ความปลอดภัยของ Smart Contract ของคุณแข็งแกร่งแค่ไหน? ใครเอ่ย?

โดย Chaals Nevile ผู้อำนวยการโปรแกรมด้านเทคนิคของ EEA และบรรณาธิการของ EEA EthTrust Security Levels Specification v1

คณะทำงานระดับความปลอดภัย EthTrust ของ EEA เพิ่งเผยแพร่เวอร์ชัน 1 ของ ข้อกำหนดระดับความปลอดภัยของ EEA EthTrust. นี่คือข้อกำหนดทางเทคนิคใหม่ของ EEA ที่สำคัญ ซึ่งสรุปข้อกำหนดสำหรับการตรวจสอบความปลอดภัยของสัญญาอัจฉริยะ ด้วยมูลค่าที่เพิ่มขึ้นของ Ethereum Mainnet และบทบาทที่เพิ่มขึ้นของสัญญาอัจฉริยะ Solidity/EVM ในบล็อกเชนจำนวนมาก หัวข้อนี้ยิ่งมีความสำคัญมากขึ้นเท่านั้น

ข้อมูลจำเพาะกำหนดข้อกำหนดสามระดับ ตั้งแต่ระดับที่สามารถทดสอบโดยอัตโนมัติด้วยซอฟต์แวร์ (ระดับความปลอดภัย [S]) ไปจนถึงการวิเคราะห์อย่างละเอียดครอบคลุมคุณภาพการเข้ารหัสและความถูกต้องของเอกสารประกอบ

การตรวจสอบระดับความปลอดภัย [S] สำหรับปัญหาที่ชัดเจนอาจเพียงพอสำหรับโค้ดธรรมดาที่มีมูลค่าต่ำ ในขณะที่การวิเคราะห์แบบสแตติกเต็มรูปแบบโดยผู้เชี่ยวชาญเพื่อให้แน่ใจว่าโค้ดของคุณตรงตามข้อกำหนดของระดับความปลอดภัย [M] ให้การรับประกันคนแปลกหน้าสำหรับสัญญาที่สำคัญ . ระดับความปลอดภัย [Q] ด้วยการประเมินเชิงลึกและรอบคอบของตรรกะทางธุรกิจและคุณภาพการเข้ารหัสจะเหมาะสมกว่าสำหรับสัญญาที่สำคัญซึ่งจะจัดการกับมูลค่าจำนวนมาก หรือสำหรับโค้ดที่จะถูกนำมาใช้ซ้ำในหลายโครงการ

ผู้ตรวจสอบความปลอดภัยที่อ้างถึงข้อกำหนดนี้สามารถแสดงว่าพวกเขาครอบคลุมขอบเขตของช่องโหว่ที่ทราบในขั้นตอนการทดสอบของพวกเขา สิ่งนี้ให้เกณฑ์มาตรฐานที่เป็นกลาง เพื่อช่วยให้ลูกค้าเลือกระดับการตรวจสอบความปลอดภัยที่เหมาะสมและเข้าใจความหมาย

นักพัฒนาที่คุ้นเคยกับข้อกำหนดจะสามารถคาดการณ์ปัญหาต่างๆ มากมายที่การตรวจสอบความปลอดภัยด้านคุณภาพจะเปิดเผย ลดต้นทุนในการแก้ไขและปรับปรุงทักษะและประสิทธิภาพของตนเอง

จนถึงขณะนี้ แนวทางที่ดีที่สุดในการรับประกันว่าสัญญาอัจฉริยะมีความปลอดภัยคือการเลือกบริษัทที่มีชื่อเสียงเพื่อทำการตรวจสอบ หรืออาจเลือกบริษัทสองแห่งที่อยู่ในฝั่งที่ปลอดภัย ในขณะที่บริษัทเหล่านี้มีอยู่ บางแห่งก็มีงานค้างอยู่เป็นเวลานาน ในขณะเดียวกันก็เป็นเรื่องยากสำหรับผู้มาใหม่ที่มีคุณภาพสูงในการสร้างตัวเองในตลาด เนื่องจากไม่มีมาตรฐานภายนอกในการตรวจสอบผลงานของพวกเขา

