Seberapa Kuat Keamanan Kontrak Cerdas Anda? Kata siapa?

Oleh Chaals Nevile, Direktur Program Teknis EEA, dan Editor EEA EthTrust Security Levels Specification v1

Kelompok Kerja Tingkat Keamanan EthTrust EEA baru-baru ini menerbitkan versi 1 dari Spesifikasi Tingkat Keamanan EEA EthTrust. Ini adalah spesifikasi teknis EEA baru yang penting, yang menguraikan persyaratan untuk audit keamanan kontrak pintar. Dengan meningkatnya nilai Ethereum Mainnet, dan meningkatnya peran kontrak pintar Solidity/EVM di banyak blockchain, topik ini menjadi semakin penting.

Spesifikasi menetapkan tiga tingkat persyaratan, dari yang dapat diuji secara otomatis dengan perangkat lunak (Tingkat Keamanan [S]), hingga analisis menyeluruh yang mencakup kualitas pengkodean dan akurasi dokumentasi.

Pemeriksaan Tingkat Keamanan [S] untuk masalah yang jelas mungkin cukup untuk potongan kode sederhana bernilai rendah, sementara analisis statis penuh oleh seorang ahli untuk memastikan kode Anda memenuhi persyaratan Tingkat Keamanan [M] memberikan jaminan asing untuk kontrak penting . Tingkat Keamanan [Q], dengan penilaian mendalam dan hati-hati terhadap logika bisnis dan kualitas pengkodean lebih sesuai untuk kontrak kritis yang akan menangani nilai substansial, atau untuk kode yang akan digunakan kembali dalam banyak proyek.

Auditor keamanan yang mengacu pada spesifikasi ini dapat menunjukkan bahwa mereka mencakup keseluruhan kerentanan yang diketahui dalam prosedur pengujian mereka. Ini memberikan tolok ukur netral, untuk membantu pelanggan memilih tingkat tinjauan keamanan yang sesuai dan memahami implikasinya.

Pengembang yang akrab dengan spesifikasi akan dapat mengantisipasi banyak masalah yang akan diungkap oleh audit keamanan kualitas, mengurangi biaya perbaikan dan meningkatkan keterampilan dan efisiensi mereka sendiri.

Sampai saat ini, pendekatan terbaik untuk memastikan bahwa kontrak cerdas aman adalah memilih perusahaan yang memiliki reputasi baik untuk melakukan audit, atau mungkin dua untuk berada di sisi yang aman. Sementara perusahaan-perusahaan ini ada, beberapa memiliki tumpukan pekerjaan yang panjang. Sementara itu, bahkan pendatang baru berkualitas tinggi pun sulit untuk memantapkan diri di pasar, karena tidak ada standar eksternal untuk memvalidasi pekerjaan mereka.

Spesifikasi EEA ini dimaksudkan untuk mengatasi kesenjangan dalam ekosistem tersebut. Memastikan bahwa audit keamanan yang Anda peroleh sesuai dengan Tingkat Keamanan EthTrust yang sesuai sekarang menawarkan pemeriksaan kualitas netral yang divalidasi industri untuk layanan penting ini.

Karena spesifikasi ini telah dikembangkan dengan partisipasi banyak pemain utama dalam keamanan kontrak pintar, spesifikasi ini berfungsi sebagai tanda kualitas independen, bukan pendapat satu perusahaan. Sebagaimana dicatat dalam pengakuan kontributor, telah diperiksa silang oleh banyak pakar keamanan dari beberapa organisasi yang bersaing untuk memastikan bahwa standar kualitas yang baik untuk industri ini.

Spesifikasi ini telah dikembangkan selama beberapa tahun terakhir, mengatasi kerentanan keamanan dari berbagai sumber. Demikian pula, tinjauan mendalam dari para ahli yang bekerja di beberapa organisasi anggota EEA telah membantu memperjelasnya.

Karena tingkat transparansi tertentu penting dalam keamanan, draf spesifikasi tersedia untuk umum bahkan ketika mereka adalah pekerjaan yang belum selesai dalam proses. Versi pertama berfokus pada kontrak yang ditulis dalam Solidity tetapi relevan dengan blockchain apa pun yang menjalankan EVM.

Dengan versi pertama yang diterbitkan sebagai spesifikasi EEA, Kelompok Kerja berencana untuk mengumpulkan umpan balik dan mempelajari cara penggunaannya, serta mengawasi bidang keamanan yang terus berkembang, untuk menghasilkan versi yang diperbarui saat itu sesuai.

Dalam kegiatan masa depan lainnya, grup dan EEA juga dapat mempertimbangkan pekerjaan seperti skema sertifikasi dan perangkat lebih lanjut untuk mendukung adopsi dan meningkatkan keamanan keseluruhan ekosistem Ethereum.

Untuk saat ini, kami senang telah memberikan fondasi yang kuat bagi seluruh ekosistem untuk membangun lebih aman dari sebelumnya, membenarkan peningkatan kepercayaan pada kemampuan pengembang Ethereum yang berkualitas untuk menjaga nilai nyata dan proses penting yang didukung oleh kontrak pintar. Kelompok kerja sekarang sedang menyusun piagam berikutnya dan merekrut anggota lebih lanjut, untuk mempertahankan spesifikasi dan membawa pekerjaan ini ke tingkat berikutnya.

Untuk mempelajari tentang banyak manfaat keanggotaan EEA, hubungi anggota tim James Harsh di  atau kunjungi https://entethalliance.org/become-a-member/.

Ikuti kami di Twitter, LinkedIn dan Facebook untuk tetap up to date pada semua hal EEA.