以太坊开发者需要知道的四项安全性原则,以及一些基本权衡。
尽管区块链行业的发展日趋成熟,但是智能合约的开发仍是一个相对较新的领域。因此,为了应对新的漏洞和安全危机,以及满足开发新的最佳实践的需要,我们应该不断完善安全性方面的问题。学习最佳实践只是智能合约开发者在安全性方面踏出的第一步。
智能合约编程需要一种不同于传统的工程思维。智能合约失败的代价很高,更新迭代需要较大工程量,这使得它在某些方面更类似于硬件编程或金融服务编程,而不是web或者移动端开发。因此,仅仅防御已知的风险是远远不够的,还需要掌握新的开发理念。
准备应急措施
任何重要的合约都会出现故障。因此,开发者必须做好充足的准备,以便及时应对漏洞。
PEPE市值突破8亿美元,过去24小时内PEPE空头损失1100万美元:金色财经报道,根据CoinGecko数据显示,目前市值达826,165,298美元,过去两周PEPE上涨约500%。PEPE现报0.00000195美元,24小时涨幅为50.2%,24小时交易量为649,806,015美元。另据CoinGlass数据显示,在过去24小时内,PEPE的空头交易员在多个交易所损失至少1100万美元。[2023/5/5 14:44:36]
出现故障时暂停合约?(“断路器”)。
管理风险资金的数量?(限制流量,最大化利用率)。
准备有效的升级路径以修复和改进bug。
防患未然
最好是在完整的产品发布之前发现bug。
Digital Asset Research支持Eurex的比特币指数期货:金色财经报道,加密市场数据提供商Digital Asset Research(DAR)今天宣布,DAR的交易所审查方法和DAR定价将为Eurex新的比特币指数期货提供机构级支撑。Eurex比特币期货提供了在受监管的市场上可信的加密货币访问。
富时比特币指数(FTSE Bitcoin Index)是欧洲期货交易所(Eurex)比特币指数期货的基础,反映了由富时DAR参考价格(FTSE DAR Reference price)决定的比特币结算价格。[2023/4/18 14:09:28]
全面测试合约,并在发现新的攻击向量时添加相应测试。
alpha测试网版本发布之后,提供bug赏金。
美股三大指数集体收涨,标普500指数涨0.34%:金色财经报道,美股三大指数集体收涨,纳指涨0.74%,标普500指数涨0.34%,道指涨0.1%。[2022/9/15 6:57:07]
分阶段推出,每个阶段更新功能并添加新测试。
保持智能合约的简洁性
复杂性会提高出现故障的概率。
确保合约逻辑简单。
模块化代码以使合约和函数保持较小。
请尽可能使用既有工具或代码?(例如不要使用自己的随机数生成器)。
在保证清晰度的前提下再考虑性能。
只在系统中需要去中心化的部分使用区块链技术。
保持更新
Web3Graph获得Huobi Incubator种子轮投资:5月6日消息,Web3.0 数据图谱基础设施项目 Web3Graph 宣布获得 Huobi Incubator 种子轮投资,成功入选孵化器。Web3Graph 是下一代基于事件的开放图谱协议,旨在成为 Web3.0 项目的全新数据图谱基础设施。[2022/5/6 2:55:07]
跟进新的安全性措施。
检查智能合约,以最快的速度定位新漏洞。
尽快升级到任何工具或库的最新版本。
采用可能有效的保障安全性的新技术。
了解EVM的特性
尽管开发者对以太坊编程较熟悉,但仍需要注意一些陷阱。
要特别小心外部合约调用,该过程可能会执行恶意代码并改变控制流(controlflow)。
要明白,开发者的公共函数是公开的,可能会被恶意调用,调用顺序也可能是任意的。任何人都可以查看智能合同中的隐私数据。
注意gas成本和区块gas限制。
注意,区块链上的时间戳是不精确的:矿工可以在几秒内影响交易执行的时间。
随机性是区块链上一个重要的特性,大多数产生随机数的方法在区块链上是具有博弈性的。
