💬 Ethereum продвигается вперед со стандартами аудита безопасности смарт-контрактов

Ethereum продвигается вперед со стандартами аудита безопасности смарт-контрактов

В экосистеме Ethereum по-прежнему наблюдается всплеск активности, когда отдельные лица и организации внедряют контракты на токены, добавляют ликвидность в пулы и внедряют смарт-контракты для поддержки широкого спектра бизнес-моделей. Примечательно, что этот рост также был пронизан уязвимостями в системе безопасности, что делает протоколы децентрализованных финансов (DeFi) уязвимыми для взломов и мошенничества.

Например, недавние данные аналитической компании Chainalysis показывают, что с начала года по июль 2022 года число взломов, связанных с криптовалютой, увеличилось на 58,3 %. эта цифра не включает взлом моста Nomad стоимостью 190 млн долларов, произошедший 1 августа 2022 года.

Хотя открытый исходный код может быть полезен для индустрии блокчейнов, к сожалению, киберпреступники могут легко изучить его в поисках эксплойтов. Аудит безопасности для смарт-контрактов направлен на решение этих проблем, однако эта процедура не соответствует отраслевым стандартам, что создает сложность.

Отраслевой стандарт для обеспечения безопасности смарт-контрактов

Крис Корди, председатель рабочей группы по уровням безопасности EthTrust в Enterprise Ethereum Alliance (EEA), сообщил Cointelegraph, что по мере роста индустрии блокчейнов Ethereum возрастает потребность в зрелой структуре для оценки безопасности смарт-контрактов.< /p>

Чтобы решить эту проблему, Корди вместе с несколькими представителями членов ЕЭЗ, обладающими знаниями в области аудита и безопасности, в ноябре 2020 года помогли создать рабочую группу по уровням безопасности EthTrust. С тех пор организация работает над проектом документа спецификации смарт-контракта. , или отраслевой стандарт, направленный на повышение безопасности смарт-контактов.

Недавно рабочая группа объявила о публикации спецификации уровней безопасности EthTrust v1. Чаалс Невил, технический программный директор ЕАОС, сообщил Cointelegraph, что эта спецификация описывает уязвимости смарт-контрактов, которые требуются для надлежащего аудита безопасности в качестве минимальной меры качества:

«Это относится ко всем платформам смарт-контрактов на основе EVM, где разработчики используют Solidity в качестве языка программирования. Согласно недавнему анализу Splunk, это более 3/4 контрактов основной сети. Но есть также частные сети и проекты, основанные на стеке технологий Ethereum, но использующие собственную цепочку. Эта спецификация так же полезна для них, как и для пользователей основной сети, помогая защитить их работу».

С технической точки зрения Невил объяснил, что новая спецификация описывает три уровня тестов, которые организации должны учитывать при проведении аудита безопасности смарт-контрактов.

"Уровень [S] разработан таким образом, что в большинстве случаев, когда общие функции Solidity используются по хорошо известным шаблонам, тестируемый код может быть сертифицирован с помощью автоматизированного инструмента "статического анализа", – сказал он.

Он добавил, что тест уровня [M] требует более строгого статического анализа, отметив, что это включает в себя требования, в которых ожидается, что человек-аудитор определит, необходимо ли использование функции или утверждение о свойствах безопасности кода. оправдано.

Невил также пояснил, что тест уровня [Q] обеспечивает анализ бизнес-логики, реализованной в тестируемом коде. «Это делается для того, чтобы убедиться, что код не содержит известных уязвимостей безопасности, а также убедиться, что он правильно реализует заявленное», — сказал он. Существует также необязательный тест «рекомендуемая передовая практика», который может помочь повысить безопасность смарт-контрактов. Невил сказал:

"Использование последней версии компилятора является одним из "рекомендуемых передовых методов". В большинстве случаев это довольно просто, но существует множество причин, по которым контракт мог не быть развернут с последней версией. Другие передовые методы включают сообщение о новых уязвимостях, чтобы их можно было устранить в обновлении спецификации, и написание чистого, легко читаемого кода».

В общей сложности во всей спецификации содержится 107 требований. По словам Невила, около 50 из них относятся к требованиям уровня [S], возникающим из-за ошибок в компиляторах Solidity.

Поможет ли отраслевой стандарт организациям и разработчикам?

Невил отметил, что спецификация уровней безопасности EthTrust в конечном счете направлена ​​на то, чтобы помочь аудиторам продемонстрировать клиентам, что они работают на отраслевом уровне. «Аудиторы могут ссылаться на этот отраслевой стандарт, чтобы обеспечить базовое доверие», — сказал он.

