Исследователи определили главные угрозы для экосистемы Ethereum

[CryptoSalesPro]

Команда Ethereum Foundation опубликовала первый отчет в рамках инициативы Trillion Dollar Security. Исследователи выделили шесть ключевых областей, требующих значительных улучшений для обеспечения безопасности сети в будущем.

0. Last month we announced the Trillion Dollar Security (1TS) initiative: an ecosystem-wide effort to upgrade Ethereum’s security.

Today we’re releasing the first 1TS report: an overview of the existing security challenges in the Ethereum ecosystem. pic.twitter.com/R1dhY34pDT
— Ethereum Foundation (@ethereumfndn) June 10, 2025

По словам авторов, текущая экосистема Ethereum уже поддерживает капитал свыше $600 млрд. Однако для достижения амбиций сообщества этого недостаточно. Планка — создать среду, где миллиарды людей смогут комфортно хранить на блокчейне суммы свыше $1000, а компании и институты — доверять отдельным смарт-контрактам активы на триллионы долларов.

В Ethereum анонсировали «безопасность на триллион долларов»

Проблемы пользовательского опыта​

Безопасность начинается с интерфейса, с которым взаимодействует пользователь. Основная проблема заключается в том, что вся ответственность ложится на плечи человека. Из-за необратимости транзакций любая ошибка, компрометация ключа или поспешное подтверждение могут привести к потере средств.

Исследователи выделили несколько слабых мест. Пользователи плохо справляются с хранением сид-фраз, записывая их в виде простого текста или сохраняя в облаке. Аппаратные кошельки тоже не решают проблему полностью: их можно потерять, сломать или украсть.

Другая серьезная уязвимость — «слепая подпись» транзакций. Кошельки часто показывают непонятные данные, из-за чего пользователи подтверждают действия, последствий которых не понимают. Это открывает дорогу фишингу и мошенничеству. Также проблемой остаются неограниченные разрешения для DeFi-приложений, которые не имеют срока действия и могут быть использованы для кражи активов даже спустя долгое время.

Безопасность смарт-контрактов​

Несмотря на значительный прогресс в этой области, уязвимости в коде остаются серьезной угрозой. Основные риски связаны с возможностью обновления контрактов после их развертывания. Злонамеренное или ошибочное обновление может привести к потере средств пользователей.

К другим проблемам эксперты относят атаки повторного входа (re-entrancy), использование непроверенных внешних библиотек и ошибки в контроле доступа.

По словам исследователей, разработчики не всегда используют безопасные практики по умолчанию, а формальная верификация кода — сложный и дорогой процесс, который применяется редко. В отчете отдельно выделили новый риск — баги, вносимые инструментами для автоматической генерации кода на базе искусственного интеллекта.

Инфраструктура и облачная безопасность​

Экосистема Ethereum сильно зависит от централизованных провайдеров. Речь идет как о специфических сервисах вроде RPC-узлов и L2-сетей, так и о традиционных облачных хостингах вроде AWS и CloudFlare.

Сбой или цензура со стороны этих провайдеров может отрезать многих пользователей от доступа к сети. Решения второго уровня также добавляют новые векторы атак, связанные со сложностью мостов, возможными ошибками в системах доказательств и рисками централизации через «советы безопасности».

Риски на уровне консенсуса​

Протокол консенсуса Ethereum доказал свою надежность, но долгосрочные угрозы остаются. Среди них — концентрация стейкинга у нескольких крупных провайдеров, таких как Lido. Это создает риск централизации управления и цензуры транзакций.

Другая проблема — недостаточная проработанность механизма «социального слэшинга». Это крайняя мера наказания для валидаторов, атакующих сеть, но в сообществе нет четких правил и инструментов для ее применения. В долгосрочной перспективе главной угрозой остается появление квантовых компьютеров, способных взломать существующие криптографические алгоритмы.

Мониторинг и реагирование на инциденты​

Когда атака все же происходит, экосистема сталкивается с проблемами координации. Часто бывает сложно связаться с командой взломанного проекта или достучаться до служб безопасности крупных платформ, что затягивает реагирование и снижает шансы на возврат средств. Кроме того, в индустрии практически отсутствуют инструменты страхования, привычные для традиционных финансов.

Социальный уровень и управление​

Под «социальным слоем» понимают людей, организации и процессы, которые влияют на развитие Ethereum. Здесь риски носят долгосрочный характер. Централизация стейкинга и активов, обеспеченных реальным миром (например, стейблкоинов), дает их эмитентам и держателям рычаги влияния на сеть.

Также существует угроза регуляторного давления на ключевых разработчиков и компании, что может сместить приоритеты развития протокола в сторону коммерческих или государственных интересов, подрывая его нейтральность.

Публикация отчета — это только первый шаг. Далее Ethereum Foundation совместно с сообществом намерена выбрать самые приоритетные проблемы и приступить к поиску решений. Проект призвал всех желающих делиться своими идеями и отзывами.

