Mae ecosystem Ethereum yn parhau i Tystion llu o weithgarwch lle mae unigolion a sefydliadau yn defnyddio contractau tocyn, yn ychwanegu hylifedd at gronfeydd ac yn defnyddio contractau clyfar i gefnogi ystod eang o fodelau busnes. Er ei fod yn nodedig, mae'r twf hwn hefyd wedi'i frith o gampau diogelwch, gan adael cyllid datganoledig (DeFi) protocolau sy'n agored i haciau a sgamiau.
Er enghraifft, canfyddiadau diweddar gan y cwmni cudd-wybodaeth cripto Chainalysis Dangos bod haciau sy'n gysylltiedig â crypto wedi cynyddu 58.3% o ddechrau'r flwyddyn hyd at fis Gorffennaf 2022. Mae'r adroddiad yn nodi ymhellach bod $1.9 biliwn wedi'i golli i haciau yn ystod yr amserlen hon — ffigur nad yw'n cynnwys y Hac pont Nomad gwerth $190 miliwn a ddigwyddodd ar 1 Awst, 2022.
Er y gall cod ffynhonnell agored fod o fudd i'r diwydiant blockchain, yn anffodus gall seiberdroseddwyr sy'n chwilio am gampau ei astudio'n hawdd. Nod archwiliadau diogelwch ar gyfer contractau smart yw datrys yr heriau hyn, ac eto mae diffyg safonau diwydiant yn y weithdrefn hon, gan greu cymhlethdod.
Safon diwydiant i sicrhau diogelwch contract smart
Chris Cordi, cadeirydd Gweithgor Lefelau Diogelwch EthTrust yn tCynghrair Enterprise Ethereum (EEA), wrth Cointelegraph, wrth i'r diwydiant blockchain Ethereum dyfu, felly hefyd yr angen am fframwaith aeddfed i asesu diogelwch contractau smart.
Er mwyn mynd i'r afael â hyn, helpodd Cordi, ynghyd â nifer o gynrychiolwyr o aelodau'r AEE sydd ag arbenigedd archwilio a diogelwch, sefydlu Gweithgor Lefelau Diogelwch EthTrust ym mis Tachwedd 2020. Ers hynny mae'r sefydliad wedi bod yn gweithio ar ddogfen ddrafft o fanyleb contract smart, neu ddiwydiant safonol, gyda'r nod o wella'r diogelwch y tu ôl i gysylltiadau smart.
Yn fwyaf diweddar, cyhoeddodd y gweithgor gyhoeddiad Manyleb Lefelau Diogelwch EthTrust v1. Dywedodd Chaals Nevile, cyfarwyddwr rhaglen dechnegol yr AEE, wrth Cointelegraph fod y fanyleb hon yn disgrifio gwendidau contract clyfar y mae archwiliad diogelwch priodol yn gofyn amdanynt fel mesur ansawdd sylfaenol:
“Mae’n berthnasol i bob platfform contract clyfar sy’n seiliedig ar EVM lle mae datblygwyr yn defnyddio Solidity fel iaith godio. Mewn dadansoddiad diweddar gan Splunk, mae hyn ymhell dros 3/4 o gontractau mainnet. Ond, mae yna hefyd rwydweithiau a phrosiectau preifat sy'n seiliedig ar stac technoleg Ethereum ond yn rhedeg un eu cadwyn eu hunain. Mae’r fanyleb hon yr un mor ddefnyddiol iddyn nhw ag y mae i ddefnyddwyr mainnet wrth helpu i sicrhau eu gwaith.”
O safbwynt technegol, eglurodd Nevile fod y fanyleb newydd yn amlinellu tair lefel o brofion y dylai sefydliadau eu hystyried wrth gynnal archwiliadau diogelwch contract smart.
“Mae Lefel [S] wedi’i gynllunio fel bod modd, ar gyfer y rhan fwyaf o achosion, lle mae nodweddion cyffredin Solidity yn cael eu defnyddio gan ddilyn patrymau adnabyddus, y gellir ardystio cod profedig gan offeryn ‘dadansoddi statig’ awtomataidd,” meddai.
Ychwanegodd fod y prawf Lefel [M] yn mandadu dadansoddiad statig llymach, gan nodi bod hyn yn cynnwys gofynion lle disgwylir i archwilydd dynol benderfynu a oes angen defnyddio nodwedd neu a ellir cyfiawnhau hawliad am briodweddau diogelwch cod.