ข้อกำหนด EEA นี้มีไว้เพื่อแก้ไขช่องว่างดังกล่าวในระบบนิเวศ การทำให้มั่นใจว่าการตรวจสอบความปลอดภัยที่คุณได้รับนั้นสอดคล้องกับระดับความปลอดภัย EthTrust ที่สอดคล้องกัน ขณะนี้มีการตรวจสอบคุณภาพที่เป็นกลางและผ่านการรับรองจากอุตสาหกรรมสำหรับบริการที่สำคัญนี้

เนื่องจากข้อกำหนดนี้ได้รับการพัฒนาโดยมีส่วนร่วมของผู้เล่นหลักหลายรายในการรักษาความปลอดภัยสัญญาอัจฉริยะ จึงทำหน้าที่เป็นเครื่องหมายคุณภาพอิสระ แทนที่จะเป็นความคิดเห็นของบริษัทใดบริษัทหนึ่ง ตามที่ระบุไว้ในการรับทราบของผู้ร่วมให้ข้อมูล ผู้เชี่ยวชาญด้านความปลอดภัยจำนวนมากจากหลายองค์กรที่แข่งขันกันตรวจสอบเพื่อให้แน่ใจว่าได้มาตรฐานคุณภาพที่ดีสำหรับอุตสาหกรรม

ข้อมูลจำเพาะนี้ได้รับการพัฒนาในช่วงสองสามปีที่ผ่านมา โดยระบุช่องโหว่ด้านความปลอดภัยจากหลายแหล่ง การตรวจสอบเชิงลึกจากผู้เชี่ยวชาญที่ทำงานในองค์กรสมาชิก EEA หลายแห่งได้ช่วยให้ชัดเจนมากที่สุดเท่าที่จะเป็นไปได้

เนื่องจากความโปร่งใสในระดับหนึ่งเป็นสิ่งสำคัญในการรักษาความปลอดภัย ร่างข้อกำหนด เผยแพร่สู่สาธารณชนได้แม้ในขณะที่งานเหล่านั้นยังดำเนินไม่เสร็จ เวอร์ชันแรกมุ่งเน้นไปที่สัญญาที่เขียนขึ้นใน Solidity แต่เกี่ยวข้องกับบล็อกเชนที่รัน EVM

ด้วยเวอร์ชันแรกที่เผยแพร่เป็นข้อมูลจำเพาะของ EEA คณะทำงานวางแผนที่จะรวบรวมข้อเสนอแนะและศึกษาวิธีการใช้ รวมทั้งจับตาดูด้านความปลอดภัยที่พัฒนาตลอดเวลา เพื่อสร้างเวอร์ชันอัปเดตเมื่อมีความเหมาะสม

ในกิจกรรมอื่นๆ ในอนาคต กลุ่มและ EEA อาจพิจารณางานเช่นแผนการรับรองและเครื่องมือเพิ่มเติมเพื่อสนับสนุนการนำไปใช้และเพิ่มความปลอดภัยโดยรวมของระบบนิเวศ Ethereum

สำหรับตอนนี้ เรามีความยินดีที่ได้มอบรากฐานที่แข็งแกร่งให้กับระบบนิเวศทั้งหมดเพื่อสร้างความปลอดภัยมากขึ้นกว่าเดิม แสดงให้เห็นถึงความไว้วางใจที่เพิ่มขึ้นในความสามารถของนักพัฒนา Ethereum ที่มีคุณภาพในการปกป้องคุณค่าที่แท้จริงและกระบวนการสำคัญที่สนับสนุนโดยสัญญาอัจฉริยะ ขณะนี้คณะทำงานกำลังร่างกฎบัตรฉบับต่อไปและสรรหาสมาชิกเพิ่มเติม เพื่อรักษาข้อกำหนดและนำงานนี้ไปสู่ระดับต่อไป

หากต้องการเรียนรู้เกี่ยวกับประโยชน์มากมายของการเป็นสมาชิก EEA โปรดติดต่อ James Harsh สมาชิกในทีมที่  หรือเยี่ยมชม https://entethalliance.org/become-a-member/.

ติดตามเราได้ที่ Twitter, LinkedIn และ  Facebook เพื่อติดตามข่าวสารล่าสุดเกี่ยวกับ EEA