Dicembre 20, 2021
Siamo lieti di annunciare due nuove iniziative di sicurezza, che coinvolgono partnership con immunitario ed Certora, volto a migliorare ulteriormente l'integrità e la sicurezza di Contratti OpenZeppelin. Con oltre quattro milioni di download fino ad oggi, sappiamo che la community fa affidamento sulla nostra libreria di contratti intelligenti come elemento essenziale per lo sviluppo Web3. Queste nuove partnership e misure fanno parte del nostro continuo impegno a far crescere e proteggere l’economia decentralizzata.
OpenZeppelin Contracts è una libreria per lo sviluppo sicuro di contratti intelligenti. Gli sviluppatori Web3 utilizzano questa libreria per costruire su solide basi di codice controllato dalla comunità. La libreria include implementazioni popolari di ERC20 ed ERC721; flessibile autorizzazioni basate sui ruoli schemi; riutilizzabile Componenti di solidità; E altro ancora.
“La sicurezza è sempre al primo posto per il nostro team di sviluppo, dato che le vulnerabilità nella nostra libreria possono avere un impatto su progetti con un valore bloccato di miliardi di dollari. Negli ultimi mesi abbiamo spedito il Registro della sicurezza dei contratti intelligenti e ha introdotto un'estensione periodo di revisione della comunità. Le nostre nuove partnership rappresentano un movimento continuo in questa direzione”, ha osservato Santiago Palladino, Responsabile dello Sviluppo. “Con Immunifi, noi abbiamo lanciato il nostro primo programma formale di bug bounty. Inoltre, Certora è impegnata in una verifica formale e in un audit continuo dei contratti OpenZeppelin.”
Programma Immunefi Bug Bounty
I programmi Bug Bounty offrono ai progetti open source un modo collaudato ed efficace per mantenere la sicurezza durante la scalabilità. In passato, assegnavamo premi agli white hat che presentavano vulnerabilità critiche. La nostra partnership con immunitario, la principale piattaforma di bug bounty della DeFi, istituisce il nostro primo programma formale di bug bounty con premi fino a $ 25,000.
Le aree di interesse per il programma bug bounty sono le seguenti:
- Perdita di fondi per congelamento o furto
- Negazione del servizio (il contratto intelligente viene reso incapace di funzionare)
- Il controllo degli accessi viene aggirato, inclusa l'escalation dei privilegi
- Il contratto intelligente non si comporta come previsto
“Siamo lieti di fungere da sede formale per il programma bug bounty di OpenZeppelin. Contribuire a salvaguardare una delle librerie di contratti intelligenti più popolari aiuterà a rimuovere i rischi per la sicurezza e a proteggere gli utenti, promuovendo la nostra missione di salvaguardare l’intero Web3”, ha osservato Mitchell Amador, CEO e fondatore di Immunefi.
Attraverso la libreria è già stata assegnata una vulnerabilità di basso livello; la richiesta pull della correzione è disponibile qui. Scopri di più sulle soglie di pagamento, sulle vulnerabilità prioritarie e sui livelli di classificazione delle minacce di Immunefi sul sito pagina ufficiale del programma.
Verifica formale della Certora
La verifica formale produce una prova che un pezzo di software, in questo caso della nostra libreria di contratti intelligenti open source, è attivo Certora — soddisfa una specifica, aiutando a stabilire una base di proprietà verificate e di eventuali bug scoperti. Lunedì scorso Certora ha concluso la prima fase dell'iter pubblicare una revisione dei contratti di governance di OpenZeppelin. Successivamente, il team continuerà a lavorare sul resto dei nostri contratti, classificati in ordine di importanza dal team di sviluppo di OpenZeppelin.
"La nostra verifica formale di una delle librerie di contratti intelligenti open source più utilizzate trasmetterà i vantaggi della nostra tecnologia di prova al mondo degli utenti di contratti intelligenti OpenZeppelin", ha affermato Mooly Sagiv, CEO di Certora. Il sistema di verifica formale, Certora Prov, possono verificare in fase di compilazione che tutte le esecuzioni di uno smart contract soddisfino un insieme standard di regole di sicurezza. Utilizzeremo Certora Prover come parte della pipeline di integrazione continua per futuri aggiornamenti alla libreria.
Desideriamo inoltre ringraziare il Ethereum Foundation per aver fornito un contributo di 100,000 dollari a sostegno dell'iniziativa.
Standardizzazione e sicurezza continue degli Smart Contract
Oltre al nostro lavoro con Immunefi e Certora, abbiamo recentemente adottato una serie di ulteriori misure per investire ulteriormente nell’integrità e nella sicurezza dei contratti OpenZeppelin. Alcuni punti salienti includono:
- Raddoppiare il team di sviluppo che lavora sui contratti
- Stabilire un periodo di revisione da parte della comunità per le nuove uscite, che include regolari inviti pubblici
- Creare e rilasciare il file Registro della sicurezza dei contratti intelligenti in questo modo i progetti con valore bloccato nei contratti OpenZeppelin possono essere avvisati delle vulnerabilità prima della divulgazione pubblica. Iscriviti al registro qui.
- Supporto continuo di Procedura guidata dei contratti, il nostro semplice strumento per la creazione di contratti intelligenti che sfrutta le nostre librerie, richiede ai costruttori di utilizzare le ultime build di contratti intelligenti con la notazione corretta.
Ci auguriamo che queste iniziative e altre a venire rafforzeranno la nostra libreria e la capacità della comunità di sviluppatori di costruire meglio e scalare in modo sicuro. Scopri come contribuire al programma bug bounty di Immunefi qui e leggi la prima relazione di Certora qui. Unisciti a noi il 29 gennaio alle Summit DeFi della Stanford University dove ospiteremo un panel con Certora.
- 000
- Chi siamo
- aggiuntivo
- Tutti
- già
- revisione
- Linea di base
- miliardi
- Blog
- Insetto
- bug
- costruire
- Costruzione
- ceo
- classificazione
- codice
- impegno
- comunità
- continua
- contratto
- contratti
- decentrata
- DeFi
- Costruttori
- sviluppatori
- Mercato
- scoperto
- dollari
- download
- economia
- Efficace
- Nome
- Fondazione
- fondatore
- Adempiere
- fondi
- futuro
- la governance
- Crescere
- capo
- Aiuto
- Casa
- Come
- Tutorial
- HTTPS
- Impact
- Compreso
- iniziativa
- integrazione
- interesse
- Gennaio
- join
- con i più recenti
- principale
- IMPARARE
- Livello
- Biblioteca
- bloccato
- milione
- mente
- Missione
- Lunedì
- mese
- maggior parte
- Più popolare
- movimento
- offrire
- ufficiale
- aprire
- open source
- minimo
- Partnership
- partnership
- pezzo
- piattaforma
- Popolare
- processi
- Programma
- Programmi
- progetti
- prova
- protegge
- la percezione
- Uscite
- rapporto
- recensioni
- norme
- Suddetto
- Scala
- scala
- problemi di
- set
- Un'espansione
- smart
- smart contract
- So
- Software
- Stage
- presentata
- supporto
- sistema
- Tecnologia
- L'iniziativa
- il mondo
- Attraverso
- top
- Aggiornamenti
- us
- utenti
- APPREZZIAMO
- Convalida
- vulnerabilità
- vulnerabilità
- Web3
- OMS
- Lavora
- lavoro
- mondo