Quão forte é a segurança do seu contrato inteligente? Quem disse?

Por Chaals Nevile, Diretor de Programas Técnicos da EEA e Editor da Especificação de Níveis de Segurança EthTrust da EEA v1

O Grupo de Trabalho sobre Níveis de Segurança EthTrust da AEA publicou recentemente a versão 1 do Especificação de níveis de segurança EEA EthTrust. Esta é uma nova especificação técnica importante da AEA, que descreve os requisitos para auditorias de segurança de contratos inteligentes. Com o valor crescente da Ethereum Mainnet e o papel crescente dos contratos inteligentes Solidity/EVM em muitas blockchains, este tópico está se tornando cada vez mais importante.

A especificação estabelece três níveis de requisitos, desde aqueles que podem ser testados automaticamente com um software (Nível de Segurança [S]) até uma análise completa que abrange a qualidade da codificação e a precisão da documentação.

A verificação do Nível de Segurança [S] para problemas óbvios pode ser suficiente para um código simples de baixo valor, enquanto uma análise estática completa por um especialista para garantir que seu código atenda aos requisitos do Nível de Segurança [M] fornece garantias estranhas para contratos importantes . O nível de segurança [Q], com uma avaliação profunda e cuidadosa da lógica de negócios e da qualidade da codificação, é mais apropriado para um contrato crítico que lidará com valor substancial ou para código que será reutilizado em vários projetos.

Os auditores de segurança que se referem a esta especificação podem mostrar que cobrem toda a gama de vulnerabilidades conhecidas em seus procedimentos de teste. Isso fornece uma referência neutra para ajudar os clientes a escolher um nível apropriado de revisão de segurança e compreender suas implicações.

Os desenvolvedores familiarizados com a especificação serão capazes de antecipar muitos problemas que uma auditoria de segurança de qualidade revelaria, reduzindo o custo da correção e melhorando suas próprias habilidades e eficiência.

Até agora, a melhor abordagem para garantir a segurança dos contratos inteligentes tem sido escolher uma empresa respeitável para realizar auditorias, ou talvez duas, para garantir a segurança. Embora essas empresas existam, algumas têm um longo acúmulo de trabalho. Entretanto, tem sido difícil, mesmo para os recém-chegados de alta qualidade, estabelecerem-se no mercado, porque não existia uma norma externa para validar o seu trabalho.

Esta especificação do EEE destina-se a colmatar essa lacuna no ecossistema. Garantir que a auditoria de segurança que você está obtendo esteja em conformidade com o nível de segurança EthTrust correspondente agora oferece uma verificação de qualidade neutra e validada pelo setor para este serviço crítico.

Como esta especificação foi desenvolvida com a participação de muitos dos principais participantes na segurança de contratos inteligentes, ela serve como uma marca de qualidade independente, e não como uma opinião de uma empresa. Conforme observado nos agradecimentos dos colaboradores, ele foi verificado por vários especialistas em segurança de diversas organizações concorrentes para garantir que sustenta bons padrões de qualidade para o setor.

Esta especificação foi desenvolvida nos últimos anos, abordando vulnerabilidades de segurança de diversas fontes. Da mesma forma, análises aprofundadas de especialistas que trabalham em diversas organizações membros do EEE ajudaram a torná-lo o mais claro possível.

Como um certo nível de transparência é importante na segurança, o rascunhos de especificações estavam disponíveis ao público mesmo quando eram um trabalho inacabado em andamento. A primeira versão concentra-se em contratos escritos em Solidity, mas é relevante para qualquer blockchain que execute um EVM.

Com a primeira versão publicada como uma especificação do EEE, o Grupo de Trabalho planeia recolher feedback e estudar como é utilizada, bem como manter-se atento ao campo em constante evolução da segurança, para produzir uma versão atualizada quando for apropriado.

Noutras atividades futuras, o grupo e a AEA também poderão considerar trabalhos como esquemas de certificação e ferramentas adicionais para apoiar a adoção e aumentar a segurança geral do ecossistema Ethereum.

Por enquanto, estamos felizes por ter fornecido uma base sólida para que todo o ecossistema possa ser construído com mais segurança do que nunca, justificando o aumento da confiança na capacidade dos desenvolvedores Ethereum de qualidade de salvaguardar o valor real e processos importantes sustentados por contratos inteligentes. O grupo de trabalho está agora a redigir o seu próximo estatuto e a recrutar mais membros, para manter as especificações e levar este trabalho ao próximo nível.

Para saber mais sobre os muitos benefícios de ser membro do EEE, entre em contato com o membro da equipe James Harsh em  ou visite https://entethalliance.org/become-a-member/.

Siga-nos no Twitter, LinkedIn e Facebook para manter-se atualizado sobre tudo relacionado ao EEE.