比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 波場 > Info

WEB3:a16z:給Web3項目的智能合約安全指南

Author:

Time:1900/1/1 0:00:00

通常,黑客會發現并利用軟件開發整個流程鏈條中的缺陷,從而打破區塊鏈項目的安全屏障。如果能夠提前了解到相關經驗,我相信安全事故會少很多。本文概述了Web3開發人員和安全團隊在設計、開發并維護智能合約時必須考慮的安全要素,覆蓋了從威脅建模到應急響應準備的整個周期。開發一款安全的軟件包括以下五個階段:設計:開發人員描述系統所需的功能和操作,包括重要的基準和固定屬性;開發:開發人員編寫系統代碼;測試和評審:開發人員將所有模塊聚集在一個測試環境中,并評估它們的正確性、規模和其他因素;部署:開發人員將系統投入生產;維護:開發人員評估和修改系統,確保其執行預期功能。下圖將需要考慮的安全因素與上述階段對應起來。

a16z發布加密行業新報告并推出新的加密貨幣指數:4月11日消息,a16zCrypto今日發布2023年加密貨幣狀況報告,并推出加密貨幣狀況指數(STATEOFCRYPTOINDEX),這是一種從技術而非金融角度跟蹤加密行業健康狀況的交互式工具,該指數代表了14個行業指標的加權平均每月增長——從經過驗證的智能合約的數量到交易錢包的數量等。報告的主要要點有:1.區塊鏈有更多的活躍用戶,更多的參與方式;2.DeFi和NFT活動似乎再次上升;3.加密行業活躍開發者數量保持穩定;4.區塊鏈正在通過有前途的新途徑擴展;5.曾經幾乎不可能的新技術正在變得非常真實;6.美國正在失去其在web3領域的領先地位;7.縮小顯示進度。[2023/4/11 13:57:21]

需要注意的是,軟件開發的生命周期并不一定總是遵循線性的路徑:各類別可能重疊或擴展到其他階段。對于每個版本,步驟可能會重復。有些安全任務可能需要貫徹執行。上面描述的軟件生命周期步驟和相應的安全考慮為促進智能合約安全性提供了基礎。下面將從三個問題出發,進行更詳細的研究。1.設計階段的智能合約安全考慮——考慮威脅建模和安全設計

a16z政策主管:美SEC已經“完全失控”:金色財經報道,在Futures Industry Association的年度會議上,CFTC前委員、a16z現任政策主管Brian Quintenz表示,過去幾周,美國證券交易委員會(SEC)等監管機構公布了一系列針對加密貨幣公司的執法行動,許多業內人士認為這是對加密貨幣行業和美國創新的敵意攻擊。

“SEC完全失控了。他們在耍流氓,”Quintenz說,“美國必須做出決定,是否要擁抱和支持這個國家的創新者。有些司法管轄區注意到了這一點。這不是我們在美國看到的情況,時間不等人。”

另一位小組成員、CoinFund總裁Chris Perkins也表示,中國香港、新加坡和英國等司法管轄區在這些進展方面領先于美國。(CoinDesk)[2023/3/15 13:05:22]

內容:從項目開發生命周期初期就明確識別系統的潛在威脅,并確定其優先級是關鍵。智能合約開發人員應該識別在開發中要實現的所有安全控制,以及在測試、審計和監控中應該檢查的威脅。所有安全假設,包括攻擊者預期的復雜程度和經濟手段,都應該在設計階段明確定義和闡明。原因:雖然對開發人員來說,只關注智能合約或協議的預期用途非常吸引人,但這唯一的焦點可能會給他們留下“盲點”,會被攻擊者利用。方法:遵循已知的威脅建模實踐。如果一個開發團隊沒有內部的安全專家,那么它應該在設計階段的早期就與安全顧問接觸。在設計系統時要有“攻擊者”的心態,并預先假定任何個人、機器或服務都有可能受到攻擊的情況。2.發展階段的安全考慮——管理考慮和訪問控制

a16z合伙人:有很多項目在未來12個月內推出:金色財經報道,a16z合伙人Chris Dixon在播客采訪中表示,對明年推出的web3游戲感到興奮,在未來12個月內,有很多的項目推出。Dixon描述說,在過去的三年中,大多數開發web3游戲的團隊都是“游戲愛好者的加密人”。但現在,暴雪、Riot和Valve等“頂級游戲團隊”“決定要么制作包含nft的傳統游戲,要么創造完全的鏈上游戲”。

a16z在5月推出了一個6億美元的基金,以建立web3游戲產業。(the block)[2022/12/20 21:55:14]

