalama ni vikundi vya wamiliki wa funguo ambao hutumika kama utaratibu wa "hifadhi" kuboresha programu ya L2 au kujibu dharura fulani. Mabaraza ya usalama yenyewe yana hatari, kwani kuathirika au mshirikiano kati ya wanachama kunaweza kuweka fedha za watumiaji hatarini au kugandisha mali.

Angalia L2Beatopens in a new tab kwa mfumo wa kina na dashibodi ya ufuatiliaji ambayo inatathmini na kulinganisha utendaji na usalama wa L2.

3.2 Miundombinu ya RPC na nodi

Programu za Ethereum zinategemea idadi ndogo ya watoa huduma za miundombinu kwa upatikanaji wa RPC, APIs na huduma za nodi. Hii inajumuisha watoa huduma za miundombinu mahususi ya kripto, pamoja na huduma za wingu za jadi ambazo hutumiwa kwa kawaida kupangisha nodi (k.m., AWS, Cloudflare, Hetzner).

Ikiwa watoa huduma hawa wa miundombinu wangekatika mtandao au kujaribu kudhibiti au kupunguza upatikanaji, watumiaji wengi wangeweza kuzuiwa kupata Ethereum kupitia pochi zao au programu, hadi waweze kuhamia kwa RPC mpya au mtoa huduma mwingine wa miundombinu. Baadhi ya watoa huduma hawa hapo awali wamesimamisha au kuzima akaunti zinazohusiana na shughuli za blockchain, na hivyo kuibua wasiwasi kuhusu uaminifu wao wa muda mrefu kwa programu zisizo za kati.

3.3 Udhaifu wa kiwango cha DNS

Mfumo wa Jina la Kikoa (DNS) ni tabaka la msingi la intaneti, lakini pia ni wa kati na unaweza kuathirika. Watumiaji wengi hupata programu kupitia vikoa vya wavuti, ambavyo vinahusika na:

• Utekaji nyara wa DNS ambapo mshambuliaji anaingiza mbele ya uwongo yenye nia mbaya.
• Unyakuzi wa kikoa, ambapo serikali au msajili anaweza kunyakua vikoa.
• Ulaghai wa mtandaoni kupitia vikoa vinavyofanana, ambapo washambuliaji husajili majina karibu yanayofanana ili kuwachanganya watumiaji.

3.4 Msururu wa usambazaji wa programu na maktaba

Wasanidi wa Ethereum wanategemea maktaba za chanzo huria, mara nyingi zikichukuliwa moja kwa moja kutoka huduma kama npm, crates.io, au GitHub. Ikiwa maktaba hizi zitaathirika, zinaweza kuwa njia ya mashambulizi kama:

• Uingizaji wa kifurushi chenye nia mbaya, ambapo washambuliaji huathiri kifurushi kinachotumiwa sana au kuchapisha kimoja chini ya jina linalofanana
• Tegemezi zilizotekwa nyara, ambapo wasimamizi wanapoteza udhibiti wa mradi na mwigaji mbaya anaingiza msimbo wenye madhara
• Kuathirika kwa msanidi, ambapo vifurushi vilivyosakinishwa vina msimbo unaompa mshambuliaji udhibiti wa kompyuta ya msanidi.

3.5 Huduma za utoaji wa mbele na hatari zinazohusiana

Programu nyingi za Ethereum hutoa mbele zao kupitia Mtandao wa Utoaji wa Maudhui (CDN) au jukwaa la mwenyeji linalotegemea wingu (k.m., Vercel, Netlify, Cloudflare). Ikiwa huduma hizi zitaathirika, zinaweza kuwa njia ya mashambulizi kama uingizaji wa javascript yenye nia mbaya, ambapo washambuliaji hutoa mbele iliyobadilishwa kwa watumiaji.

