Bảng tỷ giá 
Bạn đang ở:
134 
Enterprise Ethereum Alliance đã xuất bản đặc điểm kỹ thuật test bảo mật hợp đồng thông minh để đảm bảo tính nhất quán khi nói đến bảo mật hợp đồng thông minh.
Hệ sinh thái Ethereum tiếp tục chứng kiến một loạt hoạt động có các cá nhân và tổ chức triển khai hợp đồng Token, bổ sung tính thanh khoản cho Pool và triển khai hợp đồng thông minh để hỗ trợ nhiều mô hình kinh doanh. bất chấp việc đáng chú ý, sự tăng trưởng này cũng đã bị phá vỡ bởi các khai thác bảo mật, khiến các giao thức tài chính phi tập trung (DeFi) dễ bị tấn công và lừa đảo.
Ví dụ, những phát hiện gần đây từ công ty tình báo tiền điện tử Chainalysis cho thấy rằng các vụ hack liên quan đến tiền điện tử đã tăng 58,3% từ đầu năm đến tháng 7 năm 2022. Báo cáo lưu ý thêm rằng 1,9 tỷ đô la đã bị mất vào tay các vụ hack trong khoảng thời gian này - một con số không bao gồm vụ hack cầu Nomad trị giá 190 triệu đô la xảy ra vào ngày 1 tháng 8 năm 2022.
bất chấp việc mã nguồn mở có thể có lợi cho ngành công nghiệp blockchain, nhưng thật không may, nó có thể dễ dàng bị tội phạm mạng nghiên cứu để tìm cách khai thác. Kiểm toán bảo mật cho các hợp đồng thông minh nhằm mục đích giải quyết những thách thức này, tuy nhiên thủ tục này thiếu các tiêu chuẩn ngành, do đó tạo ra sự phức tạp.
Một tiêu chuẩn công nghiệp để đảm bảo tính bảo mật của hợp đồng thông minh
Chris Cordi, chủ tịch Nhóm làm việc về cấp độ bảo mật EthTrust tại Enterprise Ethereum Alliance (EEA), nói với Cointelegraph rằng khi ngành công nghiệp blockchain Ethereum phát triển, thì sự cần thiết phải có một khuôn khổ hoàn thiện để đánh giá tính bảo mật của các hợp đồng thông minh.
Để giải quyết vấn đề này, Cordi, cùng với một số đại diện thành viên EEA có chuyên môn về kiểm toán và bảo mật, đã giúp thành lập Nhóm làm việc về mức độ bảo mật của EthTrust vào tháng 11 năm 2020. Tổ chức này đã và đang làm việc trên một dự thảo tài liệu về đặc tả hợp đồng thông minh, hoặc tiêu chuẩn công nghiệp, nhằm mục đích cải thiện tính bảo mật đằng sau danh bạ thông minh.
Gần đây nhất, nhóm làm việc đã công bố việc công bố Đặc tả các mức độ bảo mật của EthTrust v1. Chaals Nevile, giám đốc chương trình kỹ thuật của EEA, nói với Cointelegraph rằng thông số kỹ thuật này mô tả các lỗ hổng của hợp đồng thông minh mà một cuộc test bảo mật thích hợp yêu cầu như một thước đo chất lượng tối thiểu:
Nó có liên quan đến tất cả các nền tảng hợp đồng thông minh dựa trên EVM nơi các nhà phát triển sử dụng Solidity làm ngôn ngữ mã hóa. Trong một phân tích gần đây của Splunk, con số này cao hơn 3/4 số kèo mainnet. Tuy nhiên, cũng có các mạng và dự án riêng dựa trên nền tảng công nghệ Ethereum nhưng chạy một chuỗi riêng của chúng. Đặc điểm kỹ thuật này cũng hữu ích đối với họ cũng như đối với người dùng mainnet trong việc giúp bảo mật công việc của họ.
Từ góc độ kỹ thuật, Nevile giải thích rằng thông số kỹ thuật mới phác thảo ba cấp độ test mà các tổ chức nên xem xét khi thực hiện test bảo mật hợp đồng thông minh.
Cấp độ [S] được thiết kế để đối với hầu hết các tình huống, trong đó các tính năng phổ biến của Solidity được sử dụng theo các mẫu nổi tiếng, mã đã thử nghiệm có thể được chứng nhận bởi một công cụ 'phân tích tĩnh' tự động, ông nói.
