1 large

你怎么知道以太坊是安全的?

jan · 于 发布 · 862 次阅读

author: @andy

在最近的以太坊官方博客中,以太坊的安全审计团队回顾了近期的审计工作,解释了以太坊发布延期的主要原因。

以下内容摘选自以太坊官方博客。

为了确保以太坊最大的安全性,根据开发总计划,审计团队在去年底开始着手安全审计。多层次审计工作包括以下的部分:

由公认的区块链研究人员和专业的软件安全公司分析了新协议和算法
由世界级的安全专家顾问对协议和实现进行了终端到终端的审计。
推出“寻找漏洞赏金”项目
对新协议和算法所进行的审计所包含的安全主题如下:

瓦斯经济学
新设计的抗ASIC工作量证明机制难题
挖矿节点的经济激励
和“寻找漏洞赏金”项目一起推出的还有“众包”审计部分。(“众包”是这样一个过程:征求大批社区中的群众去完成一个任务)。“众包”审计设立了11位聪的奖金,来对在源代码中发现漏洞的人进行奖赏。目前在赏金项目中已经出现了很多高质量的报告提交,同时提交着也获取相应的奖励。赏金项目依旧在进行,我们需要更多的报告提交来花完预算。

安全顾问公司Least Authority 负责了首个重要的安全审计(包括瓦斯经济学和POW难题)。Least Authority的审计报告在这里,相应的博客在这里。此外,对于如何确保合同的安全设计和部署,该报告亦包含对ÐApp开发者有用的建议。

在年初,还有另一家软件安全公司对Go 的实现提供了审计覆盖。考虑到多钟语言客户端所带来的安全问题,在七月初时也对Python和C++的客户端进行轻量级安全审计。以太坊的目标是在发布的时候就能有几个已经接受审计并可用的客户端。

对Go的客户端开始了最大范围的审计,又名“终端到终端的审计”。在2月份,随着一周的研讨会结束后,紧接着便是好几周的定期修改呼吁和每周审计报告。这个审计被嵌入到漏洞的跟踪和修改,管理的综合流程中,并由Gustav、Christoph和Dimitry在github上编码了相应的需求测试,可以在这里找到。

顾名思义,“终端到终端审计”的范围覆盖了“所有事情”(从网络到以太坊的虚拟机到POW再到同步层)。所以至少有一个审计员要交叉检查以太坊各个核心层。因为网络和同步策略的显著变更,这周将会对Go的客户端做更进一步的审计。对于C++和基本的Python的审计正在开始。

审计工作以及其带来的漏洞修复、回归测试、以及相关的重构和重新设计(包括网络和同步层),使得开发者一致很忙碌。比如研究结果的修复,重新设计和还原测试是造成软件发布一再延迟的原因。另外,奥林匹克测试阶段告诉我们在各种情况下,例如连接速度慢,出现坏死、奇怪、和过时的节点等发生的时候灵活性的重要。目前为止我们击退的最大的挑战是从分叉中恢复过来。如果再遇到这些这些场景和事件时,我们从努力恢复中学到了许多所需的流程。

以下为Andy评论:

一个涉及到客户经济利益的软件要经过如此严谨的,大量的安全审计工作才能保证其安全性,才能保证用户不受意外的损失。在这些公开,透明的审计数据面前,我们才可以相信这个软件的安全性有一定保障。如果你不希望自己的财富莫名其妙的消失的话请先查看软件的安全性审计报告。

  • 暂无回复。