December 20, 2021
Vi är glada att kunna tillkännage två nya säkerhetsinitiativ, som involverar partnerskap med Immunefi och Certora, som syftar till att ytterligare förbättra integriteten och säkerheten för OpenZeppelin-kontrakt. Med över fyra miljoner nedladdningar hittills förstår vi att samhället förlitar sig på vårt smarta kontraktsbibliotek som en viktig byggsten för Web3-utveckling. Dessa nya partnerskap och åtgärder är en del av vårt fortsatta engagemang för att växa och skydda den decentraliserade ekonomin.
OpenZeppelin Contracts är ett bibliotek för säker smart kontraktsutveckling. Web3-utvecklare använder det här biblioteket för att bygga på en solid grund av gemenskapskontrollerad kod. Biblioteket innehåller populära implementeringar av ERC20 och ERC721; flexibel rollbaserad behörighet system; återanvändbar Soliditetskomponenter; och mer.
"Säkerhet är alltid i fokus för vårt utvecklingsteam eftersom sårbarheter i vårt bibliotek kan påverka projekt med miljarder dollar i låst värde. Under de senaste månaderna har vi skickat Smart Contract Security Registry och införde en utökad granskningsperiod för samhället. Våra nya partnerskap är en fortsatt rörelse i denna riktning, säger Santiago Palladino, utvecklingschef. "Med Immunefi, vi lanserade vårt första formella bug-bounty-program. Dessutom är Certora engagerad i en formell verifiering och en pågående revision av OpenZeppelin-kontrakt.”
Immunefi Bug Bounty Program
Bug bounty-program erbjuder ett beprövat och effektivt sätt för projekt med öppen källkod att upprätthålla säkerheten medan de skalas. Tidigare delade vi ut prispengar till vita hattar som skickade in kritiska sårbarheter. Vårt samarbete med Immunefi, den ledande DeFi bug bounty plattformen, etablerar vårt första formella bug bounty program med upp till $25,000 XNUMX bounty.
Intresseområdena för bug-bounty-programmet är följande:
- Förlust av pengar genom frysning eller stöld
- Denial of service (smart kontrakt görs oförmögen att fungera)
- Åtkomstkontroll förbigås, inklusive behörighetsupptrappning
- Smart kontrakt beter sig inte som det är tänkt
"Vi är glada över att kunna fungera som det formella hemmet för OpenZeppelins bug-bounty-program. Att hjälpa till att skydda ett av de mest populära smarta kontraktsbiblioteken kommer att hjälpa till att ta bort säkerhetsrisker och skydda användare, vilket främjar vårt uppdrag att skydda hela Web3”, konstaterade Mitchell Amador VD och grundare av Immunefi.
En sårbarhet på låg nivå tilldelades redan genom biblioteket; fixens pull-begäran är tillgänglig här.. Läs mer om utbetalningströsklar, prioriterade sårbarheter och Immunefis hotklassificeringsnivåer på programmets officiella sida.
Certora formell verifiering
Formell verifiering ger ett bevis på att en mjukvara — i det här fallet med vårt smarta kontraktsbibliotek med öppen källkod av Certora — uppfyller en specifikation, vilket hjälper till att upprätta en baslinje av egenskaper som verifierats och eventuella buggar som upptäckts. Certora avslutade det första steget i processen i måndags publicerar en recension av OpenZeppelins styrningskontrakt. Därefter kommer teamet att fortsätta arbeta på resten av våra kontrakt, rankade av OpenZeppelins utvecklingsteam i ordning efter betydelse.
"Vår formella verifiering av ett av de mest använda smarta kontraktsbiblioteken med öppen källkod kommer att förmedla fördelarna med vår testteknik till världen av OpenZeppelin smarta kontraktsanvändare", säger Mooly Sagiv, VD för Certora. Det formella verifieringssystemet, Certora Prover, kan kontrollera vid kompilering att alla exekveringar av ett smart kontrakt uppfyller en standarduppsättning säkerhetsregler. Vi kommer att använda Certora Prover som en del av den kontinuerliga integrationspipelinen för framtida uppdateringar av biblioteket.
Vi vill också tacka Ethereum Foundation för att ha lämnat ett bidrag på $100,000 XNUMX till stöd för initiativet.
Pågående smart kontraktsstandardisering och säkerhet
Utöver vårt arbete med Immunefi och Certora, tog vi nyligen ett antal ytterligare steg för att ytterligare investera i integriteten och säkerheten för OpenZeppelin-kontrakt. Några höjdpunkter inkluderar:
- Fördubbling av utvecklingsteamet som arbetar med kontrakt
- Inrätta en granskningsperiod för communityn för nya utgåvor, som inkluderar regelbundna offentliga samtal
- Skapa och släppa Smart Contract Security Registry så projekt med värde låst i OpenZeppelin-kontrakt kan varnas om sårbarheter innan offentliga avslöjande. Registrera dig för registret här..
- Fortsatt stöd till Kontraktsguiden, vårt enkla smarta kontraktsskapande verktyg som utnyttjar våra bibliotek, uppmanar byggare att använda de senaste smarta kontraktsbyggena med korrekt notation.
Vi hoppas att dessa initiativ och fler kommer att stärka vårt bibliotek och utvecklargemenskapens förmåga att bygga bättre och skala säkert. Lär dig hur du bidrar till Immunefi bug-bounty-programmet här. och läs Certoras första rapport här.. Häng med oss 29 januari kl Stanford Universitys DeFi Summit där vi kommer att vara värd för en panel med Certora.
- 000
- Om oss
- Annat
- Alla
- redan
- revision
- Baslinje
- miljarder
- Blogg
- Bug
- fel
- SLUTRESULTAT
- Byggnad
- VD
- klassificering
- koda
- engagemang
- samfundet
- fortsätta
- kontrakt
- kontrakt
- decentraliserad
- Defi
- Utvecklare
- utvecklare
- Utveckling
- upptäckt
- dollar
- Nedladdningar
- ekonomi
- Effektiv
- Förnamn
- fundament
- grundare
- Uppfylla
- fonder
- framtida
- styrning
- Väx
- huvud
- hjälpa
- Hem
- Hur ser din drömresa ut
- How To
- HTTPS
- Inverkan
- Inklusive
- Initiativ
- integrering
- intresse
- Januari
- delta
- senaste
- ledande
- LÄRA SIG
- Nivå
- Bibliotek
- låst
- miljon
- emot
- Mission
- Måndag
- månader
- mest
- Mest populär
- rörelse
- erbjudanden
- tjänsteman
- öppet
- öppen källkod
- beställa
- Partnerskap
- partnerskap
- bit
- plattform
- Populära
- process
- Program
- Program
- projekt
- bevis
- skydda
- allmän
- meddelanden
- rapport
- översyn
- regler
- Nämnda
- Skala
- skalning
- säkerhet
- in
- Enkelt
- smarta
- smart kontrakt
- So
- Mjukvara
- Etapp
- lämnats
- stödja
- system
- Teknologi
- Initiativet
- världen
- Genom
- topp
- Uppdateringar
- us
- användare
- värde
- Verifiering
- sårbarheter
- sårbarhet
- Web3
- VEM
- Arbete
- arbetssätt
- världen