netidee
Die Tücken des Prototyps
Lessons learned (30.08.2019)
Förderjahr 2017 / Project Call #12 / ProjektID: 2158 / Projekt: EtherTrust

Prototypen können sehr nützlich sein um die allgemeine Praktikabilität eines Ansatzes zu testen. Was lernen wir aus dieser Arbeitsphase für EtherTrust?

Hallo zusammen,

In unserem letzten Beitrag haben wir euch etwas über unseren ersten Prototyp für EtherTrust erzählt. Heute wollen wir ein bisschen genauer auf die Probleme eingehen, die beim Entwickeln des Prototypen aufgetreten sind.

Die größte Herausforderung unseres Projektes ist es, dass wir zum einen eine wohl wasserdichte Theorie liefern, aber gleichzeitig auch ein effizientes Tool erstellen wollen. Wie im Beitrag über die abstrakte Semantik berichtet, besteht die Gratwanderung dabei hauptsächlich darin, eine Abstraktion unserer Semantik zu finden, die die konkrete Ausführungssemantik eines Vertrages soweit abstrahiert, dass ein SMT-Solver Anfragen zu abstrakten Sicherheitseigenschaften effizient lösen kann, die aber gleichzeitig nah genug an der konkreten Semantik ist, um möglichst viele sichere Verträge auch tatsächlich als sicher beweisen zu können. Das ist in der Praxis leider gar nicht so einfach, unter anderem, weil man zunächst die gesamte abstrakte Semantik implementiert haben muss, um auf echten Verträgen testen zu können, ob Sicherheitsanfragen denn auch effizient gestellt werden können.

Dies macht das Experimentieren mit unterschiedlichen Versionen der abstrakten Semantik sehr schwierig umsetzbar: Änderungen sind immer mit einem sehr großen Implementierungsaufwand verbunden.

Da wir zum Testen bereits einer sehr umfängliche Funktionalität brauchen, haben wir zudem das Problem, dass der Prototyp selbst schon sehr groß ist, also sehr viel Code umfasst, und damit immer unüberschaubarer wird. Das macht nicht nur die Gefahr von Programmierfehlern im Allgemeinen immer wahrscheinlicher und das Testen schwieriger, sondern führt auch dazu, dass es sehr schwierig ist zu überprüfen, ob denn die abstrakte Semantik, die wir während des Übersetzungschrittes (vgl. letzter Beitrag, Link!) erstellen, tatsächlich unserer Theorie entspricht - schließlich findet sich diese Übersetzung irgendwo tief in unserem Code und ist in Java geschrieben.

Das widerspricht aber leider unserer Idee, dass wir eine große Gewissheit in die Korrektheit und die Sicherheitsgarantien unseres Tools haben wollen!

Um dieses Problem zu lösen, wollen wir unsere Implementierung komplett neu gestalten, sodass die Spezifikation unserer Semantik unabhängig vom Java-Code des Tools ist. Das bedeutet einen großen zusätzlichen Aufwand, da wir nun eine neue Spezifikationssprache benötigen, in der wir die abstrakte Semantik schreiben können. Aber wir denken, die zusätzliche Sicherheit, die wir dadurch gewinnen, ist den Aufwand absolut wert :). Außerdem wird es so auch anderen Wissenschaftlern und Entwicklern einfach möglich sein ihre eigene abstrakte Semantik zu schreiben oder unsere zu erweitern. Wir glauben, dass dies dem Open-Source-Gedanken am meisten entspricht.

Bis zum nächsten Mal!

Euer EtherTrust Team

Clara Schneidewind

Female avatar
CAPTCHA
Diese Frage dient der Überprüfung, ob Sie ein menschlicher Besucher sind und um automatisierten SPAM zu verhindern.

    Weitere Blogbeiträge

    Tschüss!

    Das Netidee-Projekt EtherTrust geht dem Ende zu. In diesem Beitrag berichten wir, wie es jetzt weitergeht.

    EtherTrust goes online

    In diesem Beitrag wollen wir euch die Website vorstellen, über die ihr EtherTrust ab jetzt online ausprobieren könnt!

    HoRSt

    Um EtherTrust als einverlässliches Tool zu implementieren, haben wir sein Design grundlegend geändert. In diesem Beitrag geben wir einen Überblick über dieses neue Design.

    Ein neues Design für EtherTrust

    Um die Probleme zu lösen, die wir beim Erstellen des Prototypen von EtherTrust entdeckt haben, haben wir uns entschlossen EtherTrust neu zu designen. Kernstück dieses neuen Designs ist die Spezifikationssprache HoRSt.

