MKR安全路线图更新:我们一直致力于达到最高的安全标准

在为以太坊网络开发项目时,编写智能合约代码只占我们工作中的一小部分时间。我们的大部分开发时间都花在需求分析和质量保证上,特别是为了保证系统的安全。
《财富代码》-深度分析、挖掘区块链价值项目,https://www.first.vip/hodl

在为以太坊网络开发项目时,编写智能合约代码只占我们工作中的一小部分时间。我们的大部分开发时间都花在需求分析和质量保证上,特别是为了保证系统的安全。

Maker基金会一直致力于达到最高的安全标准,即使多抵押Dai(MCD)发布,这一点也不会改变。本文主要概述Maker团队在发布前所规划的安全路线图。

安全路线图里程碑

MCD安全路线图由以下四个里程碑组成:

1. 与HackerOne合作开展的Bug赏金计划。该计划将无限期运行,并在MCD发布后继续。

2. 利用当前技术尽可能地对智能合约进行形式验证。

3. 由业内领先审计机构进行独立的第三方安全审计。

4. 与我们现实中最亲密的合作伙伴共同开展合作伙伴集成计划,用来测试MCD。

各个里程碑详情如下:

Bug赏金计划

6月,我们邀请了一些研究人员参与私人版的bug赏金计划。不过几天前我们已发布其公共版本,随着MCD即将发布,它将不断进行迭代:

· 资产范围将增加,已在范围内的资产也可能需要较小的更新。

· Bug赏金金额将增加。

最初资产范围只可选择部署在以太坊Kovan测试网上的MCD智能合约;但现在更多资产将被添加到MCD发布版本中。范围还可扩展到包括Web应用程序、工具等。

对于此程序的迭代,除了对发现高级、中级、低级错误给予小奖励之外,若发现“关键”错误,我们还将奖励50000美元。

该计划将在MCD发布后无限期运行。

形式验证

编程代码的形式验证通常针对工程系统中的最关键软件。比如它被应用于航空航天工程中,以保证安全关键功能的准确性。更具体地说,形式验证确保由计算机执行的低级字节码正确反映软件开发者的意图,并且不产生负面影响。

区块链的高风险及不可变的特性使其在初始部署后无法轻易修复软件bug,因此形式验证智能合约在以太坊生态系统中已成为某种标准。而Maker一直处于这一实践的最前沿,并且是首批将该方法应用于主要技术领域的项目之一。

自形式验证MCD核心合约以来,形式验证已涵盖到方方面面。我们的目标不仅是形式验证这些核心合约,而且还要在技术可行的情况下形式验证MCD系统合约。

核心系统、Dai代币合约、拍卖合约、Dai储蓄率(DSR),紧急关闭模块以及预言机安全模块(OSM)的形式验证工作已基本完成。

Maker团队仍在努力进行形式验证系统的二级合约和治理合约。最值得注意的是,这些分别是投票代理合约、CDP管理者合约以及抵押品适配器合约的加入/退出路径(处理系统中抵押品的锁定及释放)。

安全审计

虽然形式验证合约能确保低级字节码准确反映了软件开发人员的意图,但它也有许多限制。比如它无法预防合约中的逻辑错误,而且它只能针对单笔交易。

因此,对合约的形式验证应始终与传统的安全审计相结合,可以的话,还应与更高级别的形式建模相结合。

这正是Maker基金会当前所做的工作内容。我们目前正由三家业界领先公司进行独立安全审计:

  1. 总部位于伊利诺斯州的Runtime Verification公司,该公司将创建一个高级形式模型,可用于进一步验证系统逻辑。如果将合约的形式验证与单元测试进行比较,那么这就等同于形式集成测试。

  2. Trail of Bits是我们在智能合约安全审查方面的长期合作伙伴。Trail of Bits将专注于形式验证未涵盖的领域。

  3. PeckShield是一家相对较新的传统审计公司,由业内资深人士于2018年初创立,总部位于中国。PeckShield独立验证了今年5月修复的Maker DSChief漏洞。

合作伙伴集成计划

Bug赏金计划、形式验证和外部审计都是确保MCD系统安全性的重要工具。但是,尽管该系统具有广阔前景,但只有通过与合作伙伴相集成,生态系统才能真正发展壮大。

Maker基金会正与一些经过精挑细选的集成及商业合作伙伴紧密合作,以在现实环境中测试MCD,不放过任何一个漏洞。

如果您想加入集成合作伙伴计划,请通过integrate@makerdao.com与我们的集成团队联系。

下一阶段计划

随着MCD即将发布,Maker团队正紧锣密鼓地完成上述路线图。我们期待与社区及合作伙伴合作,共同交付一个符合用户期望的、具有顶级安全性的系统。

除了确保安全性并完成幕后工作,我们的团队同时也在开发其他基础设施,以帮助我们的集成合作伙伴和我们团队的QA工程师完成该项目所需的严格测试。

下一次安全更新内容将包含我们用于端到端测试及QA的Staxx平台。

本文由 区块链资讯平台头等仓 作者:jill 发表,其版权均为 区块链资讯平台头等仓 所有,文章内容系作者个人观点,不代表 区块链资讯平台头等仓 对观点赞同或支持。如需转载,请注明文章来源。
《财富代码》-深度分析、挖掘区块链价值项目,https://www.first.vip/hodl

发表评论