Quanto è forte la sicurezza del tuo Smart Contract? Dice chi?

Di Chaals Nevile, Direttore dei programmi tecnici dell'EEA e redattore della Specifica dei livelli di sicurezza EEA EthTrust v1

Il gruppo di lavoro sui livelli di sicurezza EthTrust dell’EEA ha recentemente pubblicato la versione 1 del Specifica dei livelli di sicurezza EEA EthTrust. Si tratta di una nuova importante specifica tecnica dell’EEA, che delinea i requisiti per gli audit di sicurezza dei contratti intelligenti. Con il valore crescente della Mainnet di Ethereum e il ruolo crescente dei contratti intelligenti Solidity/EVM in molte blockchain, questo argomento sta diventando sempre più importante.

La specifica stabilisce tre livelli di requisiti, da quelli che possono essere testati automaticamente con un software (Livello di sicurezza [S]), a un'analisi approfondita che copre la qualità della codifica e l'accuratezza della documentazione.

Il controllo del livello di sicurezza [S] per problemi evidenti potrebbe essere sufficiente per un pezzo di codice semplice di basso valore, mentre un'analisi statica completa da parte di un esperto per garantire che il codice soddisfi i requisiti del livello di sicurezza [M] fornisce garanzie sconosciute per contratti importanti . Il livello di sicurezza [Q], con una valutazione approfondita e attenta della logica aziendale e della qualità della codifica, è più appropriato per un contratto critico che gestirà un valore sostanziale o per un codice che verrà riutilizzato in più progetti.

I revisori della sicurezza che fanno riferimento a questa specifica possono dimostrare di coprire la gamma di vulnerabilità note nelle loro procedure di test. Ciò fornisce un punto di riferimento neutrale, per aiutare i clienti a scegliere un livello appropriato di revisione della sicurezza e comprenderne le implicazioni.

Gli sviluppatori che hanno familiarità con le specifiche saranno in grado di anticipare molti problemi che un controllo di sicurezza di qualità rivelerebbe, riducendo i costi di riparazione e migliorando le proprie competenze ed efficienza.

Fino ad ora, l’approccio migliore per garantire la sicurezza dei contratti intelligenti è stato quello di scegliere un’azienda rispettabile per effettuare gli audit, o forse due per essere sicuri. Anche se queste aziende esistono, alcune hanno un lungo lavoro arretrato. Nel frattempo è stato difficile anche per i nuovi arrivati ​​di alta qualità affermarsi sul mercato, perché non esisteva uno standard esterno per convalidare il loro lavoro.

Questa specifica dell’EEA è intesa a colmare questa lacuna nell’ecosistema. Garantire che il controllo di sicurezza che stai ricevendo sia conforme al corrispondente livello di sicurezza EthTrust offre ora un controllo di qualità neutrale e convalidato dal settore per questo servizio critico.

Poiché questa specifica è stata sviluppata con la partecipazione di molti dei principali attori nella sicurezza dei contratti intelligenti, funge da marchio di qualità indipendente, piuttosto che dalle opinioni di un’azienda. Come notato nei riconoscimenti dei contributori, è stato sottoposto a controlli incrociati da parte di numerosi esperti di sicurezza di diverse organizzazioni concorrenti per garantire che sia alla base di buoni standard di qualità per il settore.

Questa specifica è stata sviluppata negli ultimi due anni, affrontando le vulnerabilità della sicurezza provenienti da più fonti. Allo stesso modo, revisioni approfondite da parte di esperti che lavorano in diverse organizzazioni membri dell’EEA hanno contribuito a renderlo il più chiaro possibile.

Poiché un certo livello di trasparenza è importante per la sicurezza, il bozze di specifiche erano a disposizione del pubblico anche mentre erano un lavoro incompiuto. La prima versione si concentra sui contratti scritti in Solidity ma è rilevante per qualsiasi blockchain che esegue un EVM.

Con la prima versione pubblicata come specifica EEA, il gruppo di lavoro prevede di raccogliere feedback e studiare come viene utilizzata, oltre a tenere d'occhio il campo della sicurezza in continua evoluzione, per produrre una versione aggiornata quando ciò sarà opportuno.

In altre attività future il gruppo e l'EEA potrebbero anche prendere in considerazione lavori come schemi di certificazione e ulteriori strumenti per supportare l'adozione e aumentare la sicurezza complessiva dell'ecosistema Ethereum.

Per ora, siamo felici di aver fornito una solida base su cui l’intero ecosistema può costruire in modo più sicuro che mai, giustificando una maggiore fiducia nella capacità degli sviluppatori di Ethereum di qualità di salvaguardare il valore reale e importanti processi sostenuti da contratti intelligenti. Il gruppo di lavoro sta ora redigendo il prossimo statuto e reclutando ulteriori membri, per mantenere le specifiche e portare questo lavoro al livello successivo.

Per conoscere i numerosi vantaggi dell'adesione all'EEA, contatta il membro del team James Harsh all'indirizzo  o visitare il sito https://entethalliance.org/become-a-member/.

Seguici su Twitter, LinkedIn ed Facebook per rimanere aggiornato su tutto ciò che riguarda il SEE.