3.6 Udhibiti wa kiwango cha Mtoa Huduma za Intaneti

Watoa Huduma za Intaneti (ISPs) au mataifa yanaweza kutumia udhibiti wa miundombinu ya msingi ya intaneti kudhibiti upatikanaji wa Ethereum. Kwa mfano, mashambulizi haya yanaweza kujumuisha:

• Kuzuia au kupunguza trafiki kwa bandari za kawaida za Ethereum
• Kuchuja maombi ya DNS yanayotatua huduma zinazohusiana na Ethereum
• Uzio wa kijiografia au marufuku ya IP dhidi ya nodi zinazojulikana za Ethereum
• Uchunguzi wa kina wa paketi ili kutambua na kudhibiti trafiki inayohusiana na itifaki ya Ethereum

Njia nyingi za msingi hizi tayari zinatumiwa na serikali za kimabavu ulimwenguni kote kukandamiza upatikanaji wa habari, zana za maandamano, au sarafu za kripto leo.

Itifaki ya maafikiano ya Ethereum imethibitisha kuwa imara katika mazoezi, bila wakati wa kupumzika tangu ilipozinduliwa kwanza mwaka 2015 na kupitia maboresho kadhaa. Hata hivyo, bado kuna maeneo ya muda mrefu ya kuboresha ili kufanya mfumo uwe na ustahimilivu zaidi na salama.

4.1 Uvumilivu wa maafikiano na hatari za kupona

Sheria za uchaguzi wa uma na ukamilishaji wa Ethereum ni za kustahimili, lakini sio za kuepukika. Wakati wa hali fulani za kesi za pembeni (kama kutokubaliana kwa wathibitishaji kwa muda mrefu, hitilafu za wateja, au mgawanyiko wa mtandao) maafikiano yanaweza kusimama au kutofautiana kwa muda. Katika hali za mwisho, hii inaweza kusababisha adhabu za wathibitishaji zinazopishana kupitia uvujaji wa kutofanya kazi au kukatwa, ambayo inaweza kusababisha zaidi kutoroka kwa mtaji kutoka kwa wathibitishaji.

4.2 Uanuwai wa wateja

Uanuwai wa wateja unaoongoza katika sekta ya Ethereum unalinda mtandao kutokana na hitilafu katika mteja yeyote wa pekee. Hata hivyo, uanuwai wa wateja bado unaweza kuboreshwa kwa uchukuzi zaidi wa wateja wa wachache ili kupunguza hatari hizi zaidi.

4.3 Ukusanyaji wa staking na utawala wa dimbwi

Kiasi kikubwa cha uzito wa wathibitishaji kimekusanywa katika itifaki za staking za kioevu, huduma za uhifadhi, na waendeshaji nodi wakubwa. Mkusanyiko huu unaweza kusababisha hatari kama:

• Uteuzi wa utawala au ushawishi. Ikiwa vyombo vinavyodhibiti kiasi kikubwa cha hisa (au vyombo vyenye mamlaka ya kisheria ya kushawishi vyombo hivyo) vikishirikiana pamoja, vinaweza kuwa na ushawishi usio wa kawaida juu ya vitalu vinavyopendekezwa na kuthibitishwa, ikiwezekana kuwazuia watumiaji, au kushawishi maboresho ya itifaki.
• Ufanano katika uchaguzi wa wateja na usanidi wa miundombinu, ambao unaweza kuongeza hatari za kushindwa zinazohusiana.

4.4 Kukosekana kwa Ukatwaji wa Kijamii na Mapengo ya Uratibu

Katika baadhi ya hali za kushindwa kali, Ethereum ingetegemea "ukatwaji wa kijamii" kuadhibu wathibitishaji waliotenda kwa nia mbaya kushambulia mtandao (angalia sehemu ya 6.1). Hata hivyo, miundombinu, kanuni, na michakato inayotarajiwa kwa aina hii ya ukatwaji haijakuzwa vya kutosha. Hakuna utaratibu uliowekwa ambao jamii ingetumia kushiriki katika mchakato huu.

