Desember 20, 2021
Vi er glade for å kunngjøre to nye sikkerhetsinitiativer, som involverer partnerskap med Immunefi og Certora, rettet mot ytterligere å forbedre integriteten og sikkerheten til OpenZeppelin-kontrakter. Med over fire millioner nedlastinger til dags dato forstår vi at fellesskapet er avhengig av vårt smarte kontraktsbibliotek som en viktig byggestein for Web3-utvikling. Disse nye partnerskapene og tiltakene er en del av vår fortsatte forpliktelse til å vokse og beskytte den desentraliserte økonomien.
OpenZeppelin Contracts er et bibliotek for sikker smart kontraktutvikling. Web3-utviklere bruker dette biblioteket til å bygge på et solid grunnlag av fellesskapskontrollert kode. Biblioteket inkluderer populære implementeringer av ERC20 og ERC721; fleksibel rollebasert tillatelse ordninger; gjenbrukbare Soliditetskomponenter; og mer.
«Sikkerhet er alltid på topp for utviklingsteamet vårt, siden sårbarheter i biblioteket vårt kan påvirke prosjekter med milliarder av dollar i låst verdi. I løpet av de siste månedene har vi sendt Smart Contract Security Registry og introduserte en utvidet gjennomgangsperiode for samfunnet. Våre nye partnerskap er en fortsatt bevegelse i denne retningen,» sa Santiago Palladino, utviklingssjef. "Med Immunefi, vi lanserte vårt første formelle bug-bounty-program. I tillegg er Certora engasjert i en formell verifisering og en pågående revisjon av OpenZeppelin-kontrakter.»
Immunefi Bug Bounty Program
Bug bounty-programmer tilbyr en velprøvd og effektiv måte for åpen kildekode-prosjekter å opprettholde sikkerheten mens de skaleres. Tidligere delte vi ut dusører til hvite hatter som sendte inn kritiske sårbarheter. Vårt samarbeid med Immunefi, den ledende DeFi-bug-bounty-plattformen, etablerer vårt første formelle bug-bounty-program med opptil $25,000 XNUMX dusører.
Områdene av interesse for bug bounty-programmet er som følger:
- Tap av midler ved frysing eller tyveri
- Denial of service (smart kontrakt er gjort ute av stand til å fungere)
- Tilgangskontroll omgås, inkludert rettighetseskalering
- Smart kontrakt oppfører seg ikke som tiltenkt
«Vi er glade for å fungere som det formelle hjemmet for OpenZeppelins bug-bounty-program. Å bidra til å beskytte et av de mest populære smarte kontraktsbibliotekene vil bidra til å fjerne sikkerhetsrisikoer og beskytte brukere, og fremme vårt oppdrag om å beskytte hele Web3,» sa Mitchell Amador CEO og grunnlegger av Immunefi.
En sårbarhet på lavt nivå ble allerede tildelt gjennom biblioteket; reparasjonens pull-forespørsel er tilgjengelig her.. Les mer om utbetalingsterskler, prioriterte sårbarheter og Immunefis trusselklassifiseringsnivåer på programmets offisielle side.
Certora formell verifikasjon
Formell verifisering produserer et bevis på at et stykke programvare — i dette tilfellet vårt smarte kontraktsbibliotek med åpen kildekode av Certora – tilfredsstiller en spesifikasjon, og hjelper til med å etablere en baseline av egenskaper verifisert og eventuelle feil oppdaget. Certora fullførte den første fasen av prosessen sist mandag publiserer en anmeldelse av OpenZeppelin styringskontrakter. Deretter vil teamet fortsette å jobbe med resten av kontraktene våre, rangert av OpenZeppelin utviklingsteam i rekkefølge etter viktighet.
"Vår formelle verifisering av et av de mest brukte åpen kildekode-smartkontraktsbibliotekene vil formidle fordelene med vår testteknologi til verden av OpenZeppelin-smartkontraktbrukere," sa Mooly Sagiv, administrerende direktør i Certora. Det formelle verifiseringssystemet, Certora Prover, kan sjekke på kompileringstidspunktet at alle utførelser av en smart kontrakt oppfyller et standard sett med sikkerhetsregler. Vi vil bruke Certora Prover som en del av den kontinuerlige integrasjonspipelinen for fremtidige oppdateringer til biblioteket.
Vi vil også takke Ethereum Foundation for å gi et bidrag på $100,000 XNUMX til støtte for initiativet.
Pågående smart kontraktstandardisering og sikkerhet
I tillegg til vårt arbeid med Immunefi og Certora, tok vi nylig en rekke ekstra skritt for å investere ytterligere i integriteten og sikkerheten til OpenZeppelin-kontrakter. Noen høydepunkter inkluderer:
- Dobling av utviklingsteamet som jobber med kontrakter
- Etablere en fellesskapsgjennomgangsperiode for nye utgivelser, som inkluderer vanlige offentlige samtaler
- Opprette og gi ut Smart Contract Security Registry så prosjekter med verdi låst i OpenZeppelin-kontrakter kan varsles om sårbarheter før offentlig avsløring. Registrer deg i registeret her..
- Fortsatt støtte til Veiviser for kontrakter, vårt enkle smarte kontraktopprettingsverktøy som utnytter bibliotekene våre, ber utbyggere om å bruke de siste smarte kontraktbyggene med riktig notasjon.
Vi håper at disse initiativene og flere som kommer vil styrke biblioteket vårt og utviklermiljøets evne til å bygge bedre og skalere sikkert. Lær hvordan du kan bidra til Immunefi-bug-premieprogrammet her. og les Certoras første rapport her.. Bli med oss 29. januar kl Stanford Universitys DeFi-toppmøte hvor vi vil være vertskap for et panel med Certora.
- 000
- Om oss
- Ytterligere
- Alle
- allerede
- revisjon
- Baseline
- milliarder
- Blogg
- Bug
- bugs
- bygge
- Bygning
- konsernsjef
- klassifisering
- kode
- engasjement
- samfunnet
- fortsette
- kontrakt
- kontrakter
- desentralisert
- Defi
- Utvikler
- utviklere
- Utvikling
- oppdaget
- dollar
- nedlastinger
- økonomi
- Effektiv
- Først
- Fundament
- Grunnleggeren
- Innfri
- midler
- framtid
- styresett
- Grow
- hode
- hjelpe
- Hjemprodukt
- Hvordan
- Hvordan
- HTTPS
- Påvirkning
- Inkludert
- Initiative
- integrering
- interesse
- Januar
- bli medlem
- siste
- ledende
- LÆRE
- Nivå
- Bibliotek
- låst
- millioner
- tankene
- Oppdrag
- mandag
- måneder
- mest
- Mest populær
- bevegelse
- tilby
- offisiell
- åpen
- åpen kildekode
- rekkefølge
- Partnerskap
- partnerskap
- brikke
- plattform
- Populær
- prosess
- program
- programmer
- prosjekter
- bevis
- beskytte
- offentlig
- Utgivelser
- rapporterer
- anmeldelse
- regler
- Sa
- Skala
- skalering
- sikkerhet
- sett
- Enkelt
- Smart
- smart kontrakt
- So
- Software
- Scene
- innsendt
- støtte
- system
- Teknologi
- Initiativet
- verden
- Gjennom
- topp
- oppdateringer
- us
- Brukere
- verdi
- Verifisering
- Sikkerhetsproblemer
- sårbarhet
- Web3
- HVEM
- Arbeid
- arbeid
- verden