Mức độ bảo mật của Hợp đồng thông minh của bạn mạnh đến mức nào? Nói ai?

Bởi Chaals Nevile, Giám đốc Chương trình Kỹ thuật của EEA và là Biên tập viên của Đặc tả mức độ bảo mật EthTrust v1 của EEA

Nhóm làm việc về Cấp độ bảo mật EthTrust của EEA gần đây đã xuất bản phiên bản 1 của Thông số kỹ thuật cấp độ bảo mật EEA EthTrust. Đây là một đặc điểm kỹ thuật mới quan trọng của EEA, phác thảo các yêu cầu đối với kiểm toán bảo mật của hợp đồng thông minh. Với giá trị ngày càng tăng của Ethereum Mainnet và vai trò ngày càng tăng của các hợp đồng thông minh Solidity/EVM trong nhiều chuỗi khối, chủ đề này ngày càng trở nên quan trọng hơn.

Thông số kỹ thuật đặt ra ba cấp độ yêu cầu, từ những yêu cầu có thể được kiểm tra tự động bằng một phần mềm (Mức bảo mật [S]), đến phân tích kỹ lưỡng về chất lượng mã hóa và độ chính xác của tài liệu.

Kiểm tra Cấp độ bảo mật [S] để tìm các sự cố rõ ràng có thể đủ đối với một đoạn mã đơn giản có giá trị thấp, trong khi phân tích tĩnh đầy đủ của một chuyên gia để đảm bảo mã của bạn đáp ứng các yêu cầu của Cấp độ bảo mật [M] cung cấp bảo đảm cho người lạ đối với các hợp đồng quan trọng . Cấp độ bảo mật [Q], với sự đánh giá sâu sắc và cẩn thận về logic nghiệp vụ và chất lượng mã hóa sẽ phù hợp hơn cho một hợp đồng quan trọng sẽ xử lý giá trị đáng kể hoặc cho mã sẽ được sử dụng lại trong nhiều dự án.

Các kiểm toán viên bảo mật tham khảo thông số kỹ thuật này có thể cho thấy họ bao gồm toàn bộ các lỗ hổng đã biết trong quy trình thử nghiệm của họ. Điều này cung cấp một điểm chuẩn trung lập, để giúp khách hàng chọn mức đánh giá bảo mật thích hợp và hiểu ý nghĩa của nó.

Các nhà phát triển quen thuộc với đặc điểm kỹ thuật sẽ có thể dự đoán nhiều vấn đề mà một cuộc kiểm toán bảo mật chất lượng sẽ phát hiện ra, giảm chi phí khắc phục và nâng cao kỹ năng cũng như hiệu quả của chính họ.

Cho đến nay, cách tiếp cận tốt nhất để đảm bảo rằng các hợp đồng thông minh được an toàn là chọn một công ty có uy tín để thực hiện kiểm toán, hoặc có lẽ là hai công ty để đảm bảo an toàn. Trong khi các công ty này tồn tại, một số có công việc tồn đọng lâu dài. Trong khi đó, ngay cả những người mới có chất lượng cao cũng khó có thể khẳng định mình trên thị trường, bởi vì không có tiêu chuẩn bên ngoài nào để xác nhận công việc của họ.

Thông số kỹ thuật EEA này nhằm giải quyết lỗ hổng đó trong hệ sinh thái. Đảm bảo rằng quá trình kiểm tra bảo mật mà bạn đang thực hiện tuân thủ Cấp độ bảo mật EthTrust tương ứng hiện cung cấp dịch vụ kiểm tra chất lượng trung lập, được ngành xác thực cho dịch vụ quan trọng này.

Bởi vì thông số kỹ thuật này đã được phát triển với sự tham gia của nhiều người chơi chính trong bảo mật hợp đồng thông minh nên nó đóng vai trò là một nhãn hiệu chất lượng độc lập, thay vì ý kiến ​​của một công ty. Như đã lưu ý trong lời cảm ơn của những người đóng góp, nó đã được kiểm tra chéo bởi nhiều chuyên gia bảo mật từ nhiều tổ chức cạnh tranh để đảm bảo rằng nó củng cố các tiêu chuẩn chất lượng tốt cho ngành.

Thông số kỹ thuật này đã được phát triển trong vài năm qua, giải quyết các lỗ hổng bảo mật từ nhiều nguồn. Tương tự, các bài đánh giá chuyên sâu từ các chuyên gia làm việc trong nhiều tổ chức thành viên EEA đã giúp làm cho nó rõ ràng nhất có thể.

Vì một mức độ minh bạch nhất định là quan trọng trong bảo mật, bản thảo đặc điểm kỹ thuật đã có sẵn cho công chúng ngay cả khi chúng là một công việc chưa hoàn thành. Phiên bản đầu tiên tập trung vào các hợp đồng được viết bằng Solidity nhưng có liên quan đến bất kỳ chuỗi khối nào chạy EVM.

Với phiên bản đầu tiên được xuất bản dưới dạng đặc tả EEA, Nhóm làm việc có kế hoạch thu thập phản hồi và nghiên cứu cách sử dụng, cũng như theo dõi lĩnh vực bảo mật không ngừng phát triển, để tạo ra phiên bản cập nhật khi phù hợp.

Trong các hoạt động khác trong tương lai, nhóm và EEA cũng có thể xem xét các công việc như chương trình chứng nhận và công cụ bổ sung để hỗ trợ việc áp dụng và tăng tính bảo mật tổng thể của hệ sinh thái Ethereum.

Hiện tại, chúng tôi rất vui vì đã cung cấp một nền tảng vững chắc cho toàn bộ hệ sinh thái để xây dựng một cách an toàn hơn bao giờ hết, chứng minh sự tin tưởng ngày càng tăng vào khả năng của các nhà phát triển Ethereum chất lượng để bảo vệ giá trị thực và các quy trình quan trọng được củng cố bởi các hợp đồng thông minh. Nhóm làm việc hiện đang soạn thảo điều lệ tiếp theo và tuyển thêm thành viên để duy trì đặc điểm kỹ thuật và đưa công việc này lên một tầm cao mới.

Để tìm hiểu về nhiều lợi ích của tư cách thành viên EEA, hãy liên hệ với thành viên nhóm James Harsh tại  hoặc truy cập https://entethalliance.org/become-a-member/.

Theo dõi chúng tôi tại Twitter, LinkedIn và Facebook để luôn cập nhật về tất cả mọi thứ ở EEA.