以太坊開發者需要知道的四項安全性原則,以及一些基本權衡。
盡管區塊鏈行業的發展日趨成熟,但是智能合約的開發仍是一個相對較新的領域。因此,為了應對新的漏洞和安全危機,以及滿足開發新的最佳實踐的需要,我們應該不斷完善安全性方面的問題。學習最佳實踐只是智能合約開發者在安全性方面踏出的第一步。
智能合約編程需要一種不同于傳統的工程思維。智能合約失敗的代價很高,更新迭代需要較大工程量,這使得它在某些方面更類似于硬件編程或金融服務編程,而不是web或者移動端開發。因此,僅僅防御已知的風險是遠遠不夠的,還需要掌握新的開發理念。
準備應急措施
任何重要的合約都會出現故障。因此,開發者必須做好充足的準備,以便及時應對漏洞。
Arbitrum DAO已在Snapshot上開啟贈款Domain分配者投票:9月9日消息,Arbitrum DAO 已在 Snapshot 上開啟贈款 Domain 分配者的提名投票,分配者角色將負責審查和尋找資助申請,主要涉及游戲、開發者工具、新協議理念、教育、社區發展和活動四個領域,投票將于 9 月 14 日結束,當前獲得票數最高的 Arbitrum 社區提名者分別是:Jeremy(游戲)、Shreddy(教育、社區發展和活動)、Matt(StableLabs)(新協議理念)、以及 Hiko(開發者工具)。[2023/9/9 13:28:28]
出現故障時暫停合約?(“斷路器”)。
管理風險資金的數量?(限制流量,最大化利用率)。
準備有效的升級路徑以修復和改進bug。
Coinbase紀念NFT Stand with Crypto總鑄造量超15萬枚:6月15日消息,Coinbase所發布的紀念NFT Stand with Crypto總鑄造量已突破15萬枚,此前6月6日Coinbase被美國證券交易委員會(SEC)起訴時該NFT系列的總鑄造量約為13萬枚,這意味著過去一周新增鑄造量超過2萬枚,增長率超過15%。[2023/6/15 21:38:46]
防患未然
最好是在完整的產品發布之前發現bug。
全面測試合約,并在發現新的攻擊向量時添加相應測試。
alpha測試網版本發布之后,提供bug賞金。
分階段推出,每個階段更新功能并添加新測試。
報告:a16z去年投資11家區塊鏈公司,占其金融科技領域投資筆數的22%:2月27日消息,據CB Insights統計報告,a16z去年在金融科技領域共投資了49家公司,其三大投資方向分別為支付、區塊鏈和數字貸款。其中,a16z去年投資11家區塊鏈公司,包括Aztec、dynamic、Lido、Phantom等,占其對金融科技領域投資筆數的22%。[2023/2/27 12:31:27]
保持智能合約的簡潔性
復雜性會提高出現故障的概率。
確保合約邏輯簡單。
模塊化代碼以使合約和函數保持較小。
請盡可能使用既有工具或代碼?(例如不要使用自己的隨機數生成器)。
在保證清晰度的前提下再考慮性能。
Web3音樂流媒體平臺Wavlake完成種子輪融資:金色財經報道,Web3音樂流媒體平臺Wavlake宣布已完成種子輪融資,Trammell Venture Partners領投,但具體金額暫未披露。Wavlake 由音樂家兼制作人 Michael Rhee 和 Sam Means 共同創立,通過使用區塊鏈和 Web3 工具幫助藝術家利用閃電網絡接受比特幣付款,繼而提供一種新型音樂流媒體服務,不過該公司表示現階段不會發行任何類型的特殊代幣,而是給藝術家和粉絲構建一個更公平的平臺。(builtinchicago)[2023/2/22 12:22:55]
只在系統中需要去中心化的部分使用區塊鏈技術。
保持更新
跟進新的安全性措施。
檢查智能合約,以最快的速度定位新漏洞。
盡快升級到任何工具或庫的最新版本。
采用可能有效的保障安全性的新技術。
了解EVM的特性
盡管開發者對以太坊編程較熟悉,但仍需要注意一些陷阱。
要特別小心外部合約調用,該過程可能會執行惡意代碼并改變控制流(controlflow)。
要明白,開發者的公共函數是公開的,可能會被惡意調用,調用順序也可能是任意的。任何人都可以查看智能合同中的隱私數據。