Ông nói thêm rằng test Cấp độ [M] yêu cầu phân tích tĩnh chặt chẽ hơn, lưu ý rằng điều này bao gồm các yêu cầu mà đánh giá viên là con người phải xác định xem việc sử dụng một tính năng có cần thiết hay không hoặc liệu tuyên bố về các đặc tính bảo mật của mã có hợp lý hay không.
Nevile giải thích thêm rằng test Cấp độ [Q] cung cấp phân tích logic nghiệp vụ mà mã được test triển khai. Điều này là để đảm bảo rằng mã không có các lỗ hổng bảo mật đã biết, đồng thời đảm bảo rằng nó triển khai chính xác những gì nó tuyên bố, ông nói. Ngoài ra còn có một thử nghiệm thực hành tốt được đề xuất tùy chọn có thể giúp tăng cường bảo mật đằng sau các hợp đồng thông minh. Nevile cho biết:
Sử dụng trình biên dịch mới nhất là một trong những 'phương pháp hay được khuyến nghị.' Đây là một điều khá đơn giản trong hầu hết các tình huống, nhưng có rất nhiều lý do khiến hợp đồng có thể không được triển khai với phiên bản mới nhất. Các phương pháp hay khác bao gồm báo cáo các lỗ hổng bảo mật mới để chúng có thể được giải quyết trong bản cập nhật thông số kỹ thuật và viết mã dễ đọc.
Nhìn chung, có 107 yêu cầu trong toàn bộ thông số kỹ thuật. Theo Nevile, khoảng 50 trong số này là các yêu cầu Cấp [S] phát sinh từ các lỗi trong trình biên dịch solidity.
Tiêu chuẩn ngành có giúp ích cho các tổ chức và nhà phát triển không?
Nevile chỉ ra rằng Đặc điểm kỹ thuật về mức độ bảo mật của EthTrust nhằm mục đích cuối cùng là giúp kiểm toán viên chứng minh cho khách hàng rằng họ đang hoạt động ở cấp độ phù hợp với ngành. Các kiểm toán viên có thể chỉ ra tiêu chuẩn ngành này để thiết lập sự tín nhiệm cơ bản, ông nói.
Gần đây: Trò chơi Web3 tích hợp các tính năng để thu hút sự tham gia của phụ nữ
Làm sáng tỏ điều này, Ronghui Gu, Giám đốc điều hành và đồng sáng lập của công ty bảo mật blockchain CertiK, nói với Cointelegraph rằng việc có các tiêu chuẩn như thế này sẽ giúp đảm bảo các quy trình và hướng dẫn được mong đợi. Tuy nhiên, ông lưu ý rằng các tiêu chuẩn đó không phải là dấu hiệu cao su để chỉ ra rằng hợp đồng thông minh hoàn toàn an toàn:
Điều quan trọng cần hiểu là không phải tất cả các kiểm toán viên hợp đồng thông minh đều bình đẳng. Kiểm toán hợp đồng thông minh bắt đầu với sự hiểu biết và trải nghiệm về hệ sinh thái cụ thể mà hợp đồng thông minh đang được kiểm toán cũng như ngăn xếp công nghệ và ngôn ngữ mã đang được sử dụng. Không phải tất cả các mã hoặc chuỗi đều bằng nhau. Ở đây, kinh nghiệm rất quan trọng đối với phạm vi bảo hiểm và phát hiện.
Do đó, Gu tin rằng các công ty muốn kiểm toán hợp đồng thông minh của họ nên nhìn xa hơn chứng chỉ mà một kiểm toán viên tuyên bố có và tính đến chất lượng, quy mô và uy tín của kiểm toán viên. Bởi vì các tiêu chuẩn này là hướng dẫn, Gu nhận xét rằng ông cho rằng đặc điểm kỹ thuật này là một điểm khởi đầu tốt.
Từ góc độ nhà phát triển, các thông số kỹ thuật này có thể tỏ ra cực kỳ có lợi. Mark Beylin, đồng sáng lập của Myco - một mạng xã hội dựa trên blockchain mới nổi - nói với Cointelegraph rằng những tiêu chuẩn này sẽ vô cùng có giá trị để giúp các nhà phát triển hợp đồng thông minh hiểu rõ hơn về những gì mong đợi từ một cuộc test bảo mật. Anh ấy nói:
Hiện tại, có rất nhiều tài nguyên phân tán cho bảo mật hợp đồng thông minh, nhưng không có một quy tắc cụ thể nào mà các kiểm toán viên sẽ tuân theo khi đánh giá bảo mật của một dự án. Sử dụng đặc điểm kỹ thuật này, cả kiểm toán viên bảo mật và khách hàng của họ có thể ở trên cùng một trang để biết loại yêu cầu bảo mật nào sẽ được test.