基本权衡因素
在评估智能合约系统的结构和安全性时,需要考虑多种基本的权衡。对于所有智能合约系统的普遍建议是,在这些权衡之间找到平衡点。
从软件工程的角度来看,理想的智能合约系统是模块化的,即重用代码而不是复制代码,以及支持可升级的组件。而从安全架构的角度来看,理想的智能合约系统可能同样会使用这种模式,尤其是面对更为复杂的智能合约系统。
然而,当安全性和软件工程最佳实践出现不一致时,也会有一些例外情况发生。而在每种情况下,可通过选择合约系统上的最佳性能组合来达到平衡,例如:
固定版本vs.可升级
整块化vs.模块化
复制vs.重用
固定版本vs.可升级
当多个资源?(包括此资源)?强调自身的延伸性时?(比如可中断的、可升级的或可修改的模式),那么就需要在延伸性和安全性之间找到一个平衡点。
延伸性增加了复杂性和潜在的受攻击性。如果智能合约系统在预先规定的有限时间内能够完成的功能非常有限,那么这时简洁性比复杂性要有效得多,例如,无治理的限时代币发售合约系统。
整块化vs.模块化
独立的整块化合约允许信息在本地识别和读取。虽然整块化合约一般不被重视,但对于数据和流的极端本地化存在争议,例如代码审计的效率优化。
与本文考虑的其他因素一样,在简单的短期合约中,安全性最佳实践趋向于与软件工程最佳实践相悖;而在更复杂的永久合约系统中,两者趋于相一致。
复制vs.重用
从软件工程的角度来看,智能合约系统希望能够在需要时最大化重用功能。在Solidity语言中,有许多重用合约代码的方法。实现代码重用的最安全的方式通常是:使用自己之前经过验证和部署的合约。
如果之前部署的合约无法使用,开发者通常就需要依靠复制功能了。OpenZeppelin的Solidity库尝试提供一些模式,使得安全代码可以在无需复制的情况下被重用。任何合约安全分析都必须将目标智能合约系统中还没有与风险资金建立相当信任级别的重用代码包含在内。
现如今,在以太坊上创建应用软件无疑是最令软件工程师激动的前沿领域,但这需要持续不断的威胁建模?(threatmodeling)、安全审计,还需要做好周全计划以应对故障发生。
原文链接:https://media.consensys.net/the-smart-contract-security-mindset-a09f5f8f5f4f
来源|?ConsenSysMedia
这城市今晚的风很大,吹走坦荡与浮夸,总是累的时候想家,孤单的时候想他,就如交易一般,当时提起时痛不欲生,几年之后,也不过是一场回忆而已,希望我是最好的,是你以后再也遇不到的,重要的人越来越少,剩下的越来越重要,交易让彼此走在一起.
1900/1/1 0:00:00虽然近期整个加密货币市场的币种都有不同程度的上涨,但整个涨幅依然无法和2017年的那场牛市相比.
1900/1/1 0:00:00弘文谈币:8.4早间行情依旧震荡仍可看涨炒币也相似,市场为裁判,技术指标为发令。技术信号出现,后市的走势也不一定100%按照预期来,更何况在信号出现之前进场,也就是抢跑,如果在场所有人都没发现,那么你可能会很幸运,而一旦经人发现,那.
1900/1/1 0:00:002020年的好项目真的很难找了!红极一时的DeFi项目像过山车一样,一个接着一个的出现又一个接着一个的淡出视野;即使是名声响彻圈内的Filecoin也因为各种原因一直在推迟主网的上线.
1900/1/1 0:00:007月28日,中共中央局委员、国务院副总理刘鹤与欧盟委员会执行副主席东布罗夫斯基斯以视频会议形式共同主持第八次中欧经贸高层对话.
1900/1/1 0:00:00节点验证工作不是一定赚钱的 简介 1.到底什么是「验证者」?验证者是参与ETH2.0协议共识机制的实体。用大白话来说,就是持续运行特定的一段计算机程序的人。这个程序会提议并证明新的区块,使之能添加到区块链上.
1900/1/1 0:00:00