Eglurodd Nevile ymhellach fod y prawf Lefel [Q] yn rhoi dadansoddiad o resymeg busnes y cod a brofwyd. “Mae hyn er mwyn sicrhau nad yw’r cod yn arddangos gwendidau hysbys o ran diogelwch, tra hefyd yn sicrhau ei fod yn gweithredu’r hyn y mae’n ei honni yn gywir,” meddai. Mae yna hefyd brawf “arferion da a argymhellir” dewisol a all helpu i wella'r diogelwch y tu ôl i gontractau smart. Dywedodd Nevile:
“Mae defnyddio'r casglwr diweddaraf yn un o'r 'arferion da a argymhellir.' Mae'n un eithaf syml yn y rhan fwyaf o achosion, ond mae yna lawer o resymau pam na fyddai contract wedi'i ddefnyddio gyda'r fersiwn ddiweddaraf o bosibl. Mae arferion da eraill yn cynnwys adrodd am wendidau newydd fel y gellir mynd i’r afael â nhw mewn diweddariad i’r fanyleb ac ysgrifennu cod glân hawdd ei ddarllen.”
Yn gyffredinol, mae 107 o ofynion o fewn y fanyleb gyfan. Yn ôl Nevile, mae tua 50 o'r rhain yn ofynion Lefel [S] sy'n deillio o fygiau mewn scasglwyr hylifedd.
A fydd safon diwydiant yn helpu sefydliadau a datblygwyr?
Tynnodd Nevile sylw at y ffaith mai nod Manyleb Lefelau Diogelwch EthTrust yn y pen draw yw helpu archwilwyr i ddangos i gwsmeriaid eu bod yn gweithredu ar lefel sy'n briodol i'r diwydiant. “Gall archwilwyr bwyntio at y safon diwydiant hon i sefydlu hygrededd sylfaenol,” meddai.
Diweddar: Mae gemau Web3 yn ymgorffori nodweddion i ysgogi cyfranogiad merched
Gan daflu goleuni ar hyn, dywedodd Ronghui Gu, Prif Swyddog Gweithredol a chyd-sylfaenydd y cwmni diogelwch blockchain CertiK, wrth Cointelegraph fod cael safonau fel y rhain yn helpu i sicrhau prosesau a chanllawiau disgwyliedig. Fodd bynnag, nododd nad yw safonau o’r fath yn “stamp rwber” o bell ffordd i ddangos bod contract call yn gwbl ddiogel:
“Mae'n bwysig deall nad yw pob archwilydd contract smart yn gyfartal. Mae archwilio contractau clyfar yn dechrau gyda dealltwriaeth a phrofiad o’r ecosystem benodol y mae contract clyfar yn cael ei archwilio ar ei gyfer, a’r stac technoleg a’r iaith god a ddefnyddir. Nid yw pob cod neu gadwyn yn gyfartal. Mae profiad yn bwysig yma ar gyfer sylw a chanfyddiadau.”
O ystyried hyn, mae Gu yn credu bod cwmnïau sydd am gael eu contractau smart dylai archwilio edrych y tu hwnt i'r ardystiad y mae archwilydd yn honni ei fod wedi ei gael a rhoi ystyriaeth i ansawdd, graddfa ac enw da'r archwilydd. Gan fod y safonau hyn yn ganllawiau, dywedodd Gu ei fod yn credu bod y fanyleb hon yn fan cychwyn da.
O safbwynt datblygwr, gall y manylebau hyn fod yn hynod fuddiol. Dywedodd Mark Beylin, cyd-sylfaenydd Myco - rhwydwaith cymdeithasol sy'n dod i'r amlwg yn seiliedig ar blockchain - wrth Cointelegraph y bydd y safonau hyn yn hynod werthfawr i helpu datblygwyr contractau smart i ddeall yn well beth i'w ddisgwyl o archwiliad diogelwch. Dwedodd ef:
“Ar hyn o bryd, mae yna lawer o adnoddau gwasgaredig ar gyfer diogelwch contract smart, ond nid oes llyfr rheolau penodol y bydd archwilwyr yn ei ddilyn wrth asesu diogelwch prosiect. Gan ddefnyddio'r fanyleb hon, gall archwilwyr diogelwch a'u cleientiaid fod ar yr un dudalen i weld pa fath o ofynion diogelwch fydd yn cael eu gwirio."