    Erster Prototyp

    Um die Praktikabilität unseres Ansatzes zu evaluieren implementieren wir einen ersten Prototyp von EtherTrust. Hier beschreiben wir, wie dieser aufgebaut ist.

    Abstrakte Sicherheitseigenschaften

    EtherTrust beweist allgemeine Sicherheitseigenschaften von Smart Contracts. Um das zu ermöglichen müssen diese Sicherheitseigenschaften aber passend formuliert sein, um sie mit unserer Analyse ausdrücken zu können. Hier zeigen wir, wie man dies mache...

    Wie wir unsere Semantik "abstrakter" machen

    EtherTrust analysiert Smart Contracts, indem es ihr Ausführungsverhalten in einer logischen Form kodiert, die von einem SMT-Solver verarbeitet werden kann. Dabei müssen jedoch Abstraktionen des Ausführungsverhaltens vorgenommen werden, damit der SMT-...

    Von der Semantik zu Horn Clauses

    EtherTrust analysiert Smart Contracts, in dem es das Ausführungsverhalten von Verträgen in einer logischen Form - sogenannten Horn clauses - beschreibt. Hier beschreiben wir, wie man aus der formalen Semantik von Ethereum Smart Contracts eine solche ...

    Horn Clauses: Futter für den SMT-Solver

    Um Smart Contracts automatisch analysieren zu können beschreiben wir ihr Ausführungsverhalten in einer logischen Form, die dann von einem automatisieren Lösungsprogramm verarbeitet werden kann. Hier erklären wir, wie diese logische Form aussieht.
    Ausschnitt aus der FStar Implementierung unserer Semantik

    Theorie und Praxis

    Um sicher zu stellen, dass unsere mathematischen Modelle auch wirklich beschreiben, was in der Realität passiert müssen wir sie testen. Wie wir das für EtherTrust machen beschreiben wir hier.

    Tutorium bei FLoC

    Im Juli haben wir bei der ,Federated Logic Conference' in Oxford ein Tutorium zu EtherTrust gegeben und unsere bisherige Arbeit vorgestellt.

    Roadmap

    Bisher haben wir schon über die Semantik von Smart Contracts uns über Sicherheitseigenschaften berichtet. Als nächstes geht es nun um die automatische Analyse von Smart Contracts. Was dafür nötig ist und wie das mit den bisherigen Arbeitsschritten zu...

    Sicherheitseigenschaften von Smart Contracts - Formal!

    Fehlerhafte Smart Contracts wie der DAO Contract haben zu großen finanziellen Verlusten geführt. Aber wie kann man allgemein beschreiben, wann ein Smart Contract fehlerhaft ist?

    Das EtherTrust-Team bei ETAPS in Thessaloniki

    Bei der diesjährigen Konferenz ETAPS in Thessaloniki haben wir unser wissenschaftliches Papier ,A Semantic Framework for the Security Analysis of Ethereum Smart Contracts' vorgestellt und sogar einen Best Paper Award dafür erhalten

    Sicherheitsprobleme in Smart Contracts

    Um Smart Contracts auf ihre Sicherheit testen zu können, muss man zunächst verstehen, was denn die existierenden Sicherheitsprobleme sind. Wir erklären hier einen bekannten Angriff - den sogenannten theDAO hack.
    Bytecode in Hexadezimaldarstellung

    EVM Bytecode

    Ethereum Smart Contracts werden in einer speziellen, maschinennahen Programmiersprache geschrieben - EVM Bytecode. Wie diese Sprache aussieht, warum wir sie analysieren wollen und in welchen Programmiersprachen Entwickler tatsächlich Smart Contracts ...

    Ethereum

    Um verstehen zu können, wie Smart Contracts funktionieren und was bei ihrer Entwicklung alles schief gehen kann, ist es wichtig ein grundlegendes Wissen über die Funktionsweise von Kryptowährungen (in unserem Fall insbesondere Ethereum) zu haben. In ...

    Der mathematische Kern von Ethereum smart contracts

    Wie kann man eigentlich gewährleisten, dass eine Tool beweisbare Garantien liefert? Und was kann dabei alles schief gehen?
    Datenschutzinformation
    Impressum | Datenschutz
    Der datenschutzrechtliche Verantwortliche (Internet Privatstiftung Austria - Internet Foundation Austria, Österreich) würde gerne mit folgenden Diensten Ihre personenbezogenen Daten verarbeiten. Zur Personalisierung können Technologien wie Cookies, LocalStorage usw. verwendet werden. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
    Sonstige Inhalte (1 Dienst)
    Einbindung zusätzlicher Informationen
    YouTube
    Google Ireland Limited, Irland
    Alle Detailszu YouTube
    Alle Detailszu YouTube