注意gas成本和區塊gas限制。
注意,區塊鏈上的時間戳是不精確的:礦工可以在幾秒內影響交易執行的時間。
隨機性是區塊鏈上一個重要的特性,大多數產生隨機數的方法在區塊鏈上是具有博弈性的。
基本權衡因素
在評估智能合約系統的結構和安全性時,需要考慮多種基本的權衡。對于所有智能合約系統的普遍建議是,在這些權衡之間找到平衡點。
從軟件工程的角度來看,理想的智能合約系統是模塊化的,即重用代碼而不是復制代碼,以及支持可升級的組件。而從安全架構的角度來看,理想的智能合約系統可能同樣會使用這種模式,尤其是面對更為復雜的智能合約系統。
然而,當安全性和軟件工程最佳實踐出現不一致時,也會有一些例外情況發生。而在每種情況下,可通過選擇合約系統上的最佳性能組合來達到平衡,例如:
固定版本vs.可升級
整塊化vs.模塊化
復制vs.重用
固定版本vs.可升級
當多個資源?(包括此資源)?強調自身的延伸性時?(比如可中斷的、可升級的或可修改的模式),那么就需要在延伸性和安全性之間找到一個平衡點。
延伸性增加了復雜性和潛在的受攻擊性。如果智能合約系統在預先規定的有限時間內能夠完成的功能非常有限,那么這時簡潔性比復雜性要有效得多,例如,無治理的限時代幣發售合約系統。
整塊化vs.模塊化
獨立的整塊化合約允許信息在本地識別和讀取。雖然整塊化合約一般不被重視,但對于數據和流的極端本地化存在爭議,例如代碼審計的效率優化。
與本文考慮的其他因素一樣,在簡單的短期合約中,安全性最佳實踐趨向于與軟件工程最佳實踐相悖;而在更復雜的永久合約系統中,兩者趨于相一致。
復制vs.重用
從軟件工程的角度來看,智能合約系統希望能夠在需要時最大化重用功能。在Solidity語言中,有許多重用合約代碼的方法。實現代碼重用的最安全的方式通常是:使用自己之前經過驗證和部署的合約。
如果之前部署的合約無法使用,開發者通常就需要依靠復制功能了。OpenZeppelin的Solidity庫嘗試提供一些模式,使得安全代碼可以在無需復制的情況下被重用。任何合約安全分析都必須將目標智能合約系統中還沒有與風險資金建立相當信任級別的重用代碼包含在內。
現如今,在以太坊上創建應用軟件無疑是最令軟件工程師激動的前沿領域,但這需要持續不斷的威脅建模?(threatmodeling)、安全審計,還需要做好周全計劃以應對故障發生。
原文鏈接:https://media.consensys.net/the-smart-contract-security-mindset-a09f5f8f5f4f
來源|?ConsenSysMedia
金色財經區塊鏈7月25日訊??如今虛擬資產行業發展十分迅猛,配套的監管制度和合規機制也急需構建配套.
1900/1/1 0:00:00OKCoin是中國最早的加密貨幣交易所之一,也與幣安、火幣統稱為三大。OK在中文區的曝光量也相對更高,但由于嚴密的對外保密制度、復雜的組織體系、以及高管頻繁的變動,OK的高層組織架構最難以歸納.
1900/1/1 0:00:00上周,推特上的數字貨幣愛好者們再次「炸鍋」。當地時間7月22日,美國貨幣監理署高級副審計長兼高級法律顧問JonathanGould表示,根據他們的結論,銀行可以為客戶提供數字貨幣托管服務,包括持.
1900/1/1 0:00:00聰明的人玩市場,跟風的人博市場,虧損的理由千千萬,盈利的道理卻只有一個,認清自己所處的心理狀態,合理的調整態勢;你需要有一套有效的趨勢跟蹤系統,更重要的是良好的資金管理和風險控制機制.
1900/1/1 0:00:008月3日,人民銀行召開2020年下半年工作電視會議,傳達學習黨中央、國務院關于經濟金融工作的重要部署,總結上半年各項工作,分析經濟金融形勢,對下半年重點工作作出部署.
1900/1/1 0:00:007月21日,北京市地方金融監督管理局發文《北京股權交易中心獲得首批開展區塊鏈試點建設資格》,文中表示證監會7月7日發布《關于原則同意北京、上海、蘇州、浙江、深圳等5家區域性股權市場開展區塊鏈建設.
1900/1/1 0:00:00