Wie stark ist die Sicherheit Ihres Smart Contracts? Sagt wer?

Von Chaals Nevile, EEA Director of Technical Programs und Herausgeber der EEA EthTrust Security Levels Specification v1

Die EthTrust Security Levels Working Group der EEA hat kürzlich Version 1 der Spezifikation der EEA EthTrust-Sicherheitsstufen. Dies ist eine wichtige neue technische Spezifikation des EWR, die die Anforderungen für Sicherheitsaudits von Smart Contracts umreißt. Mit dem steigenden Wert von Ethereum Mainnet und der zunehmenden Rolle von Solidity/EVM Smart Contracts in vielen Blockchains wird dieses Thema immer wichtiger.

Die Spezifikation legt drei Anforderungsstufen fest, von denen, die automatisch mit einer Software getestet werden können (Sicherheitsstufe [S]), bis hin zu einer gründlichen Analyse, die die Codierungsqualität und die Genauigkeit der Dokumentation abdeckt.

Die Überprüfung der Sicherheitsstufe [S] auf offensichtliche Probleme kann für einen einfachen Code von geringem Wert ausreichen, während eine vollständige statische Analyse durch einen Experten, um sicherzustellen, dass Ihr Code die Anforderungen der Sicherheitsstufe [M] erfüllt, seltsamere Garantien für wichtige Verträge bietet . Sicherheitsstufe [Q] mit einer gründlichen und sorgfältigen Bewertung der Geschäftslogik und der Codierungsqualität ist besser geeignet für einen kritischen Vertrag mit erheblichem Wert oder für Code, der in mehreren Projekten wiederverwendet wird.

Sicherheitsprüfer, die sich auf diese Spezifikation beziehen, können zeigen, dass sie die Bandbreite bekannter Schwachstellen in ihren Testverfahren abdecken. Dies bietet einen neutralen Maßstab, um Kunden dabei zu helfen, ein angemessenes Maß an Sicherheitsüberprüfung auszuwählen und deren Auswirkungen zu verstehen.

Entwickler, die mit der Spezifikation vertraut sind, können viele Probleme antizipieren, die ein Qualitätssicherheitsaudit aufdecken würde, wodurch die Kosten für die Behebung gesenkt und ihre eigenen Fähigkeiten und Effizienz verbessert werden.

Bisher bestand der beste Ansatz, um sicherzustellen, dass Smart Contracts sicher sind, darin, ein seriöses Unternehmen für die Durchführung von Audits auszuwählen, oder vielleicht zwei, um auf der sicheren Seite zu sein. Obwohl diese Unternehmen existieren, haben einige einen langen Arbeitsrückstand. Inzwischen war es selbst für qualitativ hochwertige Newcomer schwierig, sich am Markt zu etablieren, da es keinen externen Standard gab, um ihre Arbeit zu validieren.

Diese EEA-Spezifikation soll diese Lücke im Ökosystem schließen. Die Sicherstellung, dass das Sicherheitsaudit, das Sie erhalten, dem entsprechenden EthTrust-Sicherheitslevel entspricht, bietet jetzt eine neutrale, branchenvalidierte Qualitätsprüfung für diesen kritischen Service.

Da diese Spezifikation unter Beteiligung vieler wichtiger Akteure im Bereich Smart Contract Security entwickelt wurde, dient sie als unabhängiges Qualitätszeichen und nicht als Meinung eines einzelnen Unternehmens. Wie in den Danksagungen der Mitwirkenden erwähnt, wurde es von zahlreichen Sicherheitsexperten mehrerer konkurrierender Organisationen gegengeprüft, um sicherzustellen, dass es gute Qualitätsstandards für die Branche untermauert.

Diese Spezifikation wurde in den letzten Jahren entwickelt und behebt Sicherheitslücken aus mehreren Quellen. Ebenso haben eingehende Überprüfungen von Experten, die in mehreren EEA-Mitgliedsorganisationen arbeiten, dazu beigetragen, es so klar wie möglich zu machen.

Da in der Sicherheit ein gewisses Maß an Transparenz wichtig ist, ist die Spezifikationsentwürfe waren der Öffentlichkeit zugänglich, auch wenn sie noch unvollendet waren. Die erste Version konzentriert sich auf in Solidity geschriebene Verträge, ist aber für jede Blockchain relevant, die eine EVM ausführt.

Da die erste Version als EEA-Spezifikation veröffentlicht wurde, plant die Arbeitsgruppe, Feedback zu sammeln und zu untersuchen, wie sie verwendet wird, sowie das sich ständig weiterentwickelnde Sicherheitsfeld im Auge zu behalten, um eine aktualisierte Version zu erstellen, wenn dies angemessen ist.

Bei anderen zukünftigen Aktivitäten könnten die Gruppe und die EUA auch Arbeiten wie Zertifizierungssysteme und weitere Tools in Betracht ziehen, um die Einführung zu unterstützen und die Gesamtsicherheit des Ethereum-Ökosystems zu erhöhen.

Wir freuen uns, vorerst eine starke Grundlage für das gesamte Ökosystem geschaffen zu haben, auf der es sicherer als je zuvor aufbauen kann, und rechtfertigen das zunehmende Vertrauen in die Fähigkeit hochwertiger Ethereum-Entwickler, echte Werte und wichtige Prozesse zu schützen, die durch Smart Contracts untermauert werden. Die Arbeitsgruppe entwirft jetzt ihre nächste Charta und rekrutiert weitere Mitglieder, um die Spezifikation aufrechtzuerhalten und diese Arbeit auf die nächste Ebene zu bringen.

Um mehr über die vielen Vorteile einer EWR-Mitgliedschaft zu erfahren, wenden Sie sich an Teammitglied James Harsh unter  oder besuchen Sie https://entethalliance.org/become-a-member/.

Folge uns auf Twitter,  LinkedIn und Facebook um in Sachen EWR auf dem Laufenden zu bleiben.