4.5 Njia za Mashambulizi za Kiuchumi na Nadharia ya Mchezo

Njia nyingi za mashambulizi za kiuchumi zinazowezekana bado hazijasomwa vya kutosha, ikiwa ni pamoja na:

• Mashambulizi ya kuhuzunisha au ukatwaji wa kuhuzunisha. Wathibitishaji wanaweza kupata gharama au adhabu za ukatwaji sio kwa makosa yao wenyewe bali kwa sababu ya tabia za adui zilizokusudiwa tu kuwadhuru wengine kwa gharama ya jumla kwa mshambuliaji.
• Kutoka kwa mkakati au kutofanya kazi kwa wakati. Wathibitishaji wanaweza kwa makusudi kukatika mtandao au kutoka wakati wa nyakati za maamuzi ili kuongeza faida au kuharibu makubaliano kwa adhabu za chini kabisa.
• Ushirikiano kati ya wathibitishaji au wapitishaji. Tabia za kuratibu kati ya wathibitishaji au kati ya wapitishaji na wathibitishaji zinaweza kupunguza ugatuaji, au kuchukua MEV.
• Unyonyaji wa motisha za hali za pembeni katika MEV, utenganisho wa mtoaji-mjenzi, au muundo wa staking ya kioevu. Wafanyikazi wanaweza kudhibiti hali za nadra za itifaki ili kupata tuzo za ziada.

4.6 Hatari ya Quantum

Usimbaji fiche mkuu wa Ethereum (k.m., sahihi za mkunjo wa duaradufu kama secp256k1) unaweza siku moja kuvunjwa na kompyuta za quantum. Ingawa hii si hatari ya karibu, tishio la kuaminika linaweza kufanya mikoba iliyopo, mikataba, na funguo za staking kuwa hatarini mara moja. Changamoto hii ya siku zijazo inadhoofisha dhamana za muda mrefu za Ethereum kwa watumiaji.

Njia za uhamiaji kwa usimbaji unaostahimili quantum (k.m., kupitia mipango ya sahihi baada ya quantum) zinahitaji kuundwa, kujaribiwa, na labda kujengwa ndani ya itifaki miaka kadhaa kabla ya kuhitajika. Mashirika katika mfumo wa ikolojia wa Ethereum, ikiwa ni pamoja na Taasisi ya Ethereum, yanachunguza kikamilifu chaguzi hizi na kufuatilia hatari.

Hata mfumo wa ikolojia wa blockchain ulioboreshwa utakuwa na hatari, mashambulizi, na udhaifu. Wakati mambo yanapoharibika, lazima kuwe na mifumo bora ya kupunguza, kugundua, na kujibu. Changamoto hapa ni pamoja na:

• Kufikia timu iliyoathirika. Inaweza kuwa vigumu kuwasiliana na timu ambayo programu yake imeathirika. Hii inaweza kusababisha ucheleweshaji wa saa kadhaa, ikipunguza uwezo wa waliotoa majibu kurejesha fedha.
• Kupandisha masuala katika mashirika yanayohusiana. Wakati suala linahusisha jukwaa (kama mtandao wa kijamii au ubadilishaji wa kati) inaweza kuwa changamoto kwa waliotoa majibu kupandisha suala ikiwa hawana mawasiliano ya awali.
• Uratibu wa majibu. Mara nyingi haijulikani ni timu ngapi za majibu ya tukio zinazosaidia programu iliyoathirika, zikisababisha mawasiliano mabaya au juhudi za kupoteza wakati juhudi za kikundi zingeweza kuwa za ufanisi zaidi.
• Ukosefu wa uwezo wa kufuatilia. Inaweza kuwa vigumu kufuatilia masuala ya onchain na offchain, ambayo yangetoa onyo la mapema na kuhakikisha majibu ya haraka kwa vitisho.
• Upatikanaji wa bima. Bima ni chombo muhimu cha kupunguza hasara katika mifumo mingi ya jadi inayoshughulikia pesa, mifumo ya kifedha, utambulisho, na habari nyingine za thamani. Hata hivyo, leo kuna chaguzi chache za bima zinazopatikana kutoka kwa huduma za kifedha za jadi kwa mfumo wa ikolojia wa kripto.

