Hoe sterk is de beveiliging van uw slimme contract? Zegt wie?

Door Chaals Nevile, EEA Director of Technical Programs, en redacteur van EEA EthTrust Security Levels Specification v1

De EthTrust Security Levels Working Group van het EEA heeft onlangs versie 1 van de EEA EthTrust-beveiligingsniveaus Specificatie. Dit is een belangrijke nieuwe technische specificatie van de EER, waarin de vereisten voor beveiligingsaudits van slimme contracten worden uiteengezet. Met de toenemende waarde van Ethereum Mainnet en de toenemende rol van Solidity/EVM smart contracts in veel blockchains, wordt dit onderwerp alleen maar belangrijker.

De specificatie stelt drie niveaus van vereisten vast, van vereisten die automatisch kunnen worden getest met een stuk software (Security Level [S]), tot een grondige analyse van de coderingskwaliteit en de nauwkeurigheid van de documentatie.

De controle op beveiligingsniveau [S] voor voor de hand liggende problemen kan voldoende zijn voor een stuk eenvoudige code met een lage waarde, terwijl een volledige statische analyse door een expert om ervoor te zorgen dat uw code voldoet aan de vereisten van beveiligingsniveau [M] vreemdere garanties biedt voor belangrijke contracten . Beveiligingsniveau [Q], met een grondige en zorgvuldige beoordeling van bedrijfslogica en coderingskwaliteit, is geschikter voor een cruciaal contract dat substantiële waarde zal verwerken, of voor code die in meerdere projecten zal worden hergebruikt.

Beveiligingsauditors die naar deze specificatie verwijzen, kunnen aantonen dat ze het scala aan bekende kwetsbaarheden in hun testprocedures dekken. Dit biedt een neutrale maatstaf om klanten te helpen het juiste beveiligingsniveau te kiezen en de implicaties ervan te begrijpen.

Ontwikkelaars die bekend zijn met de specificatie zullen in staat zijn om te anticiperen op veel problemen die een kwaliteitsvolle beveiligingsaudit aan het licht zou brengen, waardoor de kosten van herstel worden verlaagd en hun eigen vaardigheden en efficiëntie worden verbeterd.

Tot nu toe was de beste manier om ervoor te zorgen dat slimme contracten veilig waren, het kiezen van een gerenommeerd bedrijf om audits uit te voeren, of misschien twee voor de zekerheid. Hoewel deze bedrijven bestaan, hebben sommige een lange werkachterstand. Ondertussen is het zelfs voor hoogwaardige nieuwkomers moeilijk geweest om zich op de markt te vestigen, omdat er geen externe standaard was om hun werk te valideren.

Deze EER-specificatie is bedoeld om die leemte in het ecosysteem aan te pakken. Ervoor zorgen dat de beveiligingsaudit die u krijgt voldoet aan het overeenkomstige EthTrust-beveiligingsniveau, biedt nu een neutrale, door de industrie gevalideerde kwaliteitscontrole voor deze kritieke service.

Omdat deze specificatie is ontwikkeld met medewerking van veel van de grote spelers op het gebied van slimme contractbeveiliging, dient het als een onafhankelijk keurmerk, in plaats van de mening van één bedrijf. Zoals opgemerkt in de dankbetuigingen van bijdragers, is het gecontroleerd door tal van beveiligingsexperts van meerdere concurrerende organisaties om ervoor te zorgen dat het de goede kwaliteitsnormen voor de industrie ondersteunt.

Deze specificatie is de afgelopen jaren ontwikkeld en pakt beveiligingsproblemen uit meerdere bronnen aan. Evenzo hebben diepgaande beoordelingen van experts die in meerdere EER-lidorganisaties werken, geholpen om het zo duidelijk mogelijk te maken.

Aangezien een zekere mate van transparantie belangrijk is bij beveiliging, is de specificatie ontwerpen waren beschikbaar voor het publiek, zelfs terwijl ze een onvoltooid werk in uitvoering waren. De eerste versie richt zich op contracten die in Solidity zijn geschreven, maar is relevant voor elke blockchain waarop een EVM draait.

Nu de eerste versie is gepubliceerd als een EER-specificatie, is de werkgroep van plan om feedback te verzamelen en te bestuderen hoe deze wordt gebruikt, en om het zich steeds verder ontwikkelende veiligheidsveld in de gaten te houden, om een ​​bijgewerkte versie te produceren wanneer dat nodig is.

Bij andere toekomstige activiteiten kunnen de groep en het EMA ook werk overwegen zoals certificeringsschema's en verdere tooling om de acceptatie te ondersteunen en de algehele veiligheid van het Ethereum-ecosysteem te vergroten.

Voor nu zijn we blij dat we een sterke basis hebben gelegd voor het hele ecosysteem om veiliger dan ooit op voort te bouwen, wat het toegenomen vertrouwen rechtvaardigt in het vermogen van hoogwaardige Ethereum-ontwikkelaars om echte waarde en belangrijke processen te waarborgen die worden ondersteund door slimme contracten. De werkgroep stelt nu haar volgende charter op en rekruteert nieuwe leden om de specificatie te behouden en dit werk naar een hoger niveau te tillen.

Neem voor meer informatie over de vele voordelen van het EER-lidmaatschap contact op met teamlid James Harsh op:  of ga naar https://entethalliance.org/become-a-member/.

Volg ons op Twitter, LinkedIn en Facebook om op de hoogte te blijven van alles wat met de EER te maken heeft.