20 de dezembro de 2021
Temos o prazer de anunciar duas novas iniciativas de segurança, envolvendo parcerias com Imune e Certora, com o objetivo de melhorar ainda mais a integridade e a segurança dos Contratos OpenZeppelin. Com mais de quatro milhões de downloads até o momento, entendemos que a comunidade confia em nossa biblioteca de contratos inteligentes como um elemento essencial para o desenvolvimento do Web3. Estas novas parcerias e medidas fazem parte do nosso compromisso contínuo de crescer e proteger a economia descentralizada.
OpenZeppelin Contracts é uma biblioteca para desenvolvimento seguro de contratos inteligentes. Os desenvolvedores Web3 usam esta biblioteca para construir uma base sólida de código aprovado pela comunidade. A biblioteca inclui implementações populares de ERC20 e ERC721; flexível permissão baseada em função esquemas; reutilizável Componentes de solidez; e mais.
“A segurança é sempre uma prioridade para nossa equipe de desenvolvimento, já que as vulnerabilidades em nossa biblioteca podem impactar projetos com bilhões de dólares em valor bloqueado. Nos últimos meses enviamos o Registro de segurança de contrato inteligente e introduziu uma extensão período de revisão da comunidade. Nossas novas parcerias são um movimento contínuo nessa direção”, observou Santiago Palladino, Chefe de Desenvolvimento. “Com a Immunefi, nós lançamos nosso primeiro programa formal de recompensas por bugs. Além disso, a Certora está envolvida em uma verificação formal e em uma auditoria contínua dos Contratos OpenZeppelin.”
Programa de recompensas de bugs imunológicos
Os programas de recompensa por bugs oferecem uma maneira comprovada e eficaz para projetos de código aberto manterem a segurança durante o dimensionamento. No passado, concedemos recompensas aos white hats que apresentaram vulnerabilidades críticas. Nossa parceria com Imune, a plataforma líder de recompensas de bugs DeFi, estabelece nosso primeiro programa formal de recompensas de bugs com recompensas de até US$ 25,000.
As áreas de interesse do programa de recompensas por bugs são as seguintes:
- Perda de fundos por congelamento ou roubo
- Negação de serviço (contrato inteligente torna-se incapaz de operar)
- O controle de acesso é ignorado, incluindo escalonamento de privilégios
- O contrato inteligente não se comporta conforme pretendido
“Temos o prazer de servir como sede formal do programa de recompensas de bugs do OpenZeppelin. Ajudar a proteger uma das bibliotecas de contratos inteligentes mais populares ajudará a remover riscos de segurança e proteger os usuários, promovendo nossa missão de proteger toda a Web3”, observou Mitchell Amador CEO e fundador da Immunefi.
Uma vulnerabilidade de baixo nível já foi concedida pela biblioteca; a solicitação pull da correção está disponível SUA PARTICIPAÇÃO FAZ A DIFERENÇA. Leia mais sobre limites de pagamento, vulnerabilidades priorizadas e níveis de classificação de ameaças da Immunefi na página página oficial do programa.
Verificação formal da Certora
A verificação formal produz uma prova de que um software — neste caso, nossa biblioteca de contratos inteligentes de código aberto da Certora — satisfaz uma especificação, ajudando a estabelecer uma linha de base de propriedades verificadas e quaisquer bugs descobertos. Certora concluiu a primeira etapa do processo na última segunda-feira publicando uma revisão dos contratos de governança do OpenZeppelin. A seguir, a equipe continuará trabalhando no restante dos nossos contratos, classificados pela equipe de desenvolvimento do OpenZeppelin em ordem de importância.
“Nossa verificação formal de uma das bibliotecas de contratos inteligentes de código aberto mais utilizadas transmitirá os benefícios de nossa tecnologia de prova ao mundo dos usuários de contratos inteligentes OpenZeppelin”, disse Mooly Sagiv, CEO da Certora. O sistema de verificação formal, Provador Certora, pode verificar em tempo de compilação se todas as execuções de um contrato inteligente atendem a um conjunto padrão de regras de segurança. Usaremos o Certora Prover como parte do pipeline de integração contínua para futuras atualizações da biblioteca.
Gostaríamos também de agradecer ao Ethereum Foundation por fornecer uma contribuição de US$ 100,000 em apoio à iniciativa.
Padronização e segurança contínua de contratos inteligentes
Além do nosso trabalho com a Immunefi e a Certora, recentemente tomamos uma série de medidas adicionais para investir ainda mais na integridade e segurança dos Contratos OpenZeppelin. Alguns destaques incluem:
- Dobrando a equipe de desenvolvimento trabalhando em contratos
- Estabelecer um período de revisão da comunidade para novos lançamentos, que inclui chamadas públicas regulares
- Criando e liberando o Registro de segurança de contrato inteligente assim, projetos com valor bloqueado em contratos OpenZeppelin podem ser alertados sobre vulnerabilidades antes de divulgações públicas. Inscreva-se no registro SUA PARTICIPAÇÃO FAZ A DIFERENÇA.
- Apoio contínuo de Assistente de contratos, nossa ferramenta simples de criação de contratos inteligentes que aproveita nossas bibliotecas, solicita que os construtores usem as versões mais recentes de contratos inteligentes com a notação adequada.
Esperamos que essas iniciativas e outras que estão por vir fortaleçam nossa biblioteca e a capacidade da comunidade de desenvolvedores de construir melhor e escalar com segurança. Aprenda como contribuir com o programa de recompensas por bugs Immunefi SUA PARTICIPAÇÃO FAZ A DIFERENÇA e leia o primeiro relatório da Certora SUA PARTICIPAÇÃO FAZ A DIFERENÇA. Junte-se a nós dia 29 de janeiro às Cúpula DeFi da Universidade de Stanford onde realizaremos um painel com a Certora.
- 000
- Sobre
- Adicional
- Todos os Produtos
- já
- auditor
- Linha de Base
- bilhões
- Blog
- Bug
- erros
- construir
- Prédio
- Chefe executivo
- classificação
- código
- compromisso
- comunidade
- continuar
- contract
- contratos
- Descentralizada
- DeFi
- Developer
- desenvolvedores
- Desenvolvimento
- descoberto
- dólares
- de downloads
- economia
- Eficaz
- Primeiro nome
- Foundation
- fundador
- Cumprir
- fundos
- futuro
- governo
- Cresça:
- cabeça
- ajudar
- Início
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- Impacto
- Incluindo
- Iniciativa
- integração
- interesse
- janeiro
- juntar
- mais recente
- principal
- APRENDER
- Nível
- Biblioteca
- trancado
- milhão
- mente
- Missão
- Segunda-feira
- mês
- a maioria
- Mais populares
- movimento
- oferecer
- oficial
- aberto
- open source
- ordem
- Google Cloud
- parcerias
- peça
- plataforma
- Popular
- processo
- Agenda
- Programas
- projetos
- prova
- proteger
- público
- Releases
- Denunciar
- rever
- regras
- Dito
- Escala
- dimensionamento
- segurança
- conjunto
- simples
- smart
- smart contract
- So
- Software
- Etapa
- apresentado
- ajuda
- .
- Equipar
- A iniciativa
- o mundo
- Através da
- topo
- Atualizações
- us
- usuários
- valor
- Verificação
- vulnerabilidades
- vulnerabilidade
- Web3
- QUEM
- Atividades:
- trabalhar
- mundo