Hatari hizi zina mwelekeo wa muda mrefu zaidi, na zinahusu Ethereum kwa ujumla badala ya usalama wa watumiaji binafsi au programu.

6.1 Ukusanyaji wa Hisa

Ukusanyaji wa kiasi kikubwa cha hisa unaweza kuleta hatari kwa Ethereum kwa ujumla ikiwa vyombo vinavyodhibiti hisa hiyo vitaamua kushirikiana.
Ukusanyaji huu wa kiuchumi unaunda uwezekano wa uteuzi wa utawala wa kijamii. Ikiwa kundi dogo la wathibitishaji linadhibiti idadi kubwa ya hisa, wanaweza:

• Kuratibu au kupinga uma.
• Kudhibiti miamala au mikataba fulani.
• Kuharibu makubaliano ya jamii kwa kutishia kutoka au kupinga.

Ikiwa hali hii kali itatokea, jamii ya Ethereum imependekeza kuwa "ukatwaji wa kijamii" unaweza kuwa jibu. Ukatwaji wa kijamii ni matumizi ya makubaliano ya kijamii ya offchain kuamua kuwakata wathibitishaji wanaotenda vibaya, kama ukaguzi wa nguvu zao. Lakini hakuna kanuni wazi, taratibu, au zana zilizopo za kutekeleza hatua hizi (angalia sehemu ya 4.4).

6.2 Ukusanyaji wa Mali ya Offchain

Ethereum inahifadhi kiasi kikubwa cha mali za ulimwengu wa kweli, ambapo mali zinashikiliwa offchain katika akaunti za benki au amana zingine, ambazo kisha zinauzwa onchain kupitia tokeni zinazowakilisha dai la mali za offchain. Kwa mfano, stablecoin nyingi za ukubwa mkubwa hufanya kazi kwa njia hii.

Taasisi zinazoshikilia amana za offchain zinaweza kuwa na ushawishi juu ya mfumo wa ikolojia wa Ethereum. Kwa mfano, wakati wa hali kali ambapo kuna uma wa mgogoro au uboreshaji wa mtandao, wamiliki wa amana kubwa wanaweza kuathiri ni mnyororo gani unakubalika kwa upana kwa kuchagua kutambua tokeni kwenye mnyororo mmoja au mwingine.

6.3 Mashambulizi au Shinikizo za Kisheria

Serikali na wadhibiti wanaweza kushinikiza taasisi mbalimbali zinazodhibiti vipengele muhimu vya safu ya Ethereum ili kufanya udhibiti au vinginevyo kuingilia kati itifaki ya Ethereum. Watumiaji wa kitaasisi wa Ethereum pia wanaweza kuathiriwa na shinikizo hizi, ambazo zingekuwa na madhara zaidi kwa watumiaji wao (k.m., benki ambayo haiwezi tena kutoa bidhaa fulani za kripto kutokana na marufuku ya kidhibiti).

6.4 Uteuzi wa Utawala wa Mashirika

Utawala wa chanzo huria wa Ethereum na michakato ya maendeleo yanaendeshwa na timu na kampuni mbalimbali za kimataifa zinazodumisha programu ya msingi ya wateja, miundombinu, na zana.

Aina mbalimbali za ushawishi (ununuzi wa kampuni, tegemezi za ufadhili, ajira ya wachangiaji wakuu, migogoro ya maslahi ndani ya mashirika yaliyopo) zinaweza polepole kubadilisha utamaduni na vipaumbele vya utawala wa Ethereum. Hii inaweza kusababisha upatanishi na maslahi maalum ya kibiashara au ya nje ambayo yanatofautiana na maadili yanayoendeshwa na jamii na ramani ya barabara iliyowekwa, ikiwezekana ikidhoofisha upande wowote na ustahimilivu wa Ethereum kwa muda.