¿Qué tan fuerte es la seguridad de su contrato inteligente? ¿Dice quién?

Por Chaals Nevile, director de programas técnicos de la EEA y editor de la especificación v1 de los niveles de seguridad de EthTrust de la EEA

El Grupo de Trabajo de Niveles de Seguridad de EthTrust de la EEA publicó recientemente la versión 1 del Especificación de los niveles de seguridad de EEA EthTrust. Esta es una nueva e importante especificación técnica de la AEMA que describe los requisitos para las auditorías de seguridad de los contratos inteligentes. Con el valor creciente de Ethereum Mainnet y el papel cada vez mayor de los contratos inteligentes Solidity/EVM en muchas cadenas de bloques, este tema se está volviendo cada vez más importante.

La especificación establece tres niveles de requisitos, desde aquellos que se pueden probar automáticamente con una pieza de software (Nivel de seguridad [S]), hasta un análisis exhaustivo que cubre la calidad de la codificación y la precisión de la documentación.

La verificación del nivel de seguridad [S] para problemas obvios puede ser suficiente para una pieza de código simple de bajo valor, mientras que un análisis estático completo realizado por un experto para garantizar que su código cumpla con los requisitos del nivel de seguridad [M] proporciona garantías extrañas para contratos importantes . El nivel de seguridad [Q], con una evaluación profunda y cuidadosa de la lógica comercial y la calidad de la codificación, es más apropiado para un contrato crítico que manejará un valor sustancial o para un código que se reutilizará en múltiples proyectos.

Los auditores de seguridad que hacen referencia a esta especificación pueden demostrar que cubren la gama de vulnerabilidades conocidas en sus procedimientos de prueba. Esto proporciona un punto de referencia neutral para ayudar a los clientes a elegir un nivel adecuado de revisión de seguridad y comprender sus implicaciones.

Los desarrolladores familiarizados con la especificación podrán anticipar muchos problemas que descubriría una auditoría de seguridad de calidad, reduciendo el costo de remediación y mejorando sus propias habilidades y eficiencia.

Hasta ahora, el mejor enfoque para garantizar que los contratos inteligentes fueran seguros ha sido elegir una empresa de confianza para realizar auditorías, o quizás dos para estar seguro. Si bien estas empresas existen, algunas tienen una larga acumulación de trabajo. Mientras tanto, ha sido difícil incluso para los recién llegados de alta calidad establecerse en el mercado, porque no había un estándar externo para validar su trabajo.

Esta especificación EEA tiene por objeto abordar esa brecha en el ecosistema. Garantizar que la auditoría de seguridad que está recibiendo cumple con el nivel de seguridad de EthTrust correspondiente ahora ofrece un control de calidad neutral y validado por la industria para este servicio crítico.

Debido a que esta especificación se ha desarrollado con la participación de muchos de los principales actores en la seguridad de contratos inteligentes, sirve como una marca de calidad independiente, en lugar de las opiniones de una empresa. Como se indica en los agradecimientos de los colaboradores, numerosos expertos en seguridad de varias organizaciones competidoras lo han verificado para garantizar que respalda los estándares de buena calidad para la industria.

Esta especificación se ha desarrollado durante los últimos dos años, abordando las vulnerabilidades de seguridad de múltiples fuentes. Del mismo modo, las revisiones en profundidad de expertos que trabajan en varias organizaciones miembros de la AEMA han ayudado a que quede lo más claro posible.

Dado que un cierto nivel de transparencia es importante en la seguridad, el borradores de especificaciones estaban disponibles para el público incluso cuando eran un trabajo inacabado en progreso. La primera versión se enfoca en contratos escritos en Solidity pero es relevante para cualquier cadena de bloques que ejecute un EVM.

Con la primera versión publicada como una especificación EEA, el grupo de trabajo planea recopilar comentarios y estudiar cómo se usa, así como vigilar el campo de la seguridad en constante evolución, para producir una versión actualizada cuando sea apropiado.

En otras actividades futuras, el grupo y la AEMA también pueden considerar trabajos como esquemas de certificación y herramientas adicionales para respaldar la adopción y aumentar la seguridad general del ecosistema Ethereum.

Por ahora, nos complace haber brindado una base sólida para que todo el ecosistema se desarrolle de manera más segura que nunca, lo que justifica una mayor confianza en la capacidad de los desarrolladores de calidad de Ethereum para salvaguardar el valor real y los procesos importantes respaldados por contratos inteligentes. El grupo de trabajo ahora está redactando su próximo estatuto y reclutando más miembros para mantener la especificación y llevar este trabajo al siguiente nivel.

Para conocer los muchos beneficios de la membresía de EEA, comuníquese con el miembro del equipo James Harsh en  o visite https://entethalliance.org/become-a-member/.

Siganos en Twitter, Etiqueta LinkedIn y Facebook para estar al día sobre todo lo relacionado con el EEE.