MetaU

Datavetaren som jagar efter kostsamma buggar i kryptokod

Programmeringsfel på blockkedjan kan innebära att $100 miljoner går förlorade på ett ögonblick. Ronghui Gu och hans företag CertiK försöker hjälpa till.

Under våren 2022, innan några av de mest flyktiga händelserna som drabbade kryptovärlden förra året, gav sig en NFT-konstnär vid namn Micah Johnson ut för att hålla en ny auktion över sina teckningar. Johnson är välkänd i kryptokretsar för bilder som visar hans karaktär Aku, en ung svart pojke som drömmer om att bli astronaut. Samlare ställde upp för den nya releasen. På auktionsdagen spenderade de $34 miljoner på NFTs.

Sedan slog tragedin (eller, beroende på din synvinkel, komedi) till. Koden för "smarta kontrakt" som Johnsons mjukvaruteam skrev för att köra kryptoauktionen innehöll en kritisk bugg. All $34 miljoner av Johnsons försäljning var låst på Ethereum blockchain. Johnson kunde inte ta ut pengarna; Han kunde inte heller återbetala pengar till personer som hade bjudit på en NFT men förlorade sin auktion. De virtuella pengarna var frysta, oberörbara - "låsta i kedjan", som de säger.

Johnson kanske önskar att han hade anställt Ronghui Gu.

Gu är en av grundarna av CertiK, den största revisorn för smarta kontrakt i kryptovalutans och Web3s sprudlande och oförutsägbara värld. Gu, som är en vänlig och pratsam professor i datavetenskap vid Columbia University, leder ett team på mer än 250 som söker igenom kryptokod för att försöka se till att den inte är fylld med buggar.

CertiK:s arbete kommer inte att hindra dig från att förlora dina pengar när en kryptovaluta kollapsar. Det kommer inte heller att stoppa ett kryptoutbyte från att använda dina pengar på ett olämpligt sätt. Men det kan hjälpa till att förhindra att ett förbisett programvaruproblem gör irreparabel skada. Företagets kunder inkluderar några av kryptos största aktörer, som Bored Ape Yacht Club och Ronin Network, som driver en blockchain som används i spel. Kunder kommer ibland till Gu efter att de har förlorat hundratals miljoner – i hopp om att han kan se till att det inte händer igen.

"Det här är en riktig vild värld", säger Gu med ett skratt.

Kryptokod är mycket mer oförlåtande än traditionell programvara. Silicon Valley-ingenjörer försöker i allmänhet göra sina program så buggfria som möjligt innan de skickas, men om ett problem eller bugg upptäcks senare kan koden uppdateras.

Det är inte möjligt med många kryptoprojekt. De körs med hjälp av smarta kontrakt – datorkod som styr transaktionerna. (Säg att du vill betala en artist 1 ETH för en NFT; ett smart kontrakt kan kodas för att automatiskt skicka NFT-tokenet till dig när pengarna kommer in i artistens plånbok.) Saken är den att när smart-kontraktskoden är live på en blockchain, du kan inte uppdatera den. Om du upptäcker en bugg är det för sent: hela poängen med blockkedjor är att du inte kan ändra saker som har skrivits till dem. Ännu värre, kod som finns på en blockchain är offentligt synlig – så hackare med svarta hattar kan studera den på egen hand och leta efter misstag att utnyttja.

Det stora antalet hack är svindlande, och de är väldigt lukrativa. I början av förra året hade Wormhole-nätverket stulit krypto för mer än $320 miljoner. Sedan förlorade Ronin-nätverket uppemot $600 miljoner i krypto.

"Det dyraste hacket i historien", säger Gu och skakar nästan misstroende på huvudet. "De säger att Web3 äter upp världen - men hackare äter Web3."

Ett livligt fält av revisorer har vuxit fram de senaste åren, och Gus CertiK är störst: företaget, som har värderats till $2 miljarder, uppger att det har gjort uppskattningsvis 70% av alla smarta kontraktsrevisioner. Den kör också ett system som övervakar smarta kontrakt för att i realtid upptäcka om några hackas.

Inte illa för någon som snubblade in på fältet i sidled. Gu började inte i krypto; han doktorerade i bevisbar och verifierbar programvara och utforskade sätt att skriva kod som beter sig på ett matematiskt förutsägbart sätt. Men detta ämne visade sig vara mycket applicerbart på den oförlåtliga världen av smarta kontrakt; han grundade CertiK tillsammans med sin doktorandhandledare 2018. Gu sträcker sig nu över den akademiska världen och kryptovärlden. Han undervisar fortfarande i Columbia-kurser om kompilatorer och formell verifiering av systemprogramvara, och leder flera doktorander (varav en forskar om kompilatorer för kvantberäkning) – samtidigt som han flyger runt till evenemang i Davos och Morgan Stanley, klädd i sin vanliga svarta skjorta och svart jacka när han försöker övertyga krypto- och finansiella stormän att ta blockchain-hack på allvar.

Crypto körs berömt i boom-bust-cykler; kollapsen av FTX-börsen i november var bara ett slag nyligen. Gu tror dock att han kommer att ha arbete att göra i många år framöver. Mainstream-företag som banker och, säger han, "en stor sökmotor" börjar lansera sina egna blockchain-produkter och anlitar CertiK för att hjälpa till att hålla sina skepp täta. Om etablerade företag börjar trycka in mer kod på blockkedjor, kommer det att attrahera allt fler hackare, inklusive nationalstatliga aktörer. "Hoten vi har stått inför", säger han, "är allt tuffare."

Källa

sv_SESwedish