20 décembre 2021
Nous sommes heureux d'annoncer deux nouvelles initiatives de sécurité, impliquant des partenariats avec Immunitaire ainsi que Certora, visant à renforcer encore l'intégrité et la sécurité des Contrats OpenZeppelin. Avec plus de quatre millions de téléchargements à ce jour, nous comprenons que la communauté s'appuie sur notre bibliothèque de contrats intelligents en tant que bloc de construction essentiel pour le développement Web3. Ces nouveaux partenariats et mesures s'inscrivent dans le cadre de notre engagement continu à développer et à protéger l'économie décentralisée.
OpenZeppelin Contracts est une bibliothèque pour le développement sécurisé de contrats intelligents. Les développeurs Web3 utilisent cette bibliothèque pour s'appuyer sur une base solide de code approuvé par la communauté. La bibliothèque comprend des implémentations populaires de ERC20 ainsi que ERC721; souple autorisation basée sur les rôles régimes; réutilisable Composants de solidité; et plus.
« La sécurité est toujours une priorité pour notre équipe de développement étant donné que les vulnérabilités de notre bibliothèque peuvent avoir un impact sur des projets d'une valeur verrouillée de plusieurs milliards de dollars. Au cours des derniers mois, nous avons expédié le Registre de sécurité des contrats intelligents et introduit une extension période d'examen communautaire. Nos nouveaux partenariats sont un mouvement continu dans cette direction », a observé Santiago Palladino, responsable du développement. « Avec Immunefi, nous lancé notre premier programme officiel de primes de bogues. De plus, Certora est engagé dans une vérification formelle et un audit continu des contrats OpenZeppelin.
Programme Immunefi Bug Bounty
Les programmes Bug Bounty offrent un moyen éprouvé et efficace pour les projets open source de maintenir la sécurité tout en évoluant. Dans le passé, nous accordions des primes aux white hats qui soumettaient des vulnérabilités critiques. Notre partenariat avec Immunitaire, la principale plate-forme de primes de bogues DeFi, établit notre premier programme formel de primes de bogues avec jusqu'à 25,000 XNUMX $ de primes.
Les domaines d'intérêt du programme Bug Bounty sont les suivants :
- Perte de fonds par gel ou vol
- Déni de service (le contrat intelligent est rendu incapable de fonctionner)
- Le contrôle d'accès est contourné, y compris l'élévation des privilèges
- Le contrat intelligent ne se comporte pas comme prévu
« Nous sommes ravis d'accueillir officiellement le programme Bug Bounty d'OpenZeppelin. Aider à protéger l'une des bibliothèques de contrats intelligents les plus populaires contribuera à éliminer les risques de sécurité et à protéger les utilisateurs, renforçant ainsi notre mission de protéger l'ensemble de Web3 », a déclaré Mitchell Amador, PDG et fondateur d'Immunefi.
Une vulnérabilité de bas niveau a déjà été attribuée via la bibliothèque ; la pull request du correctif est disponible ici. En savoir plus sur les seuils de paiement, les vulnérabilités hiérarchisées et les niveaux de classification des menaces d'Immunefi sur le page officielle du programme.
Certora Vérification Formelle
La vérification formelle produit une preuve qu'un logiciel - dans ce cas de notre bibliothèque de contrats intelligents open source par Certora — répond à un cahier des charges, aidant à établir une base de référence des propriétés vérifiées et des bogues découverts. Certora a terminé la première étape du processus lundi dernier publier une revue des contrats de gouvernance d'OpenZeppelin. Ensuite, l'équipe continuera à travailler sur le reste de nos contrats, classés par l'équipe de développement d'OpenZeppelin par ordre d'importance.
« Notre vérification formelle de l'une des bibliothèques de contrats intelligents open source les plus largement utilisées apportera les avantages de notre technologie de preuve au monde des utilisateurs de contrats intelligents OpenZeppelin », a déclaré Mooly Sagiv, PDG de Certora. Le système de vérification formelle, Prouveur de certora, peut vérifier au moment de la compilation que toutes les exécutions d'un contrat intelligent respectent un ensemble standard de règles de sécurité. Nous utiliserons Certora Prover dans le cadre du pipeline d'intégration continue pour les futures mises à jour de la bibliothèque.
Nous tenons également à remercier le Fondation Ethereum pour avoir fourni une contribution de 100,000 XNUMX $ à l'appui de l'initiative.
Normalisation et sécurité continues des contrats intelligents
En plus de notre travail avec Immunefi et Certora, nous avons récemment pris un certain nombre de mesures supplémentaires pour investir davantage dans l'intégrité et la sécurité des contrats OpenZeppelin. Certains faits saillants incluent:
- Doubler l'équipe de développement travaillant sur des contrats
- Établir une période d'examen communautaire pour les nouvelles versions, qui comprend des appels publics réguliers
- Créer et diffuser le Registre de sécurité des contrats intelligents Ainsi, les projets dont la valeur est verrouillée dans les contrats OpenZeppelin peuvent être alertés des vulnérabilités avant les divulgations publiques. Inscrivez-vous au registre ici.
- Soutien continu de Assistant Contrats, notre outil simple de création de contrats intelligents exploitant nos bibliothèques, invite les constructeurs à utiliser les dernières versions de contrats intelligents avec une notation appropriée.
Nous espérons que ces initiatives et d'autres à venir renforceront notre bibliothèque et la capacité de la communauté des développeurs à mieux construire et à évoluer en toute sécurité. Découvrez comment contribuer au programme de primes de bogues Immunefi ici et lire le premier rapport de Certora ici. Rejoignez-nous le 29 janvier sur Sommet DeFi de l'Université de Stanford où nous animerons un panel avec Certora.
- 000
- Qui sommes-nous
- Supplémentaire
- Tous
- déjà
- audit
- Baseline
- milliards
- BLOG
- Punaise
- bogues
- construire
- Développement
- CEO
- classification
- code
- engagement
- Communautés
- continuer
- contrat
- contrats
- Décentralisé
- DeFi
- Développeur
- mobiles
- Développement
- découvert
- dollars
- téléchargements
- économie
- Efficace
- Prénom
- Fondation
- fondateur
- Remplir
- fonds
- avenir
- gouvernance
- Croître
- front
- aider
- Accueil
- Comment
- How To
- HTTPS
- Impact
- Y compris
- initiative
- l'intégration
- intérêt
- Janvier
- rejoindre
- Nouveautés
- conduisant
- APPRENTISSAGE
- Niveau
- Bibliothèque
- fermé
- million
- l'esprit
- Mission
- lundi XNUMX
- mois
- (en fait, presque toutes)
- Le Plus Populaire
- mouvement
- code
- officiel
- ouvert
- open source
- de commander
- Partenariat
- partenariats
- pièce
- plateforme
- Populaire
- processus
- Programme
- Programmes
- projets
- preuve
- protéger
- public
- de Presse
- rapport
- Avis
- Saïd
- Escaliers intérieurs
- mise à l'échelle
- sécurité
- set
- étapes
- smart
- contrat intelligent
- So
- Logiciels
- Étape
- soumis
- Support
- combustion propre
- Technologie
- L'initiative
- le monde
- Avec
- top
- Actualités
- us
- utilisateurs
- Plus-value
- Vérification
- vulnérabilités
- vulnérabilité
- Web3
- WHO
- Activités principales
- de travail
- world