內容:實施訪問控制,限制對特權帳戶和智能合約調用執行管理任務的特殊功能的能力。遵循“最小特權原則”——每個參與者應該只擁有所需的最小訪問量。原因:通過升級和治理流程維護協議,開發人員可以通過添加新功能、修補安全問題和解決不斷變化的條件來改進協議。如果升級能力沒有得到適當的控制,這可能會構成嚴重的安全漏洞。方法:建立多重簽名錢包或DAO合約,以透明的方式代表社區管理變更。變更應該經過徹底的審查過程,并設置一個時間鎖定,以確保在治理攻擊的情況下可以驗證其正確性并回滾。確保在自行保管錢包或安全保管服務中可安全存儲和訪問特權密鑰。3.考慮可重復使用的、經過實戰測試的模板和集成

a16z領投Mainframe Industries 2300萬美元B輪融資,用于構建元宇宙:11月30日消息,a16z宣布領投云游戲初創公司Mainframe Industries B輪融資。根據Mainframe Industries新聞稿,該輪融資總額為20.3萬歐元(約合2300萬美元),其他投資者包括 Riot Games 等所有先前投資者、Twitch 聯合創始人 Kevin Lin、Huuuge Games 創始人兼首席執行官 Aton Gauffin和Dreamhaven等。

Mainframe成立于2019年4月,為一家泛歐游戲開發商,目前正在利用云和云流媒體服務,構建一個完全云原生的 MMO游戲(大型多人在線游戲)。a16z曾參與其A輪融資。[2021/11/30 12:40:57]

內容:盡可能利用現有的智能合約標準,并評估可能需要與現有協議進行的協議集成的安全性假設。原因:使用現有的經過實戰檢驗、社區審計的標準和實施降低安全風險方面的措施會有很大的幫助。評估協議集成的風險有助于開發安全檢查,以防止對外部組件的攻擊。方法:導入經過安全審計的受信任合約庫和接口。Web3的重點是開源使用、重用性和可組合性。確保在代碼庫中記錄合約依賴項及其版本,盡可能減少代碼占用。例如,導入大型項目的特定子模塊,而不是導入所有內容。了解你的風險敞口,監控供應鏈攻擊。使用官方接口調用外部協議,并確保考慮到潛在的集成風險。監控重復使用的合約的更新和安全披露。4.測試和評審階段的安全性考慮——考慮測試和文檔

區塊鏈公司Mediachain獲A16z領投150萬美元種子輪:總部位于紐約的區塊鏈創業公司Mediachain,已獲得了重量級VC公司安德森·霍洛維茨基金(Andreessen Horowitz)以及合廣風險投資公司(Union Square Ventures.)的注資。這兩家公司今日宣布他們已領投了Mediachain的150萬美元種子輪融資。其他跟投方包括RRE Ventures、數字貨幣集團(DGC)以及LDV Capital ,此外,天使投資人Alexis Ohanian、William Mougayar、Kanyi Maqubela、David Lee、Mathieu Drouin以及Brian Message也參與了此輪融資。這筆融資距Mediachain推出核心產品已過去了四個月,該元數據協議能使內容創造者為他們的作品打上時間戳,并放到比特幣區塊鏈上,同時它還使用了星級文件系統(IPFS,一種超媒體協議)。[2018/3/2]

內容:創建清晰、全面的代碼文檔,并建立一個快速、徹底、易于運行的測試套件。在允許的情況下,在測試網或通過主網模擬建立測試環境,進行更深入的實驗。原因:寫出對代碼庫預期行為的假設有助于確保威脅模型中的風險得到解決,并且用戶和外部審計員可理解開發團隊的意圖。為代碼創建測試套件有助于證明開發假設,并鼓勵對威脅模型進行更深入的思考。這個測試套件應該包括在極端市場場景下檢查項目代幣經濟的機制設計測試,以及單元測試和集成測試。方法:實施已知的測試框架和安全檢查器,如Hardhat、Mythril、Slither、Truffle等,它們提供不同的測試技術,如模糊化、屬性檢查,甚至正式驗證。使用NatSpeccomments大范圍記錄代碼,從而指定預期的副作用、參數和返回值。使用文檔生成工具以及高級設計說明生成實時文檔。5.考慮內部審查和安全審計

內容:花時間通過內部和外部代碼檢查來發現漏洞。原因:從特性開發轉向關注安全問題給了開發人員時間來發現潛在的模糊問題。外部審計在這方面尤其發揮作用,因為它們可以帶來開發團隊不具備的外部視角和專業知識。方法:在項目開發的適當節點,凍結某功能,從而有時間進行內部審查,然后進行外部審計。這應該在任何實際部署和升級之前進行。請查看ConsenSys、Nassent、OpenZeppelin和TrailofBits的指南,這些指南為開發人員提供了考慮事項清單,包括時間安排,供任何準備審計的人參考。還要確保檢查部署交易,確保它們使用經審核的代碼版本并具有適當的參數,特別是在升級軟件時。6.部署和維護階段的安全考慮——激勵白帽社區參與