Dywedodd Michael Lewellen, datblygwr a chyfrannwr i'r fanyleb, wrth Cointelegraph ymhellach fod y manylebau hyn yn helpu trwy ddarparu rhestr wirio o faterion diogelwch hysbys i wirio yn eu herbyn. “Nid yw llawer o ddatblygwyr Solidity wedi derbyn addysg ffurfiol na hyfforddiant diweddar yn yr agweddau diogelwch ar ddatblygiad Solidity, ond mae diogelwch i’w ddisgwyl o hyd. Mae cael manylebau fel hyn yn ei gwneud hi'n haws darganfod sut i ysgrifennu cod yn fwy diogel," meddai.
Diweddar: Mae Ethereum Merge yn annog glowyr a phyllau mwyngloddio i wneud dewis
Nododd Lewellen hefyd fod y rhan fwyaf o ofynion y fanyleb yn cael eu hysgrifennu mewn ffordd syml, gan ei gwneud yn hawdd i ddatblygwyr ei deall. Fodd bynnag, dywedodd nad yw bob amser yn glir pam fod gofyniad wedi'i gynnwys. “Mae gan rai gysylltiadau â dogfennaeth allanol ynghylch bregusrwydd, ond nid oes gan rai. Byddai’n haws i ddatblygwyr ddeall pe bai ganddynt enghreifftiau cliriach o sut olwg allai fod ar god sy’n cydymffurfio ac nad yw’n cydymffurfio.”
Esblygiad safonau diogelwch contract smart
Pob peth a ystyriwyd, mae manyleb y lefel diogelwch yn helpu i hyrwyddo ecosystem Ethereum trwy sefydlu canllawiau ar gyfer archwiliadau contract smart. Ac eto, nododd Nevile mai'r agwedd fwyaf heriol wrth symud ymlaen yw rhagweld sut y gallai camfanteisio ddigwydd. Dwedodd ef:
“Nid yw’r fanyleb hon yn datrys yr heriau hynny’n llwyr. Fodd bynnag, yr hyn y mae'r fanyleb yn ei wneud yw nodi rhai camau, fel dogfennu'r bensaernïaeth a'r rhesymeg fusnes y tu ôl i gontractau, sy'n bwysig i alluogi archwiliad diogelwch trylwyr. ”
Mae Gu hefyd yn meddwl y bydd cadwyni gwahanol yn dechrau datblygu safonau tebyg wrth i Web3 symud ymlaen. Er enghraifft, mae rhai datblygwyr yn y diwydiant Ethereum yn llunio eu gofynion contract craff eu hunain i helpu eraill. Er enghraifft, fe wnaeth Samuel Cardillo, prif swyddog technoleg yn RTFKT, drydar yn ddiweddar ei fod wedi creu system i ddatblygwyr raddio contractau smart yn gyhoeddus yn seiliedig ar elfennau da a drwg o ran datblygiad:
Ychydig ddyddiau yn ôl dechreuais ychydig o Daflen Google i raddio contractau cyhoeddus clyfar er mwyn codi ymwybyddiaeth a helpu casglwyr a datblygwyr - bydd hefyd yn cynnwys gwneud ac nid ar gyfer datblygu contract.
https://t.co/2ixBpkNeoc— SamuelCardillo.eth – RTFKT (@CardilloSamuel) Awst 15, 2021
Er bod hyn i gyd yn gam i'r cyfeiriad cywir, tynnodd Gu sylw at y ffaith ei bod yn cymryd amser i safonau gael eu mabwysiadu'n eang. Ar ben hynny, eglurodd Nevile nad yw diogelwch byth yn sefydlog. Fel y cyfryw, eglurodd fod modd i unigolion anfon cwestiynau at y gweithgor a ysgrifennodd y fanyleb. “Byddwn yn cymryd yr adborth hwnnw, yn ogystal ag edrych ar beth yw’r trafodaethau yn y gofod cyhoeddus ehangach oherwydd ein bod yn disgwyl diweddaru’r fanyleb,” meddai Nevile. Ychwanegodd y bydd fersiwn newydd o'r fanyleb yn cael ei chynhyrchu o fewn chwech i ddeunaw mis.
Ffynhonnell: https://cointelegraph.com/news/ethereum-advances-with-standards-for-smart-contract-security-audits