Michael Lewellen, một nhà phát triển và người đóng góp cho thông số kỹ thuật, nói thêm với Cointelegraph rằng các thông số kỹ thuật này giúp ích bằng cách cung cấp danh sách test các vấn đề bảo mật đã biết để test. Nhiều nhà phát triển Solidity đã không được giáo dục hoặc đào tạo chính thức gần đây về các khía cạnh bảo mật của phát triển Solidity, nhưng bảo mật vẫn được mong đợi. Ông nói: Việc có các thông số kỹ thuật như thế này sẽ giúp bạn dễ dàng tìm ra cách viết mã an toàn hơn.
Gần đây: Ethereum Merge nhắc các máy khai thác và khai thác Pools đưa ra lựa chọn
Lewellen cũng lưu ý rằng hầu hết các yêu cầu đặc tả đều được viết một cách dễ hiểu, giúp các nhà phát triển dễ hiểu. Tuy nhiên, ông nhận xét rằng không phải lúc nào cũng rõ ràng tại sao một yêu cầu lại được đưa vào. Một số có liên kết đến tài liệu bên ngoài về lỗ hổng bảo mật, nhưng một số thì không. Các nhà phát triển sẽ dễ hiểu hơn nếu họ có các ví dụ rõ ràng hơn về mã tuân thủ và không tuân thủ có thể trông như thế nào.
Sự phát triển của các tiêu chuẩn bảo mật hợp đồng thông minh
Tất cả những điều được xem xét, đặc điểm kỹ thuật cấp độ bảo mật đang giúp thúc đẩy hệ sinh thái Ethereum bằng cách thiết lập các hướng dẫn cho việc test hợp đồng thông minh. Tuy nhiên, Nevile lưu ý rằng khía cạnh thách thức nhất trong tương lai là dự đoán cách khai thác có thể xảy ra. Anh ấy nói:
Đặc điểm kỹ thuật này không giải quyết được những thách thức đó hoàn toàn. Tuy nhiên, những gì mà spec làm là xác định các bước nhất định, như ghi lại kiến trúc và logic nghiệp vụ đằng sau các hợp đồng, rất quan trọng để cho phép test bảo mật kỹ lưỡng.
Gu cũng nghĩ rằng các chuỗi khác nhau sẽ bắt đầu phát triển các tiêu chuẩn tương tự khi Web3 tiến bộ. Ví dụ: một số nhà phát triển trong ngành Ethereum đang đưa ra các yêu cầu hợp đồng thông minh của riêng họ để giúp những người khác. Ví dụ, Samuel Cardillo, giám đốc công nghệ tại RTFKT, gần đây đã tweet rằng anh ấy đã tạo ra một hệ thống để các nhà phát triển đánh giá công khai các hợp đồng thông minh dựa trên các yếu tố tốt và xấu về mặt phát triển:
Few days ago I started a little Google Sheet to rate publicly smart contracts in order to raise awareness and help both collectors and developers - it wil also contain do and don't for when developing a contract.
— SamuelCardillo.eth - RTFKT (@CardilloSamuel) August 15, 2021
https://t.co/2ixBpkNeoc
bất chấp việc tất cả những điều này là một bước đi đúng hướng, nhưng Gu đã chỉ ra rằng các tiêu chuẩn cần có thời gian để được áp dụng rộng rãi. Hơn nữa, Nevile giải thích rằng bảo mật không bao giờ tĩnh. Do đó, ông giải thích rằng các cá nhân có thể gửi câu hỏi đến nhóm công tác đã viết thông số kỹ thuật. Chúng tôi sẽ tiếp thu phản hồi đó, cũng như xem xét các cuộc thảo luận trong không gian công cộng rộng lớn hơn vì chúng tôi hy vọng sẽ cập nhật thông số kỹ thuật, Nevile cho biết. Ông nói thêm rằng một phiên bản mới của thông số kỹ thuật sẽ được sản xuất trong vòng sáu đến mười tám tháng.
Theo CoinTelegraph
|
|
Tags: Hợp đồng thông minh, Bảo mật, Công nghệ, Phân tích, Tin tặc, , Nhà phát triển,