內容:創建鼓勵社區參與開源代碼庫安全改進的程序。一種方法便是創造漏洞獎勵。另一種方法是鼓勵社區開發協議監控檢測機器人。原因:開發團隊可以從大范圍的知識和經驗中獲益。這樣的程序可以幫助激發對一個項目的熱情,從本質上把社區和白帽黑客變成布道者。通過為黑客提供成為防御者的途徑,它們還可以幫助將潛在的攻擊者轉變為安全資產。方法:使用漏洞賞金平臺激勵熟練的黑客安全地披露漏洞。注:文中的一些作者在Forta公司工作,該公司擁有一個網絡,為去中心化創建高質量安全監控機器人提供了一個代幣化激勵結構。開發團隊可以鼓勵他們的協議社區利用傳統和Web3原生的兩種方法來激勵漏洞獎勵,并通過增強安全性來讓參與者潛在地獲利,實現雙贏。7.實時監控安全考慮

內容:實施監控智能合約和關鍵操作組件的系統,并根據已知的威脅模型向開發團隊和社區報告可疑活動。原因:問題的早期檢測使團隊能夠快速響應漏洞,潛在地阻止或減輕任何損失。方法:使用監控平臺或分布式節點運行機器人,實時監控智能合約事件。根據需要為開發團隊和更廣泛的社區插入數據儀表板和警報通知。8.意外和緊急情況響應操作的安全考慮

內容:使用能夠在發生任何安全問題時立即做出響應的工具和流程。原因:即使有最好的部署前保障措施,智能合約和關鍵組件仍有可能出現實時問題。配備專門的人員、清晰的流程和適當的自動化設備,確保可以快速調查事件,并盡快解決。方法:為最壞的情況做準備,計劃如何應對事件或緊急情況,并在最大程度上自動化響應能力。包括分配調查和響應的責任,這些人員可以通過分布式安全郵件列表、代碼存儲庫中的指示或智能合約注冊表就安全問題公開聯系。根據協議的威脅模型,開發一組流程,其中可以包括場景演練和采取緊急行動所需的預期響應時間,可以考慮將自動化集成到緊急事件響應中。安全考慮應該是成功開發的一個組成部分,而不只是事后考慮或補充。雖然這個框架分享了一些構建Web3協議和應用程序的快速指南,從而促進整個開發過程中的安全性,但沒有任何簡短的概述可以全方面討論智能合約安全。缺乏內部安全專業知識的團隊應該聯系合格的Web3安全專家,他們可以指導并幫助應用于他們的特定情況。請記住,安全性不是一個簡單的問題。安全性將永遠是一套永無止境、持續不斷的最佳實踐。我們仍然處于建立這些實踐的初期階段,現在是時候為所有開發人員協作創建和共享它們了。

Tags:WEB3WEBAINAMEweb3.0幣種有哪些IPWebAiPiChainRUGame

波場
NAN:Nansen分析:Token解鎖后,哪家VC跑得最快?

本文梳理自Nansen分析師AndrewT在個人社交媒體平臺上的觀點,BlockBeats對其整理翻譯如下:市場走勢很糟糕,但隨著主要基金拋售數百萬本已低迷的資產,早期機構解鎖后的情況變得更糟.

1900/1/1 0:00:00
IRIS:SneakMart與StockX聯手推出首款「Metakicks運動鞋NFT」

Sneakmart是一家專注于街頭服飾的法國初創公司,該公司已宣布與美國著名球鞋轉售平臺StockX達成合作,雙方將共同推出首款「Metakicks運動鞋NFT」.

1900/1/1 0:00:00
穩定幣:Vitalik Buterin:評估算法穩定幣的兩個思想實驗

文章作者:VitalikButerin文章編譯:Blockunicorn特別感謝DanRobinson、HaydenAdams和DankradFeist的反饋和審查.

1900/1/1 0:00:00
加密貨幣:民主、共和兩黨積極擁抱加密貨幣,確保Web3一定發生在美國?

本文講述加密貨幣在美國發展的現狀,民主黨和共和黨為規范加密貨幣的發展,而出臺的各項立法。共和黨傾向于使加密貨幣合法化,注重加密貨幣和傳統銀行相聯系,允許加密貨幣和法幣兌換,允許用加密貨幣繳稅等.

1900/1/1 0:00:00
NFT:紐約時報調查:Opensea因盜竊、欺詐等行為正在面臨大量訴訟

OpenSea是最受矚目的加密貨幣初創企業之一,它正面臨對NFT盜用和剽竊的指控。無聊猿游艇俱樂部發展成為一種現象級的數字收藏品。Chapman在去年購買這枚NFT.

1900/1/1 0:00:00
TER:Terra復興計劃正式通過,你最關心的十件事都在這

北京時間5月24日晚,由Terra創始人DoKwon提出“重建Terra生態計劃2”提案經過社區投票正式通過.

1900/1/1 0:00:00
ads