Напомним, в марте Ethereum Foundation произвела значительные изменения в руководстве.

После перестановок в менеджменте организация сместила акцент на пользовательский опыт и проблемы масштабирования L1.

В июне Ethereum Foundation сократила часть команды исследований и разработок, сосредоточившись на ключевых вызовах и основных проблемах протокола.

 

[stanislav1996]

Интересный отчёт, но по сути подтвердили то, о чём давно говорят, UX и безопасность для обычного юзера всё ещё слабое место.

 

[janesuwa]

Мда, Виталик хороший продукт сделал, но до ума не довел. Ну ничего, надеюсь эфир поднимет планку безопасности и криптанам будет спокойнее.

 

[musaventilation]

The Ethereum Foundation team has published the first report as part of the Trillion Dollar Security initiative. Researchers have identified six key areas requiring significant improvement to ensure the network's future security.


According to the authors, the current Ethereum ecosystem already supports over $600 billion in capital. However, this is not enough to achieve the community's ambitions. The goal is to create an environment where billions of people can comfortably store amounts over $1,000 on the blockchain, and where companies and institutions can entrust trillions of dollars' worth of assets to individual smart contracts.

User experience issues​

Security begins with the user interface. The main problem is that all responsibility falls on the user's shoulders. Due to the irreversibility of transactions, any error, key compromise, or hasty confirmation can lead to the loss of funds.

Researchers have identified several weaknesses. Users are poor at storing seed phrases, writing them down in plain text or storing them in the cloud. Hardware wallets also don't completely solve the problem: they can be lost, hacked, or stolen.

Another serious vulnerability is "blind signature" transactions. Wallets often display incomprehensible data, causing users to confirm actions whose consequences they don't understand. This opens the door to phishing and fraud. Unlimited permissions for DeFi applications, which don't expire and can be used to steal assets even after a long period of time, also remain a problem.

Smart Contract Security​

Despite significant progress in this area, code vulnerabilities remain a serious threat. The main risks relate to the ability to update contracts after they've been deployed. A malicious or erroneous update could result in the loss of user funds.

Other issues identified by experts include re-entrancy attacks, the use of unverified external libraries, and access control flaws.

According to the researchers, developers don't always implement secure practices by default, and formal code verification is a complex and expensive process that is rarely used. The report specifically highlighted a new risk: bugs introduced by AI-powered automated code generation tools.

Infrastructure and cloud security​

The Ethereum ecosystem relies heavily on centralized providers. This includes both specialized services like RPC nodes and L2 networks, as well as traditional cloud hosting providers like AWS and CloudFlare.

A disruption or censorship by these providers could cut off many users from network access. Second-layer solutions also introduce new attack vectors related to the complexity of bridges, potential flaws in proof systems, and the risks of centralization through "security advisories."

Consensus level risks​

The Ethereum consensus protocol has proven its reliability, but long-term threats remain. These include the concentration of staking among a few large providers, such as Lido. This creates the risk of centralized governance and transaction censorship.

Another problem is the insufficiently developed mechanism for "social slashing." This is an extreme punishment for validators who attack the network, but the community lacks clear rules and tools for its implementation. In the long term, the main threat remains the emergence of quantum computers capable of cracking existing cryptographic algorithms.

Monitoring and incident response​

When an attack does occur, the ecosystem faces coordination challenges. It's often difficult to contact the team of the hacked project or the security services of major platforms, which delays the response and reduces the chances of recovering funds. Furthermore, the industry has virtually no insurance tools common in traditional finance.

Social level and management​

The "social layer" refers to the people, organizations, and processes that influence Ethereum's development. The risks here are long-term. The centralization of staking and real-world-backed assets (such as stablecoins) gives their issuers and holders leverage over the network.

There is also a threat of regulatory pressure on key developers and companies, which could shift the protocol's development priorities towards commercial or government interests, undermining its neutrality.

Publishing the report is just the first step. Next, the Ethereum Foundation, working with the community, intends to identify the most priority issues and begin searching for solutions. The project has encouraged everyone to share their ideas and feedback.

As a reminder, the Ethereum Foundation made significant changes to its leadership in March.

Following management changes, the organization shifted its focus to user experience and L1 scaling issues.

In June, the Ethereum Foundation cut part of its research and development team to focus on key challenges and core issues with the protocol.

Thanks for sharing this. It's reassuring to see the Ethereum Foundation acknowledge that organizational structure and protocol neutrality are intertwined. The leadership changes in March and the R&D cuts in June seemed concerning at first glance, but framing them as a move to concentrate on "core issues" makes sense if the goal is to reduce sprawl and focus on the bottlenecks mentioned in the report.

 

[musaventilation]

Thanks for sharing. It's nice to see the Ethereum Foundation acknowledge that organizational structure and protocol neutrality are intertwined. The personnel changes in March and the R&D layoffs in June were initially concerning, but if viewed as a move toward focusing on "core tasks," it makes sense—especially if the goal is to reduce fuzziness and focus on the bottlenecks mentioned in the report.