Недавние: в игры Web3 добавлены функции, стимулирующие участие женщин

Проливая свет на это, Ронгуи Гу, генеральный директор и соучредитель компании CertiK, занимающейся безопасностью блокчейнов, сказал Cointelegraph, что такие стандарты помогают обеспечить ожидаемые процессы и рекомендации. Однако он отметил, что такие стандарты ни в коем случае не являются «штампом», указывающим на то, что смарт-контракт полностью безопасен:

«Важно понимать, что не все аудиторы смарт-контрактов равны. Аудит смарт-контрактов начинается с понимания и опыта конкретной экосистемы, для которой проверяется смарт-контракт, а также стека технологий и используемого языка кода. Не все коды или цепочки одинаковы. Здесь важен опыт для освещения и выводов».

Учитывая это, Гу считает, что компании, желающие провести аудит своих смарт-контрактов, должны не ограничиваться сертификацией, о которой заявляет аудитор, а принимать во внимание качество, масштаб и репутацию аудитора. Поскольку эти стандарты являются рекомендациями, Гу отметил, что считает эту спецификацию хорошей отправной точкой.

С точки зрения разработчика, эти спецификации могут оказаться чрезвычайно полезными. Марк Бейлин, соучредитель Myco — новой социальной сети на основе блокчейна — сказал Cointelegraph, что эти стандарты будут невероятно ценными, чтобы помочь разработчикам смарт-контрактов лучше понять, чего ожидать от аудита безопасности. Он сказал:

«В настоящее время существует множество разрозненных ресурсов по безопасности смарт-контрактов, но нет конкретного свода правил, которым аудиторы будут следовать при оценке безопасности проекта. Используя эту спецификацию, как аудиторы безопасности, так и их клиенты могут понять, какие требования безопасности будут проверяться».

Майкл Левеллен, разработчик и участник спецификации, также сообщил Cointelegraph, что эти спецификации помогают, предоставляя контрольный список известных проблем безопасности, которые необходимо проверить. «Многие разработчики Solidity в последнее время не получали формального образования или подготовки по аспектам безопасности при разработке Solidity, но безопасность по-прежнему ожидается. Наличие таких спецификаций облегчает понимание того, как писать более безопасный код», — сказал он.

Недавнее: Ethereum Merge предлагает майнерам и майнинговым пулам сделать выбор

Льюэллен также отметил, что большинство требований спецификации написаны простым языком, что облегчает понимание разработчиками. Однако он заметил, что не всегда понятно, почему требование включено. «У некоторых есть ссылки на внешнюю документацию об уязвимости, у некоторых нет. Разработчикам было бы легче понять, если бы у них были более четкие примеры того, как может выглядеть совместимый и несовместимый код».

Эволюция стандартов безопасности смарт-контрактов

Учитывая все обстоятельства, спецификация уровня безопасности помогает развивать экосистему Ethereum, устанавливая рекомендации по аудиту смарт-контрактов. Тем не менее, Невил отметил, что наиболее сложным аспектом продвижения вперед является предвидение того, как может произойти эксплойт. Он сказал:

«Эта спецификация не решает эти проблемы полностью. Однако спецификация определяет определенные шаги, такие как документирование архитектуры и бизнес-логики контрактов, которые важны для проведения тщательного аудита безопасности».

Гу также считает, что по мере развития Web3 различные сети начнут разрабатывать аналогичные стандарты. Например, некоторые разработчики в индустрии Ethereum выдвигают свои собственные требования к смарт-контрактам, чтобы помочь другим. Например, Самуэль Кардильо, главный технический директор RTFKT, недавно написал в Твиттере, что он создал систему, позволяющую разработчикам публично оценивать смарт-контракты на основе хороших и плохих элементов с точки зрения разработки:

Несколько дней назад я запустил небольшую Google Таблицу для оценки публичных смарт-контрактов, чтобы повысить осведомленность и помочь как коллекционерам, так и разработчикам — она также будет содержать рекомендации и рекомендации при разработке контракта. https://t.co/2ixBpkNeoc — SamuelCardillo.eth — RTFKT (@CardilloSamuel) 15 августа 2021 г.

Хотя все это является шагом в правильном направлении, Гу отметил, что для широкого внедрения стандартов требуется время. Более того, Невил объяснил, что безопасность никогда не бывает статичной. Таким образом, он объяснил, что отдельные лица могут отправлять вопросы рабочей группе, которая написала спецификацию. «Мы примем эти отзывы, а также посмотрим, какие обсуждения ведутся в более широком публичном пространстве, потому что мы ожидаем обновления спецификации», — сказал Невил. Он добавил, что новая версия спецификации будет выпущена в течение шести-восемнадцати месяцев.